L'essentiel
La Loi 25 modernise la protection des renseignements personnels au Québec. Adoptée en 2021, elle est entrée en vigueur par phases entre 2022 et 2024. Elle s'applique à toute entreprise qui recueille ou traite des renseignements sur des personnes au Québec, quelle que soit sa taille.
Pour l'IA, le déclencheur est simple : si un nom, un courriel, un dossier client ou une donnée d'employé entre dans un outil d'IA, vous traitez un renseignement personnel. La loi vous demande alors de savoir pourquoi, de pouvoir le démontrer, et d'en garder la maîtrise.
Ce n'est pas une loi sur l'IA. C'est une loi que l'IA fait trébucher si personne ne surveille ce qui entre dans les outils.
Qui veille
La Commission d'accès à l'information du Québec (CAI), avec de vrais pouvoirs d'enquête et de sanction.
Sanctions
Sanctions administratives jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial ; pénales jusqu'à 25 M$ ou 4 %.
Pour qui
Toute organisation, privée ou publique, qui traite des renseignements personnels de personnes au Québec.
Cinq obligations qui touchent directement vos usages d'IA
Chaque organisation doit désigner un responsable de la protection des renseignements personnels. Par défaut, c'est la personne à la plus haute autorité. C'est elle qui répond de ce qui entre dans vos outils d'IA.
On ne recueille et n'utilise que ce qui est nécessaire, pour une fin déterminée. Coller un dossier client complet dans un robot conversationnel pour rédiger un courriel échoue ce test.
Avant tout projet qui traite des renseignements personnels, dont l'acquisition d'un outil d'IA, une EFVP est requise. Elle l'est aussi avant de communiquer des renseignements hors Québec.
Si une décision est fondée exclusivement sur un traitement automatisé, vous devez en informer la personne, et lui permettre de présenter ses observations. L'IA qui trie des candidatures est en plein dans cette zone.
Tout incident présentant un risque de préjudice sérieux doit être déclaré à la CAI et aux personnes concernées, et consigné dans un registre. Une fuite via un outil d'IA est un incident comme un autre.
Dans le référentiel IA id, la Loi 25 pèse surtout sur les propriétés Souveraine, Imputable et Gouvernée. Repère d'alignement : la conformité précise se confirme avec un conseiller juridique.
Comment identifiable vous y prépare
identifiable offre un programme Loi 25 appliqué à l'IA : formation des équipes, accompagnement conseil et attestation, pour que la conformité devienne une pratique, pas une pile de documents.
Trois questions qui reviennent
Ma PME est-elle vraiment concernée ?
Oui. La Loi 25 s'applique sans seuil de taille. Une entreprise de cinq personnes qui colle des courriels de clients dans un outil d'IA traite des renseignements personnels, au sens de la loi.
Utiliser ChatGPT ou Copilot est-il interdit ?
Non. Ce qui compte, c'est ce que vous y mettez et ce que vous pouvez en démontrer : finalité, minimisation, consentement quand il est requis, et maîtrise de la résidence des données.
Quel est le premier geste à poser ?
L'inventaire : quels outils, quelles données, quel pays. Le Diagnostic Flash vous remet en cinq minutes des Astuces iD personnalisées, alignées sur la Loi 25 et le NIST AI RMF.
Vos usages d'IA passeraient-ils le test de la Loi 25 ?
Le diagnostic situe votre propriété Souveraine et votre imputabilité en douze questions. La suite se mesure sur preuve.