Loi 25 et intelligence artificielle : le guide de conformité pour les PME

Automatiser n'exempte pas de la loi

Depuis septembre 2023, la Loi 25 s'applique à toute entreprise qui exerce ses activités au Québec. Les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Et pourtant, la majorité des PME qui déploient de l'intelligence artificielle en 2026 ne vérifient pas si leur fournisseur respecte le cadre légal.

Cette négligence n'est pas volontaire. Elle vient d'une confusion répandue : beaucoup de propriétaires pensent que la Loi 25 concerne les bases de données et les formulaires, pas les outils d'intelligence artificielle. C'est une erreur qui peut coûter très cher.

Ce guide pratique sur la conformité Loi 25 et IA explique concrètement ce qui change quand vous utilisez un outil d'intelligence artificielle, les cinq risques les plus fréquents, et la liste de contrôle à utiliser avant de signer avec un fournisseur.

La Loi 25 en 60 secondes

La Loi 25, aussi appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, impose cinq obligations principales à toute entreprise québécoise.

Une politique de confidentialité à jour, accessible publiquement, qui explique ce que vous collectez, pourquoi, et avec qui vous partagez.

Le consentement explicite du client avant toute collecte ou utilisation de ses renseignements personnels, avec la possibilité claire de le retirer.

Un registre des incidents de confidentialité, même vide, prêt à être utilisé si une fuite survient.

Une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout nouveau projet ou outil qui touche aux données personnelles. C'est un document qui identifie les risques et les mesures de mitigation.

Un responsable de la protection des renseignements personnels désigné dans l'entreprise, dont le nom et le contact figurent sur le site.

Ce qui change avec l'intelligence artificielle, c'est que vos données passent désormais par un système tiers qui les traite, parfois les stocke, et dans certains cas les utilise pour entraîner ses propres modèles. Ça ajoute une couche d'obligations en matière de transparence et de sécurité.

Les 5 risques fréquents quand on utilise l'IA sans penser à la Loi 25

Voici les cinq situations qu'on rencontre le plus souvent en audit de conformité.

1. Données envoyées aux États-Unis sans consentement

La majorité des services d'intelligence artificielle grand public hébergent leurs données dans des centres américains. Quand un client québécois remplit un formulaire sur votre site et que l'IA traite sa réponse, ses renseignements traversent la frontière. La Loi 25 exige une évaluation préalable et un consentement explicite pour ce transfert. Sans ça, vous êtes hors cadre.

2. Pas d'anonymisation

Les noms, courriels, numéros de téléphone et adresses de vos clients transitent en clair dans le système d'IA. Si le fournisseur n'anonymise pas ces données avant traitement, n'importe quel incident de sécurité devient un incident de confidentialité, avec obligation de déclaration à la Commission d'accès à l'information (CAI).

3. Aucune EFVP réalisée

L'évaluation des facteurs relatifs à la vie privée est obligatoire avant tout nouveau projet impliquant des données personnelles. Beaucoup de PME branchent un outil d'intelligence artificielle sans jamais faire l'exercice. En cas de plainte ou d'audit, l'absence de ce document est en soi une infraction.

4. Aucun registre des incidents

Si une fuite arrive (et ça arrive), la Loi 25 exige que l'incident soit consigné, évalué et déclaré à la CAI dans un délai court lorsque le risque de préjudice sérieux est présent. Sans registre préparé à l'avance, la panique s'installe et les délais sont manqués.

5. Le fournisseur utilise vos données pour entraîner ses modèles

C'est une pratique courante chez les fournisseurs gratuits ou à bas prix. Vos échanges deviennent du matériel d'entraînement pour le modèle. Les données personnelles de vos clients peuvent ressortir ailleurs, chez un autre utilisateur du même service. La clause est souvent cachée dans les conditions d'utilisation.

Checklist de conformité IA et Loi 25

Voici les dix points à valider avant et pendant le déploiement d'un outil d'intelligence artificielle dans votre entreprise.

1. Hébergement des données au Canada, idéalement au Québec. Montréal (région ca-central-1 chez les grands fournisseurs) est la norme.
2. Anonymisation des données personnelles avant envoi à l'IA. Les noms deviennent des identifiants, les courriels sont remplacés par des jetons.
3. Politique de confidentialité à jour qui mentionne explicitement l'utilisation de l'IA, les finalités et les tiers impliqués.
4. Consentement explicite si des renseignements personnels sont traités par IA, avec case à cocher non précochée.
5. EFVP réalisée avant le déploiement, documentée et archivée.
6. Responsable PRP désigné dans l'entreprise, avec ses coordonnées accessibles sur le site.
7. Registre des incidents prêt, même vide, avec un canevas de déclaration.
8. Clause Loi 25 dans le contrat avec le fournisseur IA, qui couvre la localisation des données, la sous-traitance et la durée de conservation.
9. Données jamais utilisées pour entraîner des modèles tiers, confirmé par écrit.
10. Plan de réponse en cas d'incident en quatre temps : contenir la fuite, évaluer le risque, aviser la CAI si nécessaire, corriger la cause.

Comment vérifier si votre fournisseur est conforme

Cinq questions à poser avant de signer. Si votre interlocuteur n'a pas de réponse claire, c'est un signal à prendre au sérieux.

Où sont hébergées mes données ? La réponse doit être précise : Montréal, Toronto, ou une région canadienne nommée. Pas « dans le nuage » ni « aux États-Unis, mais c'est sécurisé ».

Les données sont-elles anonymisées avant traitement ? Le fournisseur doit pouvoir vous montrer comment : un schéma, un exemple, une démonstration technique.

Utilisez-vous mes données pour entraîner vos modèles ? La réponse doit être non, et cette garantie doit figurer dans le contrat.

Quel chiffrement utilisez-vous ? Le standard actuel est AES-256-GCM pour le stockage, TLS 1.3 pour les échanges. Un fournisseur qui n'emploie pas ce vocabulaire n'a probablement pas le niveau.

Avez-vous une clause Loi 25 dans votre contrat ? La clause doit couvrir la sous-traitance, la conservation, la suppression et la notification en cas d'incident.

L'approche Kodia : la conformité intégrée dès le jour 1

Chez Kodia, la conformité à la Loi 25 n'est pas une case à cocher en fin de projet. C'est un cadre qui structure chaque déploiement dès la première ligne de code.

Les données sont hébergées à Montréal, sur l'infrastructure Supabase en région ca-central-1. L'anonymisation est automatique avant tout traitement par l'intelligence artificielle : les noms, courriels et téléphones sont remplacés par des identifiants anonymes avant que la requête parte. Chaque agent déployé passe par 45 tests de sécurité couvrant les injections, les fuites de données et les dépassements de portée.

Les clés API sont chiffrées en AES-256-GCM. Une EFVP est incluse dans chaque projet, livrée avec le code. Le code et les données appartiennent au client, pas à l'agence.

Conclusion

La Loi 25 n'est pas un obstacle à l'adoption de l'intelligence artificielle. C'est un cadre qui, bien appliqué, donne à votre PME une longueur d'avance sur celles qui improvisent. Les clients sont de plus en plus sensibles à la protection de leurs renseignements. Pouvoir dire « vos données restent au Québec, elles sont anonymisées avant traitement, et nous avons un plan si un incident survient » est un argument commercial, pas seulement une obligation.