IA conforme à la Loi 25

L'IA conforme à la Loi 25 pour les PME du Québec

L'intelligence artificielle fait gagner un temps fou. Mais au Québec, elle vient avec une question que peu de propriétaires de PME se posent : où vont vos données ?

Depuis la Loi 25, chaque entreprise est responsable des renseignements personnels qu'elle manipule — ceux de ses clients, de ses employés, de ses fournisseurs. Et la plupart des outils IA grand public envoient ces données sur des serveurs situés aux États-Unis. C'est exactement là que le risque commence.

Obrio existe pour régler ça : une IA conforme à la Loi 25, avec vos données hébergées au Canada et un humain qui approuve chaque action. Vous profitez de l'IA, sans exposer votre entreprise.

Conçu pour respecter la Loi 25

Vos données restent au Canada, et un humain approuve chaque action avant tout envoi. Vous profitez de l'IA sans exposer votre entreprise.

Démarrer un pilote

Pourquoi l'IA hébergée aux États-Unis (ChatGPT & co) vous expose

Prenons un exemple concret. Un employé copie votre liste de clients dans ChatGPT pour rédiger ses courriels plus vite. Rien de malveillant — il veut juste avancer. Sauf que cette liste contient des noms, des adresses, des numéros de téléphone : des renseignements personnels.

La plupart des outils IA grand public — ChatGPT et les autres — hébergent leurs données sur des serveurs situés aux États-Unis. Dès que votre employé colle cette liste, l'information quitte le Québec.

C'est précisément ce que la Loi 25 encadre. Son article 17 prévoit qu'avant de transférer des renseignements personnels à l'extérieur du Québec, une entreprise doit d'abord évaluer si l'information y bénéficiera d'une protection équivalente à celle exigée ici. Autrement dit : vous ne pouvez pas simplement envoyer les données de vos clients n'importe où, sans vérification.

Ce n'est pas une question de mauvaise foi. C'est une question de savoir où vont vos données — et, la plupart du temps, personne dans la PME ne le sait.

Ce que la Loi 25 exige quand votre PME utilise l'IA

La Loi 25 ne prononce pas le mot « intelligence artificielle ». Mais ses règles s'appliquent dès qu'un outil — IA ou non — touche à des renseignements personnels. Pour une PME, ça se résume à quelques principes simples :

  • Vous êtes responsable. Les données de vos clients et de vos employés restent votre responsabilité, même quand c'est un logiciel ou une IA qui les traite.
  • Vous devez savoir où elles vont. On ne protège pas ce qu'on ne suit pas. Chaque outil qui touche à des données personnelles devrait être connu et encadré.
  • Un transfert hors Québec demande une évaluation. C'est le cœur de l'article 17 : avant que l'information sorte de la province, il faut s'assurer qu'elle restera bien protégée.
  • La transparence compte. Vos clients ont le droit de savoir comment leurs renseignements sont utilisés.

Rien de tout ça n'interdit l'IA. La Loi 25 ne vous empêche pas d'utiliser l'IA au travail, légalement, au Québec — elle vous demande de le faire de façon encadrée. C'est une nuance capitale : le problème n'est pas l'IA, c'est l'IA non maîtrisée. (Pour approfondir le cadre, voyez notre guide Loi 25 et intelligence artificielle pour les PME.)

Le « shadow AI » : vos employés utilisent peut-être déjà l'IA en douce

Voici le vrai angle mort. Pendant que la direction se demande « est-ce qu'on devrait adopter l'IA ? », les employés, eux, l'utilisent déjà. On appelle ça le shadow AI : le recours à des outils d'IA en douce, sans encadrement de l'entreprise.

Un adjoint qui résume ses courriels dans un outil gratuit. Un vendeur qui fait rédiger ses soumissions par une IA publique. Une commis qui traduit une lettre destinée à un client. Chaque fois, des renseignements personnels peuvent sortir de votre PME sans que vous le sachiez.

Le shadow AI dans les PME n'est pas un problème de discipline — c'est un problème de vide. Quand l'entreprise n'offre pas d'outil IA sûr, les employés en trouvent un eux-mêmes. Et ils choisissent le plus connu, presque toujours hébergé aux États-Unis.

La bonne réponse n'est pas d'interdire l'IA : ça ne fait que pousser l'usage encore plus dans l'ombre. C'est d'offrir une option officielle, sûre et conforme — pour que l'IA utile se fasse au grand jour, sous votre contrôle.

Comment Obrio rend l'IA conforme (vos données au Canada)

C'est là qu'Obrio change la donne. Nos agents IA sont conçus pour respecter la Loi 25, à partir d'un principe simple : vos données restent au Canada.

Concrètement, les renseignements traités par nos agents sont hébergés sur une infrastructure canadienne — des serveurs situés au pays. L'hébergement des données IA au Canada n'est pas un détail technique : c'est ce qui répond directement à la préoccupation de l'article 17. Les données de vos clients ne partent pas aux États-Unis par défaut.

Nous n'utilisons pas non plus vos données pour entraîner des modèles publics. Ce qui entre chez Obrio sert à faire votre travail, point. Par exemple, l'agent de facturation se connecte à vos outils comme QuickBooks sans double saisie et sans exposer vos livres à un service étranger.

