Aller au contenu principal
Margence

Guide pratique pour les PME du Québec

Loi 25 et IA. Les gestes qui comptent.

Dès qu'un outil d'IA traite des renseignements sur vos clients, vos employés ou vos candidats, votre entreprise demeure responsable. Voici les obligations à mettre en place, les questions à poser aux fournisseurs et l'ordre dans lequel agir.

La réponse courte

La Loi 25 n'interdit ni l'intelligence artificielle ni les fournisseurs situés hors Québec. Elle oblige l'entreprise à garder le contrôle du cycle de vie des renseignements personnels : finalité précise, collecte nécessaire, transparence, accès limité, sécurité, contrats, conservation, droits des personnes et gestion des incidents. Une EFVP est obligatoire pour certains projets technologiques impliquant des renseignements personnels et avant une communication à l'extérieur du Québec.

Un centre de données au Canada peut réduire certains risques, mais ne prouve pas à lui seul la conformité. À l'inverse, un fournisseur étranger n'est pas automatiquement interdit. La décision doit être documentée selon les faits du projet.

Utiliser le modèle de politique IA
Toutes
les PME visées, sans exemption générale fondée sur la petite taille
30 jours
au plus pour répondre par écrit à une demande d'accès ou de rectification
5 ans
de conservation minimale du registre des incidents de confidentialité

Ce qui doit exister aujourd'hui

Les obligations de base avant même de parler d'IA.

La conformité ne commence pas dans les paramètres d'un modèle. Elle commence dans la gouvernance de l'entreprise et couvre tout le cycle de vie des renseignements.

  1. Art. 3.101

    Attribuer la responsabilité

    La personne ayant la plus haute autorité est responsable par défaut. La fonction peut être déléguée par écrit, en tout ou en partie.

    Preuve attendue : Publier le titre et les coordonnées du responsable sur le site Web, puis lui donner l'autorité et les ressources nécessaires.

  2. Art. 3.202

    Documenter la gouvernance

    Les politiques et pratiques doivent couvrir la conservation, la destruction, les rôles du personnel et le traitement des plaintes.

    Preuve attendue : Faire approuver les règles par le responsable et publier une information détaillée en termes simples et clairs.

  3. Art. 4, 5, 8 et 8.203

    Définir, minimiser et informer

    Déterminer une finalité sérieuse et légitime avant la collecte, puis ne recueillir que les renseignements nécessaires.

    Preuve attendue : Informer les personnes des fins, des moyens, de leurs droits, des tiers concernés et d'un possible transfert hors Québec. Publier une politique de confidentialité pour toute collecte technologique.

  4. Art. 12 à 1404

    Contrôler l'utilisation et le consentement

    Un renseignement est normalement utilisé pour la finalité annoncée. Une nouvelle finalité exige un consentement valide, sauf exception prévue par la Loi.

    Preuve attendue : Demander un consentement manifeste, libre, éclairé, spécifique, distinct et limité dans le temps. Le consentement relatif à un renseignement sensible doit être exprès.

  5. Art. 10, 11 et 2305

    Sécuriser, conserver et détruire

    Les mesures de sécurité doivent être raisonnables selon la sensibilité, la finalité, la quantité, la répartition et le support des renseignements.

    Preuve attendue : Limiter les accès, garder les données exactes lorsqu'elles servent à une décision, établir des délais de conservation et détruire ou anonymiser selon les règles applicables.

  6. Art. 18.306

    Encadrer les fournisseurs

    Une communication nécessaire à un mandat ou à un contrat de service peut se faire sans consentement lorsque les conditions de la Loi sont respectées.

    Preuve attendue : Prévoir par écrit la confidentialité, l'usage limité au mandat, la fin de conservation, l'avis sans délai en cas de violation et le droit de vérification.

  7. Art. 27 à 3207

    Répondre aux droits des personnes

    Les personnes peuvent notamment demander l'accès et la rectification. Le droit à la portabilité vise certains renseignements informatisés recueillis auprès d'elles.

    Preuve attendue : Avoir une procédure, vérifier l'identité du demandeur et répondre par écrit avec diligence, au plus tard dans les 30 jours.

  8. Art. 3.5 à 3.808

    Préparer les incidents

    L'entreprise doit réduire le risque, prévenir la répétition et évaluer le risque de préjudice sérieux avec son responsable.

    Preuve attendue : Aviser avec diligence la CAI et les personnes concernées si le risque est sérieux. Consigner tous les incidents dans un registre conservé au moins cinq ans.

Cette liste présente les principaux contrôles pour une PME. Des obligations sectorielles supplémentaires peuvent s'appliquer, notamment en santé, en finance, en assurance ou dans une profession réglementée.

L'IA sur le terrain

Cinq situations à encadrer différemment.

