Vos équipes utilisent déjà des outils d'intelligence artificielle (IA). ChatGPT pour rédiger un courriel, Copilot pour résumer une réunion, Gemini pour analyser un tableur, Claude pour préparer une présentation. Selon la plupart des sondages internes que nous voyons, l'usage est répandu, et la majorité des organisations québécoises n'ont aucune politique encadrant ces outils.
La Loi 25 ne contient pas de chapitre dédié à l'IA. Elle s'applique néanmoins directement chaque fois qu'un renseignement personnel entre dans un outil d'IA, et chaque fois qu'une décision importante est prise par un système automatisé. Pour une PME québécoise, le risque principal réside dans l'absence d'encadrement interne de ces outils.
Ce guide explique comment la Loi 25 s'applique aux outils d'IA générative, quelles obligations sont déclenchées, et ce qu'une politique interne minimale doit couvrir.
Ce que la Loi 25 dit (et ne dit pas) sur l'IA
La Commission d'accès à l'information (CAI) n'a pas publié de règlement spécifique à l'IA en date de 2026. Sa position publique est que les obligations de la Loi 25 s'appliquent intégralement à tout outil ou technologie qui traite des renseignements personnels, peu importe son type.
Concrètement, quatre situations déclenchent des obligations claires :
- L'entrée de renseignements personnels dans une requête (un prompt) à un outil d'IA grand public.
- Le partage de documents confidentiels contenant des renseignements personnels avec un service infonuagique d'IA.
- Les erreurs ou « hallucinations » d'un outil d'IA qui mènent à une décision préjudiciable basée sur des renseignements inexacts.
- Les décisions exclusivement automatisées qui produisent des effets importants sur une personne, encadrées par l'article 12.1 de la Loi 25 depuis septembre 2023.
Chacune mérite d'être traitée séparément.
Risque 1 : Renseignements personnels dans les requêtes
Lorsqu'un employé colle un curriculum vitae, un dossier d'employé, une plainte de client avec coordonnées, ou un fichier client dans ChatGPT, Copilot ou Gemini, deux choses se produisent simultanément.
D'abord, vous traitez des renseignements personnels. La Loi 25 vous oblige à respecter le principe de minimisation : ne collecter et ne partager que les renseignements strictement nécessaires à la finalité visée. Coller une base de données complète pour poser une question simple va à l'encontre de ce principe.
Ensuite, vous communiquez ces renseignements personnels hors Québec. Les serveurs d'OpenAI, de Microsoft et de Google se trouvent presque toujours à l'extérieur du territoire québécois. L'article 17 de la Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant ce type de communication, ainsi qu'une entente écrite avec le fournisseur. Pour les versions grand public de ces outils, ces conditions sont rarement remplies par défaut.
Mesures concrètes :
- Interdire par défaut l'entrée de renseignements personnels dans les versions grand public des outils d'IA
- Privilégier les versions entreprise (Microsoft 365 Copilot, ChatGPT Enterprise, Google Workspace avec Gemini) qui offrent des garanties contractuelles, des options de non-utilisation des données pour l'entraînement, et un meilleur contrôle des accès
- Pseudonymiser ou anonymiser les renseignements avant de les utiliser quand c'est possible
- Réaliser une EFVP pour tout déploiement d'IA touchant des renseignements personnels significatifs
Risque 2 : Documents confidentiels et secrets d'affaires
La Loi 25 vise les renseignements personnels, et les documents que les employés partagent avec l'IA contiennent souvent bien plus : contrats clients, devis, soumissions, code source, stratégies commerciales, données financières.
Les conditions d'utilisation des outils grand public permettent généralement au fournisseur de réutiliser une partie des données pour améliorer ses modèles, sauf paramétrage contraire. Une fois les données utilisées pour l'entraînement, leur retrait est très difficile.
Le risque dépasse la Loi 25. Il touche le secret commercial, les engagements contractuels envers vos clients, et la propriété intellectuelle de l'organisation.
Mesures concrètes :
- Politique interne claire : les contrats clients, les codes sources critiques et les documents stratégiques ne vont pas dans une IA publique
- Pour les usages légitimes, recourir aux versions entreprise avec environnements isolés (locataire dédié, journalisation contrôlée)
- Suppression régulière des historiques de conversation lorsque l'outil le permet
Risque 3 : Erreurs, hallucinations et décisions sur du contenu inventé
Plusieurs cas récents ont montré des professionnels (avocats, comptables) qui se sont appuyés sur des réponses d'IA sans vérification, avec des conséquences sérieuses : décisions de tribunal inventées de toutes pièces, références bibliographiques fictives, calculs erronés.
