Si vous exploitez une entreprise au Québec et utilisez l’IA, la Loi 25 s’applique à vous. Peu importe votre taille : la loi québécoise modernisée sur la vie privée vise toute organisation qui recueille ou utilise des renseignements personnels de résidents du Québec, quels que soient sa taille ou son chiffre d’affaires.
L’IA rend la question plus pressante. Dès que vous collez un courriel client, un contrat ou une liste de noms dans un outil d’IA, des renseignements personnels sont en jeu. Voici un guide en langage clair sur ce qu’exige la Loi 25, et comment continuer à utiliser l’IA sans franchir la ligne.
Ceci est de l’information générale, pas un avis juridique. Pour votre situation précise, consultez un professionnel de la protection des renseignements personnels.
Ce qu’est la Loi 25
La Loi 25 (anciennement le projet de loi 64) a modernisé la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Elle est entrée en vigueur en trois phases : la déclaration des incidents et la désignation d’un responsable de la protection des renseignements personnels en septembre 2022 ; les règles de consentement, les évaluations des facteurs relatifs à la vie privée et les exigences de transparence en septembre 2023 ; et le droit à la portabilité des données en septembre 2024. Tout est aujourd’hui en vigueur, sous la surveillance de la Commission d’accès à l’information (CAI).
Pourquoi l’IA augmente les enjeux
La Loi 25 contient une disposition écrite pour ce moment précis. Lorsqu’une décision concernant une personne est fondée exclusivement sur un traitement automatisé (une IA qui décide sans humain dans la boucle), vous devez en informer la personne, et celle-ci a le droit de connaître les renseignements personnels utilisés, les raisons de la décision, et de présenter ses observations. Si une IA approuve, classe ou refuse des clients d’elle-même, cela vous concerne.
Plus largement, fournir des renseignements personnels à un outil d’IA constitue une utilisation de ces renseignements : les règles habituelles s’appliquent donc, une fin valable, le consentement au besoin et de la prudence sur la destination des données.
Ce qui compte, et quand la Loi 25 s’applique
La notion de « renseignement personnel » est plus large qu’on ne le croit : un nom accompagné d’un courriel, un numéro de téléphone, l’historique d’achats d’un client, une photo, une adresse IP liée à une personne. Dès que cela entre dans un outil d’IA, vous traitez des renseignements personnels au sens de la loi.
Trois usages courants de l’IA qui déclenchent des obligations :
| Usage de l’IA | Ce qu’exige la Loi 25 |
|---|---|
| Répondre aux courriels clients avec l’IA | Une fin valable et de la transparence sur le recours à l’IA |
| Trier ou classer des candidats | Informer la personne si la décision est automatisée ; lui permettre de savoir ce qui a été utilisé et pourquoi |
| Envoyer des données à un fournisseur hors Québec | Une évaluation des facteurs relatifs à la vie privée avant le transfert |
Le fil conducteur : l’IA n’a pas de passe-droit. Les règles qui s’appliquent quand une personne traite les données s’appliquent quand un modèle le fait.
Ce que vous devez faire concrètement
Pour une PME qui utilise l’IA, la liste pratique est courte :
- Désignez un responsable. Par défaut, c’est la personne ayant la plus haute autorité, mais vous pouvez en désigner une autre. Publiez son titre et ses coordonnées.
- Sachez ce que vous envoyez à l’IA. Limitez les renseignements personnels dans les prompts et les documents au strict nécessaire.
- Vérifiez où vont les données. Avant de transmettre des renseignements personnels hors du Québec, la Loi 25 exige une évaluation des facteurs relatifs à la vie privée. Sachez quel fournisseur traite vos données et où.
- Soyez transparent. Indiquez dans votre politique de confidentialité que vous utilisez l’IA, à quelles fins, et si des décisions sont automatisées.
- Ayez un plan en cas d’incident. Si des renseignements personnels sont exposés et qu’il y a un risque de préjudice sérieux, vous devez aviser la CAI et les personnes concernées.
- Obtenez le consentement pour les usages sensibles, et permettez de le retirer.
Les sanctions ne sont pas symboliques : des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial, et des amendes pénales jusqu’à 25 millions de dollars ou 4 %, selon le montant le plus élevé.
Comment la bonne plateforme aide
Une grande part de la conformité tient au contrôle et au fait de savoir où sont vos données. Avec Crewdle :
- Vos conversations et vos contenus ne servent jamais à entraîner des modèles d’IA (voir Sécurité et confidentialité), donc les données de vos clients ne sont pas absorbées dans le modèle d’un tiers.
- L’accès par rôle dans Crewdle Admin vous laisse décider qui peut utiliser quels outils et modèles, pour que les renseignements personnels ne circulent pas dans l’IA sans contrôle.
- Une seule plateforme, c’est un seul endroit pour raisonner sur la destination des données, plutôt qu’une douzaine d’abonnements d’IA dont vous ne pouvez rendre compte.
Rien de tout cela ne vous rend conforme à soi seul, mais cela élimine ce qui rend l’IA risquée : des données non suivies, des modèles entraînés sur vos informations, et aucun contrôle sur qui utilise quoi.
À retenir
La Loi 25 n’est pas une raison d’éviter l’IA. C’est une raison de l’utiliser délibérément : sachez ce que vous envoyez, contrôlez qui l’utilise, soyez honnête sur les décisions automatisées et choisissez des outils qui gardent vos données à vous. Faites cela, et vous obtenez les avantages de l’IA sans l’exposition.
Commencez gratuitement et voyez comment Crewdle garde vos données sous votre contrôle.
Posez vos questions sur cet article 