Le nom du modèle ne décide pas de la conformité. Ce qui compte est la donnée envoyée, la finalité, les accès accordés, le fonctionnement du système et le rôle du fournisseur.

  1. 01

    Un employé colle un courriel ou un dossier client dans un assistant IA

    Le contenu peut communiquer des renseignements personnels au fournisseur. Un compte personnel peut aussi échapper aux contrats, aux paramètres et aux contrôles de l'entreprise.

    Réflexe PME

    Utiliser seulement un environnement approuvé, retirer les données non nécessaires, vérifier la finalité d'origine et documenter la conservation, l'entraînement, la localisation et les accès du fournisseur.

  2. 02

    Un agent IA reçoit un accès au CRM, au courriel ou au système comptable

    L'agent peut réunir des données qui étaient auparavant cloisonnées, agir avec des privilèges trop larges et communiquer des renseignements à plusieurs sous-traitants.

    Réflexe PME

    Réaliser l'EFVP requise, limiter les permissions au strict nécessaire, faire approuver les actions sensibles, journaliser les accès et prévoir une révocation immédiate.

  3. 03

    Un assistant interne cherche dans les politiques, contrats et dossiers de l'entreprise

    Un index central peut contourner les permissions des documents sources. Une réponse peut aussi révéler ou inférer un renseignement sur une personne.

    Réflexe PME

    Conserver les droits d'accès à la source, filtrer la recherche par utilisateur, tester les fuites entre dossiers et définir la conservation des journaux et des index.

  4. 04

    L'entreprise entraîne ou adapte un modèle avec ses propres données

    L'entraînement peut constituer une nouvelle finalité. Une donnée dépersonnalisée reste un renseignement personnel et un modèle peut mémoriser certains éléments.

    Réflexe PME

    Valider la nécessité et la base d'utilisation, réduire le corpus, mesurer le risque de réidentification ou de mémorisation et prévoir la suppression ou la reconstruction du modèle lorsque requis.

  5. 05

    L'IA filtre des candidatures, accorde un crédit ou décide d'une priorité

    Si la décision repose exclusivement sur un traitement automatisé de renseignements personnels, l'article 12.1 impose des obligations particulières.

    Réflexe PME

    Informer la personne, expliquer sur demande les données et principaux facteurs, permettre la rectification et offrir une réelle occasion de présenter ses observations à une personne capable de réviser la décision.

Un résultat créé ou inféré par une IA peut lui-même être un renseignement personnel s'il concerne une personne et permet de l'identifier directement ou indirectement.

Évaluation des facteurs relatifs à la vie privée

Quand l'EFVP devient obligatoire.

L'EFVP est une démarche préventive et évolutive. Elle doit commencer assez tôt pour influencer le choix de l'outil, le contrat et l'architecture, puis être mise à jour si le projet change.

L'ampleur de l'évaluation doit être proportionnée à la sensibilité, à la finalité, à la quantité, à la répartition et au support des renseignements.

Article 3.3

Nouveau système ou refonte

Tout projet d'acquisition, de développement ou de refonte d'un système d'information ou d'une prestation électronique de services impliquant des renseignements personnels.

Article 17

Renseignements à l'extérieur du Québec

Avant de communiquer un renseignement personnel hors Québec ou de confier à un fournisseur hors Québec sa collecte, son utilisation, sa communication ou sa conservation.

Ce que le dossier devrait démontrer

  • Décrire le projet, la finalité et les décisions que le système doit soutenir
  • Inventorier les renseignements, leur sensibilité, leur quantité et tous leurs parcours
  • Démontrer la nécessité et examiner des solutions moins intrusives
  • Identifier les fournisseurs, sous-traitants, lieux de traitement et régimes juridiques
  • Évaluer les risques pour les personnes, leur probabilité et leurs conséquences
  • Définir les mesures d'atténuation, les responsables, le risque résiduel et les conditions de révision

Contrats et transferts

Le bon test n'est pas seulement l'hébergement.

Avant une communication de renseignements personnels à l'extérieur du Québec, l'entreprise doit réaliser une EFVP. La communication peut avoir lieu si l'évaluation démontre une protection adéquate; une entente écrite doit tenir compte des résultats et des mesures d'atténuation. Le régime juridique applicable, y compris les pouvoirs d'accès gouvernemental, est un facteur parmi plusieurs.

Même au Québec, un fournisseur qui reçoit des renseignements dans le cadre d'un mandat doit être encadré par écrit. Une promesse de non-entraînement est utile, mais elle ne remplace pas les clauses sur l'utilisation, la conservation, les sous-traitants, les incidents, la destruction et la vérification.

Signal à surveiller : en mai 2026, la CAI a publié les résultats d'une enquête conjointe concluant que certaines pratiques initiales de ChatGPT n'avaient pas pleinement respecté les lois applicables, notamment sur le consentement et la conservation. Cela ne rend pas l'outil automatiquement interdit; cela confirme qu'un nom connu ou un forfait professionnel ne dispense jamais l'entreprise de sa propre analyse.

