La Loi 25 s'applique déjà à toute entreprise qui traite des renseignements personnels avec l'IA. Vois ta checklist
Guide 2026 · Loi 25 et intelligence artificielle

Loi 25 et IA :
le guide 2026 pour ton entreprise.

Dès que tu fais traiter des renseignements personnels par une IA, la Loi 25 entre en jeu. Voici ce que la loi exige, les sanctions à éviter et une checklist concrète, en français québécois.

Voir la checklist de conformité Essayer Kébek

Hébergement Canada · Jamais d'entraînement sur tes données · Sources publiques du Québec

L'intelligence artificielle s'est invitée dans presque toutes les entreprises du Québec : tri de candidatures, pointage de crédit, service à la clientèle, détection de fraude, personnalisation des offres. Le hic, c'est que la plupart de ces usages reposent sur des renseignements personnels. Et au Québec, ces renseignements sont protégés par la Loi 25. En 2026, l'IA n'est plus une zone grise : la loi s'applique pleinement, et les sanctions sont réelles. Ce guide t'explique ce qui compte, sans jargon inutile, pour que tu puisses utiliser l'IA sans te mettre dans le trouble.

Les bases

Qu'est-ce que la Loi 25?

La Loi 25, officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », est la réforme québécoise de la protection de la vie privée. Elle modifie notamment la Loi sur la protection des renseignements personnels dans le secteur privé et la loi qui encadre le secteur public. C'est l'équivalent québécois, plus strict sur certains points, du RGPD européen.

Un renseignement personnel, c'est toute information qui permet d'identifier une personne, directement ou indirectement : nom, courriel, adresse IP, historique d'achats, données biométriques, etc. Dès que ton IA touche à ces données, tu deviens responsable de leur protection.

Les principes de base

  • · Transparence : tu informes les personnes de ce que tu collectes et pourquoi.
  • · Consentement : il doit être clair, libre, éclairé et donné à des fins précises.
  • · Minimisation : tu ne recueilles que ce qui est nécessaire à ta fin.
  • · Responsabilité : tu nommes un responsable de la protection des renseignements personnels et tu tiens à jour tes pratiques.
  • · Sécurité : tu protèges les données et tu déclares les incidents de confidentialité présentant un risque de préjudice sérieux.

Calendrier

Échéancier et règlements

La Loi 25 est entrée en vigueur par étapes. Les premières obligations se sont appliquées en 2022 (responsable, déclaration d'incidents), puis le gros des règles en 2023 (consentement, transparence, décisions automatisées, EFVP), et le droit à la portabilité des données par la suite. En 2026, l'ensemble du régime est donc pleinement applicable.

Le cadre continue de se préciser par voie réglementaire. Des règlements sont venus encadrer, entre autres, le contenu attendu des avis de confidentialité, le niveau de détail des consentements et les modalités d'anonymisation. Si tu mets en place un projet d'IA en 2026, l'approche prudente est de présumer que toutes les obligations s'appliquent et de vérifier le règlement applicable au moment de ton projet, plutôt que de te fier à une ancienne version.

À retenir : les délais de mise en conformité sont passés. En 2026, la Commission d'accès à l'information (CAI) peut enquêter et sanctionner. Mieux vaut être prêt avant un contrôle qu'après une plainte.

Le cœur du sujet

Ce que la Loi 25 exige quand tu utilises l'IA

L'IA ne crée pas un régime à part : ce sont les mêmes principes, appliqués à des traitements souvent plus opaques et automatisés. Trois obligations méritent une attention particulière.

Transparence des décisions automatisées

Quand une décision est fondée exclusivement sur un traitement automatisé de renseignements personnels (par exemple une demande de crédit refusée par un algorithme, ou une candidature écartée par un outil de tri), la Loi 25 te demande d'en informer la personne au moment de la décision ou avant. Sur demande, tu dois aussi lui fournir les renseignements personnels utilisés, les principaux facteurs et paramètres ayant mené à la décision, et son droit de faire corriger ces renseignements. La personne doit en outre pouvoir présenter ses observations à un membre du personnel en mesure de réviser la décision. Ces obligations découlent notamment des articles 12.1 et 14 introduits dans la loi du secteur privé.

Consentement éclairé

Si ton IA utilise des renseignements à une fin nouvelle (par exemple entraîner un modèle, profiler des clients ou faire de la personnalisation poussée), le consentement obtenu pour la collecte initiale ne suffit pas forcément. Le consentement doit être demandé de façon distincte des autres conditions, formulé en termes simples et clairs, et porter sur des fins précises. Pour un renseignement sensible (santé, données biométriques, etc.), il doit en plus être donné de manière expresse.

EFVP : l'évaluation des facteurs relatifs à la vie privée

Avant de lancer un projet d'acquisition, de développement ou de refonte d'un système qui recueille, utilise ou communique des renseignements personnels, tu dois mener une EFVP. C'est aussi le cas avant de communiquer des renseignements à l'extérieur du Québec. Pour un projet d'IA, l'EFVP devrait documenter : les données touchées, les finalités, le rôle du fournisseur, les risques (biais, fuite, communication hors Québec) et les mesures d'atténuation. Garde la trace écrite : c'est ta meilleure preuve de diligence en cas de contrôle.

