Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur au Québec. Pour les PME québécoises qui utilisent des outils d’intelligence artificielle — CRM, chatbots, email marketing, analytics, recrutement automatisé — cette loi n’est pas une formalité administrative. C’est un cadre juridique contraignant avec des amendes pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Ce guide vous explique exactement ce que vous devez faire pour utiliser l’IA en conformité avec la Loi 25.
Qu’est-ce que la Loi 25 et pourquoi concerne-t-elle les PME qui utilisent l’IA?
La Loi 25 est la version québécoise du RGPD européen — une réforme majeure de la protection des renseignements personnels qui s’applique à toute organisation qui collecte, utilise ou communique des renseignements personnels dans le cadre de ses activités commerciales. Si vous utilisez un logiciel IA qui traite des données sur vos clients, employés ou prospects, vous êtes concerné.
Les outils IA typiquement utilisés par les PME québécoises qui traitent des renseignements personnels incluent :
- 🤖 CRM (HubSpot, Salesforce, Pipedrive) — stockent des coordonnées, historiques d’achats, comportements
- 📧 Email marketing IA (Klaviyo, Mailchimp, Brevo) — analysent le comportement et personnalisent les envois
- 💬 Chatbots IA — collectent des informations via des conversations
- 📊 Analytics et pixels publicitaires (Google Analytics, Meta Pixel) — tracent le comportement des visiteurs
- 👥 Logiciels RH et recrutement IA — traitent des CV et renseignements sur les candidats
- 🛍️ Plateformes e-commerce (Shopify, WooCommerce) — stockent des données de transactions et de clients
Les 5 obligations clés de la Loi 25 pour les PME qui utilisent l’IA
1. Désigner un responsable de la protection des renseignements personnels (RPRP)
Toute organisation doit désigner une personne responsable de la conformité à la Loi 25. Dans une PME, c’est souvent le propriétaire, le directeur général ou un cadre senior. Cette personne n’a pas besoin d’être un juriste — mais elle doit connaître vos pratiques de collecte de données et être joignable pour répondre aux demandes.
Action concrète : Nommez votre RPRP officiellement (par écrit), publiez son nom et ses coordonnées sur votre site web, et tenez un registre des renseignements personnels que vous détenez.
2. Obtenir un consentement valide pour la collecte de données
Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Les pratiques qui ne sont plus acceptables en vertu de la Loi 25 :
- ❌ Cases pré-cochées pour l’abonnement à l’infolettre
- ❌ Consentement implicite par le simple fait de naviguer sur votre site
- ❌ Demande de consentement unique pour des fins multiples non précisées
- ❌ Politiques de confidentialité en jargon juridique incompréhensible
Action concrète : Installez une bannière de consentement aux témoins (cookies) conforme sur votre site. Des outils comme Pandectes GDPR, Complianz ou CookieYes s’intègrent à WordPress et Shopify pour automatiser cette conformité.
3. Mettre à jour votre politique de confidentialité
Votre politique de confidentialité doit maintenant inclure :
- La liste complète des renseignements collectés et leur finalité
- Les noms des tiers à qui vous communiquez des données (ex. : Mailchimp, Google Analytics, HubSpot)
- Si vos données sont communiquées hors Québec — et si oui, les protections en place
- Les droits des personnes : accès, rectification, retrait du consentement, effacement
- La durée de conservation des données
- L’utilisation de technologies de profilage (si applicable)
Action concrète : Utilisez ChatGPT pour rédiger une première version de votre politique en language clair, puis faites-la réviser par un juriste spécialisé en droit du numérique au Québec. Des services comme TermsFeed ou iubenda génèrent des politiques conformes pour ~30-50 $ CA/an.
4. Évaluer les facteurs relatifs à la vie privée (EFVP) pour les nouveaux projets IA
Avant de déployer un nouveau système IA qui traite des données personnelles (ex. : chatbot sur votre site, nouveau CRM, système de scoring de prospects), vous devez réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP). C’est essentiellement une analyse de risques : quelles données sont collectées, pourquoi, quels risques existent, et quelles mesures de protection sont en place.
Pour une PME, cette évaluation n’a pas besoin d’être un document de 50 pages — un document de 2-3 pages par projet IA significatif suffit généralement. La Commission d’accès à l’information du Québec (CAI) fournit un modèle gratuit sur son site.
