Vous utilisez ChatGPT, Notion, HubSpot ou d’autres outils IA dans votre PME québécoise? Alors la Loi 25 vous concerne directement. Depuis son entrée en vigueur complète en septembre 2023, cette loi impose des obligations importantes sur la collecte, l’utilisation et la protection des renseignements personnels — et l’IA amplifie ces enjeux. Dans ce guide, on démystifie la Loi 25 en langage clair et on vous explique concrètement comment utiliser l’IA de façon conforme dans votre PME.
Note importante : Cet article est à titre informatif seulement et ne constitue pas un avis juridique. Consultez un avocat spécialisé en droit de la protection des données pour votre situation spécifique.
Qu’est-ce que la Loi 25 et pourquoi ça touche l’IA?
La Loi 25 — officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » — est la réforme majeure du cadre québécois sur la vie privée. Elle modernise la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et s’inspire du RGPD européen.
Le lien avec l’IA est direct : quand vous utilisez un outil IA comme ChatGPT, vous lui confiez potentiellement des données sur vos clients, vos employés ou vos partenaires d’affaires. Ces données peuvent être :
- Des noms, courriels, numéros de téléphone de clients
- Des historiques de commandes ou de transactions
- Des informations sur des employés
- Des données de santé ou financières
- Des identifiants uniques (adresses IP, cookies, etc.)
Or, la Loi 25 encadre précisément comment ces données peuvent être collectées, utilisées, transmises à des tiers (dont les fournisseurs IA) et protégées.
Les 5 obligations principales de la Loi 25 pour les PME
1. Désigner un responsable de la protection des renseignements personnels
Toute entreprise doit désigner une personne responsable de la protection des renseignements personnels (PRP). Dans une PME, c’est souvent le propriétaire ou un gestionnaire senior. Ce responsable doit :
- S’assurer que l’entreprise respecte la loi
- Traiter les demandes d’accès et de rectification
- Gérer les incidents de confidentialité
- Avoir son titre et ses coordonnées publiés sur le site web de l’entreprise
Impact sur l’IA : Ce responsable doit évaluer chaque outil IA utilisé dans l’entreprise pour déterminer s’il traite des données personnelles et comment.
2. Obtenir un consentement valide
Le consentement doit être libre, éclairé, spécifique et manifeste. Pour les données sensibles (santé, finances, origines ethniques, etc.), le consentement doit être explicite.
Impact sur l’IA : Si vous utilisez un outil IA pour analyser les habitudes d’achat de vos clients, ou pour personnaliser leurs expériences, vous devez les informer de cet usage et, dans certains cas, obtenir leur consentement. Votre politique de confidentialité doit mentionner l’utilisation d’outils IA.
3. Évaluer les facteurs relatifs à la vie privée (EFVP)
Pour tout nouveau projet impliquant des données personnelles — y compris l’adoption d’un nouvel outil IA — une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) peut être requise. Cette évaluation analyse les risques pour la vie privée et comment les mitiger.
Quand faire une EFVP :
- Avant d’implanter un nouveau système ou application qui collecte des données personnelles
- Avant d’utiliser des données personnelles à de nouvelles fins
- Avant d’utiliser des technologies biométriques ou de profilage
- Avant de transmettre des données à l’extérieur du Québec (ex. : services cloud américains)
4. Signaler les incidents de confidentialité
En cas d’incident (fuite de données, accès non autorisé, perte de données), vous devez :
- Évaluer le risque de préjudice sérieux
- Si préjudice sérieux probable : aviser la Commission d’accès à l’information (CAI) et les personnes concernées
- Documenter tous les incidents dans un registre
Impact sur l’IA : Si un outil IA que vous utilisez est victime d’une brèche de sécurité et que des données de vos clients y étaient stockées, vous pourriez être tenu responsable et devoir notifier la CAI.
5. Respecter les droits des individus
La Loi 25 renforce les droits des individus, dont :
- Droit d’accès : toute personne peut demander à voir ses données
- Droit de rectification : corriger des données inexactes
- Droit à la portabilité : recevoir ses données dans un format structuré et lisible
- Droit à la désindexation : dans certains cas, demander la suppression d’informations en ligne
Les outils IA les plus utilisés et leur conformité Loi 25
Voici comment les outils IA les plus populaires se positionnent par rapport aux exigences de la Loi 25 :
| Outil IA | Données stockées où? | Option de ne pas entraîner l’IA? | Niveau de risque Loi 25 |
|---|---|---|---|
| ChatGPT (OpenAI) | États-Unis | Oui (désactivable) | Moyen — hors Québec |
| Claude (Anthropic) | États-Unis | Oui | Moyen — hors Québec |
| Microsoft Copilot (M365) | États-Unis / Canada possible | Oui (Enterprise) | Faible à moyen |
| Notion IA | États-Unis | Oui (paramètres) | Moyen — hors Québec |
| HubSpot IA | États-Unis | Partiel | Moyen |
| n8n (auto-hébergé) | Votre serveur | N/A | Faible |
| Outils locaux (LLM local) | Votre ordinateur | N/A | Très faible |
Le cas de la transmission hors Québec : La Loi 25 exige que la communication de renseignements personnels à l’extérieur du Québec soit encadrée par une entente avec le destinataire et précédée d’une EFVP. En pratique, cela signifie que transférer des données de clients québécois vers des serveurs américains (comme ceux d’OpenAI) nécessite des précautions.