Points à obtenir par écrit

  • 01Finalité précise du service et catégories de renseignements strictement nécessaires
  • 02Interdiction d'utiliser les données pour d'autres fins, dont l'entraînement, sauf autorisation explicite et légalement justifiée
  • 03Durées de conservation, sauvegardes, retour et destruction à la fin du mandat
  • 04Sous-traitants, lieux de traitement et mécanisme d'avis avant tout changement important
  • 05Contrôles d'accès, chiffrement, journalisation, tests de sécurité et preuves disponibles
  • 06Avis sans délai de toute violation ou tentative de violation de la confidentialité
  • 07Droit de vérification et assistance pour les demandes d'accès, de rectification, de portabilité et les incidents
  • 08Pour un transfert hors Québec : entente écrite reflétant l'EFVP, le régime juridique et les mesures d'atténuation

Quand quelque chose dérape

Chaque incident laisse une trace.

Un document envoyé au mauvais assistant, un connecteur trop permissif ou une réponse qui révèle le dossier d'un autre client peut constituer un incident de confidentialité. Tous les incidents doivent être consignés, même lorsqu'ils ne présentent pas un risque de préjudice sérieux.

  1. 01

    Contenir et préserver les faits

    Couper l'accès ou le connecteur à risque, préserver les journaux et déterminer les renseignements, les systèmes et les personnes concernés.

  2. 02

    Évaluer le préjudice

    Considérer la sensibilité des renseignements, les conséquences appréhendées et la probabilité d'une utilisation préjudiciable, avec le responsable de la protection des renseignements personnels.

  3. 03

    Aviser lorsque le risque est sérieux

    Aviser avec diligence la CAI et les personnes concernées. L'avis doit décrire l'incident, ses effets possibles, les mesures prises et les gestes proposés aux personnes.

  4. 04

    Inscrire et corriger

    Documenter tous les incidents dans le registre, même sans risque sérieux, le mettre à jour, le conserver au moins cinq ans et corriger la cause pour prévenir une répétition.

Ordre d'exécution pour une PME

Commencer petit, mais commencer pour vrai.

L'objectif n'est pas de produire une montagne de politiques. Il est de savoir qui décide, quelles données circulent, quels outils sont permis et quoi faire lorsqu'un risque apparaît.

  1. D'abord

    01

    Voir ce qui circule

    • Confirmer le responsable et publier ses coordonnées
    • Inventorier les outils IA, y compris les comptes personnels utilisés au travail
    • Identifier les données clients, employés et candidats qui entrent dans chaque outil
    • Créer le registre des incidents et une voie interne pour les signaler
  2. Ensuite

    02

    Mettre les règles minimales

    • Publier les informations de gouvernance et la politique de confidentialité requise
    • Définir les outils permis, les usages interdits et la procédure d'approbation
    • Établir les règles de conservation, destruction, accès et traitement des demandes
    • Revoir les contrats et fermer les accès qui ne sont pas nécessaires
  3. Avant chaque projet IA

    03

    Prouver la décision

    • Confirmer la finalité, la nécessité et les renseignements réellement requis
    • Réaliser l'EFVP lorsqu'un déclencheur légal s'applique
    • Tester les permissions, les sorties, la suppression et la réponse aux incidents
    • Former les utilisateurs et conserver la décision, les conditions et les responsables

Sanctions et responsabilité

Les montants sont élevés. La preuve compte aussi.

Les sanctions maximales ne sont pas automatiques. La nature du manquement, sa durée, la sensibilité des renseignements, le nombre de personnes touchées et les mesures prises par l'entreprise font partie des facteurs considérés.

10 M$ ou 2 %

Sanction administrative maximale

Le montant maximal pour une entreprise est le plus élevé de 10 M$ ou 2 % du chiffre d'affaires mondial de l'exercice précédent.

25 M$ ou 4 %

Amende pénale maximale

Pour une entreprise, l'amende peut atteindre le plus élevé de 25 M$ ou 4 % du chiffre d'affaires mondial de l'exercice précédent.

1 000 $ minimum

Dommages-intérêts punitifs

Un tribunal doit accorder au moins 1 000 $ lorsqu'une atteinte illicite cause un préjudice et qu'elle est intentionnelle ou résulte d'une faute lourde.

Les sanctions administratives, les poursuites pénales et les recours civils sont des mécanismes distincts. En cas de récidive, les amendes pénales prévues par la Loi peuvent être doublées.

Sources officielles

Une page vérifiable, pas une opinion juridique.

Les affirmations de ce guide ont été vérifiées dans le texte officiel de la Loi et dans les ressources de la Commission d'accès à l'information. En cas de divergence, la Loi et les règlements prévalent. Ce contenu est de l'information générale et ne remplace pas un avis juridique.

