Beaucoup de PME québécoises hésitent à utiliser des outils d'IA par crainte de la Loi 25 ou, à l'inverse, les utilisent déjà sans se poser de questions. Les deux réflexes sont risqués. La loi n'interdit pas l'IA : elle encadre la collecte, l'utilisation et la communication des renseignements personnels, peu importe l'outil.

Ce que la Loi 25 attend de vous, en bref

Sans prétendre remplacer un avis juridique, voici les obligations qui touchent le plus directement les projets d'IA en PME :

  • Un responsable de la protection des renseignements personnels. Par défaut, c'est la personne à la tête de l'entreprise; la fonction peut être déléguée par écrit.
  • La transparence. Vos clients doivent pouvoir savoir quels renseignements vous collectez et à quelles fins y compris lorsqu'un traitement est automatisé.
  • Le consentement. Utiliser des renseignements personnels pour une nouvelle finalité (par exemple, alimenter un outil d'IA) peut exiger un nouveau consentement.
  • L'évaluation des facteurs relatifs à la vie privée (EFVP). Elle est notamment requise avant de communiquer des renseignements personnels à l'extérieur du Québec ce qui arrive dès qu'un outil héberge ses serveurs ailleurs.
  • La gestion des incidents. Tenir un registre des incidents de confidentialité et aviser les personnes concernées lorsqu'il y a risque de préjudice sérieux.

Les questions à poser avant d'envoyer vos données à un outil d'IA

La conformité commence par quatre questions simples, à poser à n'importe quel fournisseur :

  1. Où les données sont-elles stockées et traitées? Québec, Canada, États-Unis, ailleurs? La réponse change vos obligations.
  2. Vos données servent-elles à entraîner les modèles du fournisseur? Si oui, vos renseignements peuvent se retrouver hors de votre contrôle de façon difficilement réversible.
  3. Qui peut y accéder, et combien de temps sont-elles conservées?
  4. Pouvez-vous les faire supprimer, et comment?

Un fournisseur sérieux répond à ces questions par écrit, contrat à l'appui. Un fournisseur qui esquive vous donne déjà sa vraie réponse.

Des pratiques simples qui changent beaucoup

La bonne nouvelle : pour la majorité des projets, quelques principes de conception suffisent à réduire considérablement le risque.

  • Minimiser. Un système ne devrait recevoir que les données strictement nécessaires à sa tâche. Souvent, on peut retirer noms, coordonnées et identifiants sans rien perdre d'utile.
  • Anonymiser ou pseudonymiser les données avant qu'elles ne quittent vos systèmes, quand le cas d'usage le permet.
  • Privilégier l'hébergement local au Québec, au Canada, ou directement sur vos propres serveurs quand les données sont sensibles.
  • Encadrer par contrat. Les ententes de traitement des données existent pour ça; exigez-les.

La conformité est une exigence de conception, pas un frein

Traiter la Loi 25 comme une case à cocher en fin de projet, c'est la recette pour devoir tout reprendre. L'aborder dès le diagnostic quelles données, quels flux, quels accès, quels fournisseurs coûte quelques heures et évite des mois de corrections.

C'est l'approche que nous défendons : la protection des renseignements personnels fait partie de l'architecture d'un système, au même titre que sa fiabilité. Un projet d'IA qui ne peut pas être conforme n'est pas un bon projet d'IA.