Pour la Loi 25, le risque devient direct lorsqu'une décision concernant une personne est prise sur la base d'un contenu inventé par l'IA. Si cette décision affecte un employé, un candidat ou un client, et qu'elle repose sur des renseignements inexacts, vous êtes en situation potentielle de manquement à l'obligation d'exactitude des renseignements personnels.
Mesures concrètes :
- L'IA est un assistant, jamais un décideur autonome
- Vérification humaine systématique avant toute décision importante, particulièrement en RH, en service à la clientèle, ou dans les conseils professionnels
- Documentation des sources utilisées pour appuyer toute décision
Risque 4 : Décisions exclusivement automatisées (article 12.1)
C'est l'obligation la plus directement liée à l'IA. Depuis septembre 2023, l'article 12.1 de la Loi 25 encadre les décisions « fondées exclusivement sur un traitement automatisé » qui produisent des effets importants sur une personne.
Lorsque cet article s'applique, l'organisation doit :
- Informer la personne concernée que la décision est fondée exclusivement sur un traitement automatisé
- Lui permettre de connaître les renseignements personnels utilisés pour la décision
- Lui permettre de comprendre les principaux facteurs et paramètres ayant mené à la décision
- Lui permettre de présenter ses observations à un membre du personnel ayant le pouvoir de réviser la décision
Voici des situations qui déclenchent l'article 12.1 :
- Tri ou classement automatisé de candidatures à l'embauche
- Octroi ou refus automatisé d'un crédit, d'un rabais, d'une limite de paiement
- Sélection automatisée des clients à contacter ou à servir prioritairement
- Identification automatisée des postes à abolir dans une restructuration
Le critère clé est l'absence d'intervention humaine significative. Cliquer « approuver » sans examen réel ne constitue pas une intervention humaine au sens de la Loi 25.
Mesures concrètes :
- Éviter les décisions 100 % automatisées chaque fois que possible
- Documenter les algorithmes : quelles données entrent, quelles règles d'affaires s'appliquent, quels facteurs pèsent dans le résultat
- Mettre en place une revue humaine réelle avec capacité d'écarter la recommandation
- Prévoir un mécanisme de contestation accessible aux personnes concernées
Ce que la CAI examine en cas de plainte
À ce jour, peu de décisions publiées de la CAI portent spécifiquement sur l'IA. Lorsqu'une plainte ou un incident lié à l'IA atteindra la CAI, elle évaluera vraisemblablement :
- L'existence d'une politique interne d'usage de l'IA
- La désignation et l'implication du responsable de la protection des renseignements personnels
- Les EFVP réalisées pour les projets d'IA touchant des renseignements personnels
- Les ententes contractuelles avec les fournisseurs d'IA
- La preuve d'une formation des employés sur les usages permis et interdits
- La documentation des incidents liés à l'IA dans le registre des incidents
Une PME qui peut présenter une démarche structurée, même imparfaite, sera mieux positionnée qu'une organisation sans aucun encadrement.
Politique d'usage de l'IA : le minimum à couvrir
Une politique interne d'une à deux pages est généralement suffisante pour une PME. Elle devrait couvrir :
- Outils autorisés et interdits. Quels outils d'IA peuvent être utilisés, dans quelles versions (grand public ou entreprise), pour quels usages.
- Données interdites en entrée. Les types de données qui ne peuvent jamais être collés dans un outil d'IA grand public (renseignements personnels, contrats clients, données financières, mots de passe).
- Vérification humaine obligatoire. Les types de décisions qui exigent une validation humaine avant d'être appliquées.
- Gestion des comptes. Authentification multifacteur, comptes professionnels uniquement, partage interdit.
- Traitement des incidents. Que faire en cas de partage involontaire de renseignements sensibles dans un outil d'IA.
- Formation. Calendrier de formation des employés sur la politique et ses justifications.
Cette politique gagne à être révisée annuellement. Les capacités des outils et les attentes réglementaires évoluent rapidement.
Comment Observantia accompagne cette démarche
Observantia centralise les EFVP réalisées pour vos projets d'IA, le registre des fournisseurs (incluant ChatGPT Enterprise, Microsoft 365 Copilot, Google Workspace), et la documentation associée à chaque déploiement. Le tableau de bord aide le responsable de la protection des renseignements personnels à garder une vue d'ensemble sur les outils utilisés, leur statut de conformité, et les risques résiduels. Essayez gratuitement pendant 14 jours.
Articles connexes
- Communication de renseignements personnels hors Québec : comprendre l'article 17
- EFVP : quand et comment réaliser une évaluation des facteurs relatifs à la vie privée
- Registre des incidents de confidentialité : ce que la Loi 25 exige vraiment
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.