Loi 25 et IA : ce que les entreprises québécoises doivent savoir avant d'utiliser l'intelligence artificielle
Si vous êtes propriétaire d'une entreprise au Québec et que vous utilisez des outils d'IA — ou y pensez — il y a quelque chose que vous devez comprendre d'abord. La Loi 25 du Québec a des implications réelles sur la façon dont vous pouvez utiliser l'intelligence artificielle avec vos données d'affaires. Et la plupart des entreprises se trompent sans le réaliser.
Points clés
- La Loi 25 est l'une des lois sur la vie privée les plus strictes en Amérique du Nord — amendes jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
- La plupart des outils d'IA infonuagiques envoient les données clients vers des serveurs externes, créant des risques de conformité
- L'IA et la vie privée ne sont pas incompatibles — l'IA locale/sur appareil garde les données sous votre contrôle
- Les entreprises qui maîtrisent l'IA conforme gagnent un avantage de confiance que les concurrents ne peuvent pas égaler
Ceci n'est pas un article alarmiste. C'est un guide pratique sur l'intersection entre l'IA et la Loi 25, les risques réels et comment utiliser l'IA sans mettre votre entreprise dans une zone grise de conformité.
Qu'est-ce que la Loi 25 ?
La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est la loi québécoise modernisée sur la vie privée. C'est l'un des cadres de protection des données les plus stricts en Amérique du Nord — comparable au RGPD européen.
Les exigences clés qui concernent l'IA :
Les entreprises doivent savoir où les données personnelles sont stockées et qui y a accès
Les renseignements personnels ne peuvent être utilisés que pour la finalité pour laquelle ils ont été collectés
Les données doivent être protégées par des mesures de sécurité adéquates
Les individus ont le droit de savoir quelles données vous détenez et de demander leur suppression
Les entreprises doivent effectuer des évaluations d'impact sur la vie privée pour tout projet impliquant des renseignements personnels
Des amendes importantes pour non-conformité — jusqu'à 10 millions $ ou 2 % du chiffre d'affaires mondial
Où l'IA crée un problème
C'est ici que les choses se compliquent. La plupart des outils d'IA utilisés par les entreprises aujourd'hui — ChatGPT, les assistants IA infonuagiques, les fonctionnalités IA intégrées aux plateformes SaaS — fonctionnent en envoyant vos données vers des serveurs externes pour traitement.
Quand vous collez des informations clients dans ChatGPT pour rédiger un courriel, ces données quittent votre contrôle. Quand la fonctionnalité IA de votre CRM analyse le comportement des clients, elle traite probablement ces données sur des serveurs que vous ne possédez pas. Quand vous utilisez un outil d'IA pour résumer des notes de réunion contenant des détails clients, ces détails sont transmis et traités par un tiers.
Sous la Loi 25, cela soulève des questions sérieuses :
Vos clients savent-ils que leurs données sont envoyées à un fournisseur d'IA ?
Probablement pas. La Loi 25 exige la transparence sur l'utilisation des renseignements personnels et avec qui ils sont partagés.
Avez-vous obtenu le consentement pour cet usage spécifique ?
Si un client vous a donné ses informations pour un mandat de service, les utiliser pour interroger un modèle d'IA hébergé par un tiers peut ne pas correspondre à la finalité originale de la collecte.
Où les données sont-elles traitées ?
De nombreux fournisseurs d'IA traitent les données sur des serveurs à l'extérieur du Canada. La Loi 25 a des dispositions spécifiques concernant les transferts transfrontaliers.
Pouvez-vous garantir la suppression ?
Si un client demande la suppression de ses données en vertu de la Loi 25, pouvez-vous vous assurer qu'elles sont retirées de chaque système d'IA qu'elles ont touché ? Avec l'IA infonuagique, c'est souvent impossible.
Cela ne signifie pas que l'IA est interdite. Cela signifie que la façon dont la plupart des entreprises utilisent actuellement l'IA doit être reconsidérée.
Le vrai risque
La plupart des entreprises québécoises qui utilisent l'IA ne font rien de malveillant. Elles essaient simplement d'être plus efficaces. Mais l'écart entre les bonnes intentions et la conformité réelle est là où réside le risque.
Considérez quelques scénarios :
Cabinet d'avocats
Utilise un outil d'IA pour réviser des contrats. Ces contrats contiennent des noms de clients, des détails financiers et des clauses confidentielles. Chaque document traité par un service d'IA infonuagique signifie que des données sensibles quittent le contrôle du cabinet.
Cabinet comptable
Utilise l'IA pour catégoriser les dépenses à partir de dossiers clients. Les données financières — noms, transactions, numéros de compte — sont envoyées vers des serveurs externes pour traitement.
Agence immobilière
Utilise un assistant IA pour rédiger des courriels de suivi personnalisés. Les préférences, budgets, intérêts immobiliers et coordonnées des clients sont tous envoyés à un outil auquel le client n'a jamais consenti.
Aucune de ces entreprises n'avait l'intention de violer la vie privée de quiconque. Mais sous la Loi 25, la question n'est pas l'intention — c'est de savoir si les protections et le consentement adéquats sont en place. Les amendes sont réelles. Et au-delà des amendes, il y a le facteur confiance. Pour les cabinets de services professionnels, une atteinte à la protection des données peut être dévastatrice pour les relations avec les clients.