10 bonnes pratiques concrètes pour utiliser l’IA en conformité avec la Loi 25
1. Anonymisez les données avant de les soumettre à l’IA
La règle d’or : ne jamais soumettre de données personnelles identifiables à un outil IA externe. Avant de coller du texte dans ChatGPT ou Claude, remplacez les données sensibles :
- Remplacez les noms par des pseudonymes (« Client A », « Employé 1 »)
- Supprimez les adresses courriel, numéros de téléphone et adresses physiques
- Remplacez les montants précis par des approximations
- Supprimez tout numéro d’identification (NAS, numéro de client, etc.)
2. Désactivez l’entraînement IA sur vos données
La plupart des outils IA offrent une option pour empêcher que vos données soient utilisées pour entraîner leurs modèles. Activez systématiquement cette option :
- ChatGPT : Paramètres → Contrôles des données → Désactiver « Améliorer le modèle pour tout le monde »
- Notion : Paramètres → IA → Désactiver l’utilisation des données pour l’entraînement
- Pour les plans entreprise : vérifiez les conditions spécifiques — les plans Business/Enterprise offrent généralement de meilleures garanties
3. Mettez à jour votre politique de confidentialité
Votre politique de confidentialité doit maintenant mentionner explicitement :
- Quels outils IA vous utilisez et à quelles fins
- Quelles données peuvent être traitées par ces outils
- Comment les individus peuvent exercer leurs droits
- Les coordonnées de votre responsable de la protection des données
4. Créez un inventaire de vos outils IA
Documentez tous les outils IA utilisés dans votre entreprise dans un registre simple :
- Nom de l’outil et fournisseur
- Données personnelles potentiellement traitées
- Localisation des serveurs
- Paramètres de confidentialité activés
- Lien vers leur politique de confidentialité
5. Formez vos employés
Vos employés doivent comprendre quoi ne jamais mettre dans un outil IA externe. Une formation de 30 minutes peut éviter des incidents coûteux. Créez une politique interne claire : « Voici ce qu’on peut et ne peut pas partager avec les IA ».
6. Évaluez les alternatives locales ou canadiennes
Pour les données les plus sensibles, considérez des alternatives qui hébergent les données au Canada ou en Europe :
- Microsoft Azure (région Canada) : Copilot et services IA avec données hébergées au Canada
- n8n auto-hébergé : automatisation avec données sur votre propre serveur
- LLM locaux (Ollama, LM Studio) : modèles IA qui tournent sur votre ordinateur, zéro transfert de données
7. Signez des ententes avec vos fournisseurs IA
Si vous transmettez des données personnelles à un outil IA externe, vous devriez avoir une entente contractuelle (Data Processing Agreement ou DPA) avec ce fournisseur. La plupart des grandes plateformes en offrent une — vérifiez et signez ces ententes pour les outils que vous utilisez régulièrement avec des données clients.
8. Effectuez une EFVP pour les projets IA majeurs
Si vous envisagez un projet IA important (chatbot client avec accès aux données, analyse prédictive du comportement client, automatisation RH avec données employés), faites une Évaluation des Facteurs relatifs à la Vie Privée avant de lancer. La CAI offre des ressources gratuites pour réaliser cet exercice.
9. Respectez le principe de minimisation des données
Ne collectez que les données nécessaires à votre usage IA. Si votre chatbot de service client n’a pas besoin de la date de naissance du client pour répondre à ses questions, ne la collectez pas. Moins de données = moins de risques.
10. Restez informé des évolutions réglementaires
La réglementation sur l’IA évolue rapidement. Au Canada, la Loi sur l’intelligence artificielle et les données (LIAD) est en cours d’élaboration. Surveillez les mises à jour de la Commission d’accès à l’information du Québec (CAI) et abonnez-vous à leurs communications.