Les enjeux

Les sanctions : pourquoi ça compte

La Loi 25 prévoit certaines des sanctions les plus élevées au Canada. Pour une entreprise, l'amende pénale peut atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé. S'y ajoutent les sanctions administratives pécuniaires imposées par la CAI, sans oublier le droit, pour les personnes touchées, de réclamer des dommages.

Au-delà du montant. Une sanction publique abîme la confiance de tes clients et peut te faire perdre des contrats, surtout dans le secteur public. La conformité n'est pas juste une dépense : c'est un argument de vente.

Passe à l'action

Checklist de conformité IA

Une liste concrète pour cadrer ton prochain projet d'IA. Ce n'est pas un avis juridique, mais un point de départ pour structurer ta démarche.

Avant de déployer ton IA

  • Cartographie tes données. Quels renseignements personnels ton IA touche-t-elle, et où sont-ils hébergés?
  • Réalise une EFVP. Documente finalités, risques et mesures d'atténuation avant le lancement.
  • Vérifie où vont les données. Une communication hors Québec exige une évaluation préalable.
  • Mets à jour tes consentements. Distincts, clairs, par finalité, et exprès pour les données sensibles.
  • Prévois la transparence des décisions automatisées. Avis, accès aux facteurs, droit de rectification et révision humaine.
  • Journalise les traitements. Garde une trace de qui accède à quoi, et de ce que fait le modèle.
  • Désigne un responsable. Nomme la personne chargée de la protection des renseignements personnels.
  • Confirme que tes données ne servent pas à entraîner le modèle. Exige-le par écrit de ton fournisseur d'IA.
  • Prépare ton plan d'incident. Sache comment évaluer un risque de préjudice sérieux et le déclarer à la CAI.

La solution

Comment Kébek t'aide à rester conforme

Kébek est une IA générative québécoise conçue pour notre réalité juridique. On a pensé l'outil pour réduire les frictions de la Loi 25, pas pour les ignorer.

Hébergement au Canada

Tes données restent au Canada. Ça réduit les enjeux liés à la communication de renseignements à l'extérieur du Québec.

Jamais d'entraînement sur tes données

Tes documents et tes échanges ne servent jamais à entraîner les modèles. Une fin nouvelle de moins à gérer côté consentement.

Journalisation des traitements

Un suivi des accès et des traitements qui appuie ta traçabilité et ta démonstration de diligence.

RAG sur les sources publiques du Québec

Pose tes questions sur la Loi 25 et obtiens des réponses ancrées dans les sources officielles, avec citations à vérifier.

Pour aller plus loin, vois aussi notre page sur la souveraineté des données, notre guide de conformité Loi 96, nos solutions pour le secteur public et notre approche d'IA souveraine.

Avis important

Ce guide est fourni à titre informatif. Kébek est un outil d'aide à la rédaction et à la préparation de documents : il ne remplace ni un avis juridique, ni l'avis de la Commission d'accès à l'information (CAI). Les références aux articles et aux montants reflètent l'état général de la loi et peuvent évoluer par voie réglementaire. Avant toute décision touchant la conformité de ton entreprise, consulte un professionnel qualifié (avocat ou conseiller en protection des renseignements personnels) et vérifie les textes officiels en vigueur.

Utilise l'IA sans te mettre dans le trouble

Commence gratuitement. Pose ta première question sur la Loi 25 et vois comment Kébek t'aide à cadrer tes projets d'IA, en toute confidentialité.

Essayer gratuitement Écris-nous à bonjour@kebek.ai

Aucune carte requise · Hébergement Canada · Tes données restent confidentielles

Questions fréquentes

Qu'est-ce que la Loi 25 et en quoi touche-t-elle l'IA?

La Loi 25 encadre la collecte, l'utilisation et la communication des renseignements personnels au Québec. Quand tu utilises l'IA pour traiter des données personnelles, ces règles s'appliquent : consentement éclairé, minimisation de la collecte, sécurité des données et transparence, notamment lorsqu'une décision est rendue de façon automatisée.

Dois-je informer mes clients quand une décision est prise par l'IA?

Oui, lorsque la décision repose exclusivement sur un traitement automatisé de renseignements personnels. Tu dois informer la personne de cette décision, lui fournir sur demande les renseignements utilisés, les principaux facteurs ayant mené à la décision et son droit de faire corriger ces renseignements. Elle doit aussi pouvoir présenter ses observations à un membre du personnel.

Qu'est-ce qu'une EFVP et quand est-elle obligatoire?

L'évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse de risques à mener avant de lancer un projet de système qui recueille, utilise ou communique des renseignements personnels, ou avant de communiquer ces renseignements à l'extérieur du Québec. Pour un projet d'IA, elle documente les données touchées, les risques et les mesures d'atténuation.

Quelles sont les sanctions prévues par la Loi 25?

La Loi 25 prévoit des sanctions parmi les plus élevées au Canada. Pour une entreprise, l'amende pénale peut atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé. S'ajoutent les sanctions administratives, le risque de réputation et les recours civils des personnes touchées.

Comment Kébek aide-t-il à respecter la Loi 25?

Kébek héberge tes données au Canada, n'entraîne jamais ses modèles sur tes données, journalise les traitements et s'appuie sur une couche RAG branchée sur les sources publiques du Québec. Ça réduit les risques liés à la communication hors Québec et facilite la transparence demandée par la Loi 25. Kébek reste un outil d'aide et ne remplace pas un avis juridique.