Dernière vérification : 12 juillet 2026

FAQ

La Loi 25 et l'IA, sans raccourci.

La Loi 25 s'applique-t-elle aux petites entreprises?

Oui. La Loi sur la protection des renseignements personnels dans le secteur privé ne prévoit pas d'exemption générale selon le nombre d'employés ou le chiffre d'affaires. Une petite entreprise qui recueille, détient, utilise ou communique des renseignements personnels dans le cadre de ses activités au Québec doit respecter les obligations applicables. La portée exacte peut varier selon le secteur et la nature des renseignements.

Peut-on utiliser ChatGPT, Claude, Copilot ou Gemini avec des données de clients?

Aucun de ces outils n'est interdit par son nom. L'entreprise doit toutefois vérifier que la donnée est nécessaire, que l'usage respecte la finalité annoncée, que le compte et le contrat offrent les contrôles requis et qu'une EFVP est réalisée lorsque le projet ou un transfert hors Québec la rend obligatoire. Un compte personnel ou grand public non approuvé ne devrait pas recevoir de renseignements de clients, d'employés ou de candidats.

Faut-il faire une EFVP pour chaque outil d'IA?

Non, pas automatiquement. L'EFVP est notamment obligatoire pour un projet d'acquisition, de développement ou de refonte d'un système d'information ou d'une prestation électronique de services impliquant des renseignements personnels, ainsi qu'avant une communication de renseignements personnels à l'extérieur du Québec. Un essai qui ne traite aucun renseignement personnel peut ne pas déclencher ces obligations, mais il doit tout de même respecter les règles internes de sécurité et de confidentialité.

Un serveur au Canada suffit-il pour être conforme à la Loi 25?

Non. La localisation est un facteur utile, mais la Loi demande d'évaluer aussi la sensibilité, la finalité, les mesures contractuelles et techniques ainsi que le régime juridique applicable. Un fournisseur étranger n'est pas automatiquement non conforme : un transfert hors Québec peut avoir lieu si l'EFVP démontre une protection adéquate et si une entente écrite tient compte des risques et des mesures d'atténuation.

Retirer les noms avant d'utiliser l'IA règle-t-il le problème?

Pas toujours. Retirer les identifiants directs peut dépersonnaliser les données et réduire le risque, mais une donnée dépersonnalisée demeure un renseignement personnel si une identification indirecte reste possible. L'anonymisation exige qu'il soit raisonnable de prévoir, en tout temps et de façon irréversible, que la personne ne puisse plus être identifiée, selon les critères du règlement applicable.

Que doit faire une PME si l'IA prend une décision sur une personne?

Lorsque la décision est fondée exclusivement sur un traitement automatisé de renseignements personnels, l'entreprise doit en informer la personne au plus tard au moment de la décision. Sur demande, elle doit expliquer les renseignements utilisés, les raisons et principaux facteurs, informer du droit de rectification et permettre à la personne de présenter ses observations à un membre du personnel capable de réviser la décision.

Que faut-il faire si un renseignement personnel est envoyé par erreur dans un outil d'IA?

Il faut traiter la situation comme un incident potentiel : limiter immédiatement l'exposition, vérifier les journaux et les fonctions de suppression, évaluer le risque de préjudice avec le responsable, inscrire l'incident au registre et corriger la cause. Si le risque de préjudice sérieux est établi, la CAI et les personnes concernées doivent être avisées avec diligence.

Quels documents une PME devrait-elle avoir pour encadrer l'IA?

Au minimum : la désignation du responsable, les politiques et pratiques de gouvernance, une politique de confidentialité adaptée aux collectes technologiques, un inventaire des outils et flux de données, des règles d'utilisation de l'IA, des contrats fournisseurs conformes, un calendrier de conservation, une procédure pour les droits des personnes, un registre et un plan d'incident, ainsi que les EFVP requises pour les projets concernés.

Quelles sont les sanctions prévues par la Loi 25?

Pour une entreprise, une sanction administrative pécuniaire peut atteindre le plus élevé de 10 M$ ou 2 % du chiffre d'affaires mondial de l'exercice précédent. Une amende pénale peut atteindre le plus élevé de 25 M$ ou 4 %. Des dommages-intérêts punitifs d'au moins 1 000 $ sont aussi prévus lorsqu'une atteinte illicite cause un préjudice et qu'elle est intentionnelle ou résulte d'une faute lourde. Ces mécanismes ont des conditions distinctes et les maximums ne sont pas automatiques.

Votre projet IA mérite un cadre clair.

Margence peut cartographier les flux de données, documenter les contrôles du fournisseur et intégrer les exigences de conformité au projet. Lorsqu'une interprétation juridique est requise, nous travaillons avec votre conseiller juridique ou recommandons une validation spécialisée.