Les sanctions possibles en cas de non-conformité
La Loi 25 prévoit des sanctions significatives qui doivent motiver les PME à prendre ces obligations au sérieux :
| Type d’infraction | Sanction administrative (CAI) | Sanction pénale |
|---|---|---|
| Défaut de sécurité ayant causé préjudice | Jusqu’à 10 M$ ou 2% revenus mondiaux | Jusqu’à 25 M$ ou 4% |
| Collecte sans consentement valide | Jusqu’à 10 M$ ou 2% revenus | Jusqu’à 25 M$ ou 4% |
| Défaut de notification d’incident | Jusqu’à 10 M$ ou 2% revenus | Jusqu’à 25 M$ ou 4% |
| Non-respect des droits des individus | Jusqu’à 10 M$ ou 2% revenus | Jusqu’à 25 M$ ou 4% |
Pour les PME, les montants réels seront généralement bien inférieurs aux maximums, mais une amende de quelques milliers à dizaines de milliers de dollars peut être significative. Sans compter les dommages à la réputation.
Plan d’action Loi 25 pour votre PME : par où commencer?
Si vous n’avez pas encore pris les mesures nécessaires, voici un plan d’action pragmatique :
- Cette semaine : Désignez officiellement votre responsable de la protection des renseignements personnels et publiez son nom sur votre site web.
- Ce mois-ci : Dressez l’inventaire de tous les renseignements personnels que vous collectez et de tous les outils (dont les IA) qui y ont accès.
- Dans les 30 jours : Mettez à jour votre politique de confidentialité pour inclure l’usage de l’IA et vérifiez que vos consentements sont valides.
- Dans les 60 jours : Désactivez l’entraînement IA sur vos données dans tous vos outils. Formez vos employés aux bonnes pratiques.
- Dans les 90 jours : Pour les projets IA majeurs, effectuez une EFVP. Signez les DPA avec vos fournisseurs clés.
Ressources officielles pour aller plus loin
- Commission d’accès à l’information du Québec (CAI) : cai.gouv.qc.ca — guides pratiques et ressources gratuites pour les entreprises
- Loi 25 — texte officiel : legisquebec.gouv.qc.ca
- Outil d’autodiagnostic de la CAI : disponible sur le site de la CAI pour évaluer votre niveau de conformité
- Association pour la protection des données au Québec : ressources et formations spécialisées
Conclusion : l’IA conforme, un avantage compétitif
La conformité à la Loi 25 dans le contexte de l’IA peut sembler contraignante, mais elle est aussi une occasion de vous distinguer. Les entreprises qui traitent les données de leurs clients avec respect et transparence bâtissent une confiance qui est difficile à acheter.
L’IA responsable et conforme n’est pas une limitation — c’est un positionnement fort. En 2026, les consommateurs québécois sont de plus en plus sensibles à la façon dont leurs données sont utilisées. Être la PME qui peut dire « on utilise l’IA, mais on protège vos données » est un véritable avantage compétitif.
Pour approfondir votre transformation numérique de façon responsable, consultez nos autres guides sur PME AI : ChatGPT pour le service client, Notion IA pour PME et notre liste des meilleurs outils IA gratuits.
📚 Articles connexes sur PME AI
- Guide complet IA pour PME québécoises 2026
- ROI de l’IA pour PME : calculs concrets 2026
- Automatiser la facturation avec l’IA
- IA et comptabilité pour PME
Article rédigé par l’équipe PME AI à titre informatif. Pour des conseils juridiques spécifiques à votre situation, consultez un avocat spécialisé en protection des données personnelles.
❓ Questions fréquentes : Loi 25 et intelligence artificielle au Québec
Oui, si vous entrez des renseignements personnels de clients ou d’employés dans ChatGPT. Vous devez vous assurer que l’outil respecte vos obligations de confidentialité, désactiver l’option ‘Improve model for everyone’ dans les paramètres, et informer vos clients si leurs données sont traitées par IA. Pour les données très sensibles, utilisez ChatGPT Enterprise ou une solution hébergée au Canada.
Les amendes administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial (le montant le plus élevé) pour des infractions mineures. Pour des infractions graves ou intentionnelles, les pénalités pénales peuvent aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Les PME sont toutefois traitées proportionnellement à leur taille.
Toute organisation qui collecte des renseignements personnels au Québec doit désigner un responsable de la protection des renseignements personnels (RPRP). Dans une PME, ce rôle est souvent assumé par le propriétaire ou le dirigeant. La nomination doit être documentée et la personne désignée doit être accessible pour les demandes des citoyens.
Les décisions automatisées basées exclusivement sur le traitement automatisé de renseignements personnels (ex. : refus automatique de crédit, filtrage IA de CV) nécessitent une divulgation préalable et le droit de la personne de faire réviser la décision par un humain. C’est l’une des obligations les plus importantes de la Loi 25 en contexte d’IA.