5. Gérer les incidents de confidentialité
En cas de fuite de données ou d’accès non autorisé, vous avez des obligations strictes :
- 📋 Tenir un registre de tous les incidents de confidentialité (même mineurs)
- ⚡ Notifier la CAI dans les 72 heures si l’incident présente un risque sérieux
- 📬 Aviser les personnes concernées si leurs intérêts pourraient être affectés
Checklist de conformité IA + Loi 25 pour PME québécoises
| Obligation | Statut à vérifier | Priorité |
|---|---|---|
| RPRP désigné et publié | Nom et coordonnées sur votre site? | 🔴 Critique |
| Bannière de consentement cookies | Conforme sur votre site web? | 🔴 Critique |
| Politique de confidentialité à jour | Mentionne vos outils IA et tiers? | 🔴 Critique |
| Accord de traitement des données (DPA) | Signé avec HubSpot, Mailchimp, etc.? | 🟠 Important |
| Registre des renseignements personnels | Liste de toutes les données détenues? | 🟠 Important |
| EFVP pour nouveaux projets IA | Processus en place avant déploiement? | 🟡 Recommandé |
| Procédure de réponse aux demandes d’accès | Pouvez-vous répondre en 30 jours? | 🟠 Important |
| Plan de gestion des incidents | Procédure documentée si fuite? | 🟠 Important |
| Formation des employés | Équipe informée des obligations? | 🟡 Recommandé |
Outils IA populaires et leur conformité avec la Loi 25
| Outil | Données hébergées où? | DPA disponible? | Action requise |
|---|---|---|---|
| HubSpot CRM | États-Unis (AWS) | ✅ Oui | Signer le DPA en ligne, activer le consentement CASL |
| Mailchimp / Klaviyo | États-Unis | ✅ Oui | DPA + double opt-in + lien désabonnement visible |
| Google Analytics 4 | États-Unis | ✅ Oui | Activer l’anonymisation IP, bannière cookies, DPA |
| Shopify | États-Unis/Canada | ✅ Oui | Activer le module de confidentialité Shopify |
| QuickBooks Online | Canada (pour clients CA) | ✅ Oui | DPA inclus dans CGU canadiennes |
| ChatGPT (OpenAI) | États-Unis | ✅ Oui (Enterprise) | Ne pas soumettre de données personnelles identifiables dans les prompts |
Les amendes et risques réels pour les PME québécoises
La Commission d’accès à l’information (CAI) du Québec a reçu des pouvoirs d’application significatifs depuis l’entrée en vigueur complète de la Loi 25 en septembre 2023. Les sanctions prévues :
- ⚠️ Sanctions pénales : jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial (le plus élevé des deux)
- ⚠️ Sanctions administratives pécuniaires : jusqu’à 10 millions $ ou 2 % du CA mondial
- ⚠️ Dommages-intérêts punitifs : versés directement aux personnes dont les droits ont été violés
En pratique, la CAI cible d’abord les cas flagrants et les grandes organisations. Pour les PME de bonne foi qui font des efforts de conformité, le risque immédiat est faible — mais une plainte d’un client insatisfait peut déclencher une enquête. La meilleure protection est la conformité proactive.
FAQ : IA et Loi 25 pour PME québécoises
Ma PME est très petite (1-5 employés) — suis-je vraiment concerné par la Loi 25?
Oui — la Loi 25 s’applique à toute entreprise qui collecte des renseignements personnels dans le cadre de ses activités commerciales, peu importe sa taille. Si vous avez un site web avec Google Analytics, une liste de clients dans votre CRM ou une infolettre, vous êtes concerné. La bonne nouvelle : les obligations sont proportionnelles à vos risques. Une micro-entreprise avec 200 clients a des obligations moins lourdes qu’une PME avec 50 000 abonnés email.
Est-ce que je dois faire approuver mes outils IA par la CAI?
Non — il n’y a pas d’approbation préalable requise par la CAI pour déployer des outils IA. Vous devez réaliser une EFVP (Évaluation des facteurs relatifs à la vie privée) en interne avant de déployer des systèmes qui traitent des données personnelles à grande échelle, mais vous n’avez pas à la soumettre à la CAI sauf si elle révèle des risques élevés qui ne peuvent être atténués.
Puis-je utiliser les données de mes clients pour entraîner mes propres modèles IA?
Seulement si vous avez obtenu un consentement explicite à cet effet. L’utilisation de données clients pour entraîner des modèles IA va au-delà de la finalité pour laquelle les données ont été collectées (ex. : traitement des commandes, service client). Vous devez obtenir un consentement spécifique et informer clairement les personnes de cette utilisation. En pratique, la plupart des PME utilisent des outils IA tiers (qui ont leurs propres modèles entraînés) plutôt que d’entraîner les leurs.
Comment gérer les données de clients québécois hébergées aux États-Unis?
La Loi 25 permet la communication de renseignements personnels hors Québec si vous avez réalisé une évaluation des facteurs relatifs à la vie privée préalable, que le pays ou l’organisation destinataire offre une protection adéquate, et que vous avez conclu une entente (DPA) avec le destinataire. La plupart des grands fournisseurs SaaS américains (Google, HubSpot, Shopify) offrent des DPA conformes qui satisfont à cette exigence.
Conclusion : la conformité Loi 25 comme avantage concurrentiel
Les PME québécoises qui prennent la conformité à la Loi 25 au sérieux ne font pas que réduire leurs risques légaux — elles bâtissent la confiance de leurs clients. Dans un contexte où les consommateurs québécois sont de plus en plus conscients de leurs droits numériques, une PME transparente sur ses pratiques de données se démarque positivement de ses concurrents.
Commencez par les actions prioritaires de notre checklist, siglez vos DPA avec vos fournisseurs IA principaux, et nommez votre RPRP cette semaine. Pour découvrir comment intégrer l’IA dans votre PME de façon responsable et rentable, consultez notre guide ultime de la stratégie IA pour PME québécoises et notre sélection des meilleurs outils IA pour PME en 2026.
Ressources complémentaires PME AI
La conformité Loi 25 s’applique à tous vos outils IA. Consultez nos guides pratiques :
- 🤖 Chatbot IA pour PME : déployer un chatbot conforme Loi 25 sur votre site
- 📧 IA et email marketing : conformité LCAP et Loi 25 pour vos campagnes
- 📊 HubSpot IA : gérer les consentements et droits d’accès dans votre CRM
- 🛠️ Outils IA gratuits 2026 : vérifier la conformité de chaque outil avant adoption
- 🤖 ChatGPT vs Claude vs Gemini : politiques de confidentialité des données comparées