À quoi ressemble une « IA conforme »
La bonne nouvelle, c'est que l'IA et la vie privée ne sont pas mutuellement exclusives. Vous n'avez pas à choisir entre utiliser l'IA et respecter la Loi 25. Il suffit d'utiliser l'IA différemment.
Trois principes rendent l'IA compatible avec la Loi 25 :
1. Garder les données locales
L'IA qui fonctionne sur votre propre infrastructure — vos serveurs, vos appareils — signifie que les données ne quittent jamais votre contrôle. Pas de sous-traitant tiers, pas de transfert transfrontalier, aucune question sur qui a accès.
2. Construire pour votre processus, pas celui de tout le monde
Les outils d'IA génériques sont conçus pour des millions d'utilisateurs. Vos données sont traitées avec celles de tout le monde, sur une infrastructure partagée. L'IA personnalisée construite pour votre entreprise fonctionne en isolation. Vos données, vos modèles, vos règles.
3. Être propriétaire du système
Quand vous êtes propriétaire du système d'IA, vous contrôlez chaque aspect du traitement des données. Ce n'est pas seulement une bonne pratique de vie privée — c'est une bonne affaire. Si un client demande la suppression, vous avez le contrôle complet.
L'IA sur appareil — des modèles qui fonctionnent directement sur votre matériel sans envoyer de données dans le nuage — est l'approche la plus solide pour la conformité à la Loi 25. Les données ne quittent jamais votre environnement. Il n'y a rien à consentir car rien n'est partagé.
Ce que vous devriez faire maintenant
Si vous êtes une entreprise québécoise qui utilise ou envisage l'IA, voici un point de départ pratique :
Auditez votre utilisation actuelle de l'IA
Faites la liste de chaque outil d'IA utilisé par votre entreprise. Pour chacun, demandez : où vont les données ? Sont-elles traitées sur des serveurs externes ?
Vérifiez vos mécanismes de consentement
Quand vous avez collecté les informations clients, votre politique de confidentialité mentionnait-elle le traitement par IA ? Sinon, vous devrez peut-être la mettre à jour.
Effectuez une évaluation d'impact sur la vie privée
La Loi 25 l'exige pour les projets impliquant des renseignements personnels. Si vous implémentez une IA qui touche aux données clients, cette étape n'est pas optionnelle.
Considérez votre architecture
L'approche la plus sûre pour la vie privée est le traitement local — sur appareil ou sur site. Cela élimine entièrement le risque lié aux tiers.
Parlez à votre responsable de la vie privée
La Loi 25 exige que les entreprises désignent une personne responsable de la protection des renseignements personnels. Cette personne devrait participer à toute décision concernant l'IA.
La vue d'ensemble
L'IA transforme le fonctionnement des entreprises. Les entreprises québécoises ne devraient pas être laissées pour compte à cause de préoccupations liées à la vie privée — mais elles ne devraient pas non plus ignorer ces préoccupations dans la course à l'adoption de nouvelles technologies.
Les entreprises gagnantes seront celles qui réussiront à utiliser l'IA efficacement tout en gardant les données clients privées et en restant conformes. Ce n'est pas une limitation. C'est un avantage concurrentiel. Quand vous pouvez dire à vos clients que leurs données ne quittent jamais vos systèmes, que votre IA est privée et construite exclusivement pour votre entreprise, c'est un signal de confiance que les concurrents utilisant l'IA générique ne peuvent tout simplement pas égaler.
La Loi 25 n'est pas un obstacle à l'adoption de l'IA. C'est un cadre qui, lorsqu'il est respecté, rend votre implémentation de l'IA plus solide, plus fiable et plus durable. La question n'est pas de savoir si les entreprises québécoises devraient utiliser l'IA. C'est de savoir si elles l'utiliseront d'une manière qui respecte la vie privée que leurs clients attendent et que la loi exige.
Questions fréquentes
Qu'est-ce que la Loi 25 au Québec ?
La Loi 25 est la loi québécoise modernisée sur la vie privée — l'une des plus strictes en Amérique du Nord, comparable au RGPD. Elle exige que les entreprises sachent où les données sont stockées, les utilisent uniquement aux fins collectées, les protègent et effectuent des évaluations d'impact. Les amendes peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial.
Les entreprises québécoises peuvent-elles utiliser l'IA sous la Loi 25 ?
Oui — l'IA et la vie privée ne sont pas mutuellement exclusives. L'essentiel est d'utiliser l'IA différemment : garder les données locales, construire des solutions personnalisées et être propriétaire du système.
Quels sont les risques d'utiliser ChatGPT avec des données clients au Québec ?
Quand vous utilisez des outils d'IA infonuagiques avec des données clients, ces données quittent votre contrôle. Sous la Loi 25, cela soulève des problèmes de consentement, de limitation des fins, de transferts transfrontaliers et de droit à la suppression.
Quelle est la façon la plus sûre d'utiliser l'IA au Québec ?
L'IA sur appareil ou sur site — des modèles qui fonctionnent sur votre matériel sans envoyer de données dans le nuage — est l'approche la plus solide. Les données ne quittent jamais votre environnement et vous avez un contrôle complet sur les demandes de suppression.
Besoin d'une IA qui garde vos données privées ?
Nous construisons des solutions d'IA personnalisées qui fonctionnent sur votre infrastructure — vos données clients ne quittent jamais votre contrôle. Conforme à la Loi 25 par conception.