Est-ce que ça vous rend « 100 % conforme » du jour au lendemain ? Non — la conformité dépend aussi de vos propres pratiques, et personne d'honnête ne vous promettra une garantie absolue. Mais en gardant vos données au pays et en encadrant chaque usage, Obrio réduit concrètement le risque au lieu de l'ignorer. C'est la différence entre une IA choisie et une IA subie.

Le gate humain : l'agent prépare, vous approuvez

Héberger les données au Canada règle la moitié du problème. L'autre moitié, c'est le contrôle.

Les agents d'Obrio ne partent jamais seuls. Chaque agent prépare le travail — une relance de paiement, une soumission, un horaire, un courriel — puis s'arrête et attend votre feu vert. Rien d'important ne sort sans qu'un humain l'ait approuvé. C'est ce qu'on appelle le contrôle humain, ou « gate humain » : l'agent prépare, vous approuvez.

Ce fonctionnement, réglé par défaut sur « toujours demander », change tout côté conformité. Une personne responsable voit ce que l'agent propose avant que ça atteigne un client. Les erreurs sont attrapées avant, pas après. Et vous gardez une trace claire de qui a approuvé quoi.

C'est aussi ce qui distingue Obrio d'une IA « autonome » qui agirait dans votre dos. Ici, l'IA fait le gros du travail ; le jugement final reste humain. C'est plus rassurant pour vous — et plus solide devant la Loi 25.

Amendes et enjeux (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial)

Pourquoi s'en préoccuper maintenant ? Parce que la Loi 25 a des dents.

Les sanctions prévues peuvent atteindre 10 millions de dollars ou 2 % de votre chiffre d'affaires mondial — le plus élevé des deux montants. Pour une PME, même une fraction de ce chiffre serait dévastatrice.

Et le sujet est sorti de l'ombre. Au printemps 2026, des médias québécois grand public — dont La Presse — ont rappelé que le recours à l'IA au travail pouvait, dans bien des cas, poser problème sur le plan de la vie privée. Vos clients lisent ces articles. La question « où vont mes données ? » n'est plus réservée aux juristes.

Au-delà de l'amende, il y a la confiance. Un client qui apprend que ses renseignements se sont promenés sur des serveurs étrangers ne revient pas toujours. La conformité, ce n'est pas seulement éviter une pénalité — c'est protéger votre réputation.

Ceci n'est pas un avis juridique : pour évaluer votre situation précise, parlez-en à votre conseiller. Mais une chose est claire : encadrer votre usage de l'IA coûte bien moins cher que de l'ignorer.

FAQ

Loi 25 et intelligence artificielle

La Loi 25 interdit-elle d'utiliser l'IA dans mon entreprise ?
Non. La Loi 25 n'interdit pas l'intelligence artificielle. Elle encadre la façon dont vous traitez les renseignements personnels — avec ou sans IA. Vous pouvez tout à fait utiliser l'IA au travail, légalement, au Québec, à condition de le faire de manière encadrée : savoir où vont les données et éviter les transferts non vérifiés hors de la province.
ChatGPT est-il conforme à la Loi 25 ?
La vraie question n'est pas tant l'outil que l'usage que vous en faites. La plupart des outils IA grand public hébergent leurs données aux États-Unis ; dès que vous y saisissez des renseignements personnels de clients ou d'employés, cette information quitte le Québec — ce que l'article 17 encadre. Ce n'est pas une critique de ces outils, simplement une réalité à connaître avant d'y coller des données sensibles.
Où sont hébergées les données avec Obrio ?
Au Canada. Les renseignements traités par nos agents sont hébergés au pays, sur une infrastructure canadienne. C'est notre réponse directe à l'enjeu du transfert de données hors Québec.
Qu'est-ce que le « shadow AI » et pourquoi ça me concerne ?
C'est l'usage d'outils d'IA par vos employés, sans encadrement officiel de l'entreprise. C'est très répandu dans les PME, et c'est risqué : des données personnelles peuvent sortir de votre organisation sans que personne ne le sache. La meilleure parade est d'offrir une option d'IA officielle, sûre et conforme, plutôt que d'interdire (ce qui pousse l'usage dans l'ombre).
Obrio garantit-il ma conformité à la Loi 25 ?
Non — et méfiez-vous de quiconque promet une garantie de conformité « à 100 % ». Nous ne donnons pas d'avis juridique. Ce que nous faisons : concevoir nos agents pour respecter la Loi 25 — données hébergées au Canada et approbation humaine sur chaque action — afin de réduire concrètement votre risque. La conformité finale dépend aussi de vos pratiques internes et, au besoin, de votre conseiller juridique.
Combien peut coûter une infraction à la Loi 25 ?
Les sanctions peuvent grimper jusqu'à 10 millions de dollars ou 2 % de votre chiffre d'affaires mondial, selon le montant le plus élevé. À cela s'ajoute le coût, souvent plus lourd, d'une perte de confiance de vos clients.

Prêt à utiliser l'IA sans exposer votre entreprise ?

Obrio déploie et opère vos agents IA — conçus pour respecter la Loi 25, avec vos données au Canada et votre approbation à chaque étape. On regarde ensemble par quelle tâche commencer.