Loi 25 et IA : ce que les PME québécoises doivent savoir
La Loi 25 ne bloque pas l'adoption de l'IA — elle la discipline. Aperçu pragmatique des obligations qui concernent vraiment les projets IA en entreprise.
La Loi 25 — officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est entrée pleinement en vigueur au Québec depuis 2024. Beaucoup de PME la considèrent comme un obstacle à l’IA. C’est un malentendu. La Loi 25 ne vous empêche pas d’adopter l’IA ; elle vous impose d’être sérieux à ce sujet.
Voici ce qui concrètement change dans un projet IA en contexte québécois.
1. Vous devez désigner un Responsable de la protection des renseignements personnels (RPRP)
C’est une personne physique, identifiée, avec un courriel public. Elle répond aux demandes d’accès, aux incidents, aux plaintes. Pour une PME, c’est souvent le directeur général ou le DPO si vous en avez un. Ce n’est pas optionnel.
2. Les décisions automatisées doivent être explicables
Si votre IA prend (ou participe à) une décision qui affecte une personne — octroi de crédit, tri de candidatures, priorité d’intervention — la personne concernée a le droit de savoir :
- Que la décision est automatisée
- Sur quels renseignements elle a été prise
- Les moyens de demander une révision humaine
Conséquence pratique : tout projet agentique qui prend des décisions sur des clients ou employés nécessite une interface explicative. Cela ne tue pas le projet ; cela ajoute une étape de conception à ne pas négliger.
3. Les données restent sous droit québécois sauf exception explicite
Un serveur hébergé à Montréal ne suffit pas. La résidence des données (où elles sont physiquement) diffère de la souveraineté (qui peut légalement y accéder). Un fournisseur américain avec un datacenter à Montréal reste soumis au CLOUD Act — une autorité américaine peut contraindre la production de vos données, même stockées au Canada.
Pour un projet IA chez une PME dans un secteur sensible (santé, juridique, finance, données de mineurs), il faut explicitement choisir des fournisseurs canadiens — ou accepter en connaissance de cause le risque juridique.
4. Évaluation des facteurs relatifs à la vie privée (EFVP)
Pour tout projet qui traite des renseignements personnels à grande échelle ou dans un nouveau contexte, vous devez réaliser une EFVP. Ce n’est pas un document d’apparat : c’est l’exercice qui documente les risques, les mesures de mitigation, et les arbitrages. La CAI peut la demander.
Dans mes diagnostics, l’EFVP fait partie des livrables quand le projet le justifie. Ce n’est pas un luxe — c’est la preuve que vous avez réfléchi.
5. Minimisation et finalité
Vous ne pouvez collecter que les données nécessaires à la finalité déclarée. Un LLM qui aspire l’ensemble de vos documents internes pour répondre à une question opérationnelle n’est pas conforme — il faut borner la collecte à ce qui sert le cas d’usage, et le documenter.
Ce que ça veut dire pour votre projet IA
Concrètement, un projet IA en 2026 au Québec suit cette séquence :
- Cas d’usage clair (pas de “projet IA” en général)
- Cartographie des données touchées (lesquelles, chez qui, avec quel consentement)
- EFVP si les données sont personnelles
- Choix de fournisseurs canadiens pour tout ce qui est sensible
- Conception d’explicabilité si des décisions automatisées sont impliquées
- Procédure d’incident documentée et testée
Ça peut sembler lourd. En réalité, un diagnostic sérieux inclut déjà tout ça. La Loi 25 ne ralentit pas les bons projets — elle élimine les mauvais, ceux qui auraient de toute façon explosé au premier audit.
Le risque réel
Le vrai risque pour une PME québécoise en 2026 n’est pas la Loi 25. C’est de déployer un outil IA générique (ChatGPT Team, Copilot, Claude for Work) sans gouvernance, avec des employés qui y collent des documents confidentiels sans permission. Ça, ça se répare mal — et ça se constate vite dans un audit.
La Loi 25, une fois comprise, devient un cadre de travail. Pas une contrainte.