Conformité

Loi 25 et intelligence artificielle : guide de conformité pour les PME québécoises

Par Obrio· ·5 min de lecture

Depuis l'entrée en vigueur complète de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, anciennement le Projet de loi 64) en septembre 2023, les entreprises québécoises ont des obligations claires en matière de gestion des données personnelles. L'adoption d'agents IA soulève des questions légitimes : comment rester conforme quand un système automatisé traite des données de clients, de fournisseurs ou d'employés ?

Ce guide pratique répond aux questions les plus courantes que nous entendons des PME de la région de Gatineau et de l'Outaouais.

Qu'est-ce que la Loi 25, concrètement ?

La Loi 25 modernise la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Elle s'inspire du RGPD européen tout en étant adaptée au contexte québécois. Ses principales exigences pour les PME incluent :

  • Désignation d'un responsable de la protection des renseignements personnels — dans une PME, c'est généralement le propriétaire ou le directeur général par défaut.
  • Publication d'une politique de confidentialité accessible sur votre site web, écrite en langage clair.
  • Obtention d'un consentement valable avant de collecter, utiliser ou communiquer des renseignements personnels, avec une finalité clairement énoncée.
  • Notification des incidents de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes concernées, dans les délais prescrits.
  • Droit d'accès et de rectification : toute personne peut demander à consulter ou corriger ses données.

Conseil de conformité : nommez formellement votre responsable de la protection des renseignements personnels dans un document interne et publiez son titre (pas nécessairement son nom) sur votre site. C'est l'une des premières choses que la CAI vérifie en cas d'inspection.

Quelles obligations s'appliquent quand vous utilisez un agent IA ?

Un agent IA qui accède à vos données clients, qui envoie des courriels en votre nom ou qui classe des factures traite des renseignements personnels. La Loi 25 s'applique donc pleinement. Voici les points de vigilance spécifiques :

Collecte minimale des données

L'agent ne doit accéder qu'aux données strictement nécessaires à la tâche. Si votre agent gère les relances de paiement, il n'a pas besoin d'accéder aux dossiers médicaux ou aux informations RH. Ce principe de minimisation des données est explicitement requis par la Loi 25.

Transparence envers vos clients

Si votre agent IA envoie des courriels à vos clients, vos clients doivent savoir que certaines communications sont automatisées. Votre politique de confidentialité doit mentionner l'utilisation d'outils automatisés dans le traitement de leurs données. Ce n'est pas un obstacle — la grande majorité des gens acceptent très bien la communication automatisée quand elle est clairement identifiée.

Décision automatisée avec impact significatif

La Loi 25 prévoit des protections spécifiques lorsqu'une décision est prise exclusivement par un système automatisé et qu'elle a un impact important sur une personne (refus d'un crédit, résiliation d'un contrat, etc.). Dans ce cas, la personne a le droit de demander à ce qu'un humain révise la décision. Cette situation est rare dans le contexte des PME, mais il faut en être conscient.

Ce qu'Obrio fait pour garantir votre conformité

Chez Obrio, la conformité à la Loi 25 n'est pas une case à cocher — c'est une contrainte de conception. Voici nos pratiques concrètes :

  • Accès restreint par principe : chaque agent reçoit uniquement les permissions nécessaires à ses tâches définies. Nous n'accordons jamais d'accès généraux à vos systèmes.
  • Journalisation de toutes les actions : chaque action de l'agent est enregistrée avec un horodatage. En cas de question ou d'incident, vous avez une piste d'audit complète.
  • Supervision humaine obligatoire : pour toute action externe irréversible (envoi d'un courriel à un client, émission d'une facture, modification d'un dossier), un récapitulatif est envoyé au responsable désigné. L'humain reste informé et peut intervenir.
  • Aucun stockage de données sensibles : les agents Obrio n'entreposent pas de renseignements personnels sur nos propres serveurs. Ils opèrent dans vos outils existants (QuickBooks, votre CRM, votre boîte courriel) — vos données restent dans vos systèmes.
  • Contrat de traitement : nous signons avec chaque client une entente qui définit clairement notre rôle de « prestataire de service » au sens de la Loi 25 — vous restez le responsable du traitement, nous agissons sous vos directives.

En résumé : ce que vous devez faire

Si vous déployez ou envisagez de déployer des agents IA dans votre PME québécoise, voici votre liste de vérification de base :

  1. Désignez un responsable de la protection des renseignements personnels.
  2. Mettez à jour votre politique de confidentialité pour mentionner l'usage d'outils automatisés.
  3. Assurez-vous que votre agent n'accède qu'aux données nécessaires à ses tâches.
  4. Maintenez un journal des actions automatisées (votre fournisseur d'agent IA devrait vous le fournir).
  5. Conservez toujours un humain dans la boucle pour les décisions importantes.

La Loi 25 n'interdit pas l'utilisation de l'IA — elle encadre l'utilisation des données personnelles. Une PME qui déploie des agents IA de manière réfléchie et documentée n'a pas à craindre la CAI. Elle démontre au contraire une gouvernance sérieuse de ses données.

Note : ce guide est fourni à titre informatif. Pour votre situation spécifique, consultez un juriste spécialisé en protection des données ou contactez la Commission d'accès à l'information du Québec.

Prêt à automatiser votre PME ?

Obrio déploie et opère des agents IA dans les PME du Québec. Clé en main, sans frais d'installation.

Démarrer un pilote gratuit ← Retour aux publications