IA & Conformité 26 mai 2026 8 min de lecture

IA et Loi 25 au Québec : le guide conformité pour PME

L'intelligence artificielle traite presque toujours des renseignements personnels. Voici comment la Loi 25 encadre vos chatbots, vos agents IA et vos décisions automatisées, et comment une PME du Québec peut s'y conformer sans paralyser ses opérations.

La plupart des outils d'intelligence artificielle qu'une PME du Québec utilise en 2026 (chatbot sur le site, agent IA qui répond aux courriels, tri automatisé de candidatures, scoring de prospects) ont un point commun : ils traitent des renseignements personnels. Et dès qu'on traite des renseignements personnels au Québec, la Loi 25 s'applique. La bonne nouvelle, c'est que se conformer n'oblige pas à abandonner l'IA. Ça demande surtout de savoir quelles données circulent, de configurer les outils correctement et d'être transparent avec vos clients. Ce guide explique le lien entre l'IA et la Loi 25, les risques concrets pour une PME et une checklist pour vous situer. Un rappel important avant de commencer : Novi Intelligence n'est pas un cabinet d'avocats. Ce texte est informatif et vulgarisé, pas un avis juridique. Pour valider votre situation précise, consultez un conseiller juridique.

Qu'est-ce que la Loi 25 ?

La Loi 25 (anciennement le projet de loi 64) est la loi qui modernise la protection des renseignements personnels au Québec. Elle s'applique à toute organisation, privée comme publique, qui recueille, utilise ou communique des renseignements personnels sur le territoire, peu importe sa taille.

Son déploiement s'est fait en trois phases : septembre 2022 (nomination d'un responsable de la protection des renseignements personnels, gestion et déclaration des incidents de confidentialité), septembre 2023 (consentement clair, transparence, confidentialité par défaut, encadrement des décisions automatisées) et septembre 2024 (droit à la portabilité des données).

L'autorité qui veille à son application est la Commission d'accès à l'information (CAI). Un renseignement personnel, au sens de la loi, c'est toute information qui permet d'identifier une personne physique, directement ou indirectement : nom, courriel, numéro de téléphone, adresse IP, historique d'achats, comportement en ligne.

Pourquoi l'IA est directement concernée

L'intelligence artificielle a besoin de données pour fonctionner, et ces données sont souvent personnelles. Un chatbot recueille le nom et le courriel d'un visiteur. Un agent IA lit l'historique d'un client pour répondre. Un modèle de scoring analyse le comportement de vos prospects. Chacun de ces traitements tombe sous la Loi 25.

La loi contient deux notions qui visent l'IA presque directement. La première est la décision automatisée : quand une organisation prend une décision fondée exclusivement sur un traitement automatisé de renseignements personnels, elle doit en informer la personne concernée et lui permettre de faire réviser la décision. La seconde est le profilage : la personne doit être informée quand on utilise des technologies pour l'identifier, la localiser ou la profiler, et pouvoir désactiver ces fonctions.

Autrement dit, l'IA n'est pas interdite. Mais dès qu'elle touche des renseignements personnels, elle doit respecter les mêmes principes que le reste : consentement, transparence, finalité claire et confidentialité par défaut.

Les 5 risques principaux pour une PME

Dans la pratique, voici où les PME québécoises s'exposent le plus avec leurs outils IA :

Décisions automatisées non déclarées. Un tri de candidatures par IA ou un refus automatique sans informer la personne ni offrir de révision humaine va à l'encontre de la loi.
Données envoyées hors Québec sans encadrement. Beaucoup d'outils IA hébergent et traitent les données à l'étranger. La communication de renseignements personnels hors Québec doit être évaluée et encadrée.
Chatbots sans transparence ni consentement. Un agent conversationnel qui collecte des renseignements sans dire pourquoi, ni combien de temps ils sont conservés, crée un risque.
Aucune gouvernance interne. Pas de responsable de la protection des renseignements personnels, pas de registre des incidents, pas de procédure de déclaration à la CAI.
Employés qui collent des données clients dans un outil IA grand public. C'est le risque le plus fréquent et le plus invisible dans les PME.

Aucun de ces risques n'exige d'arrêter l'IA. Ils exigent de savoir ce qui se passe et de mettre des garde-fous.

Quatre cas concrets en PME

Le chatbot de service client. Il recueille nom, courriel et parfois l'historique d'achat. Conformité : avis de transparence clair, consentement pour la finalité, durée de conservation définie, hébergement encadré.

L'agent IA qui trie les candidatures. S'il rejette ou classe des candidats de façon automatisée, c'est une décision automatisée. Conformité : informer le candidat, conserver une révision humaine possible, pouvoir expliquer les principaux facteurs utilisés.

Le scoring de prospects par IA. Classer des prospects selon leur comportement, c'est du profilage. Conformité : informer les personnes et leur permettre de s'opposer.

ChatGPT et les outils grand public au bureau. Quand un employé colle un contrat, une liste de clients ou un dossier dans un outil IA grand public, des renseignements personnels peuvent sortir de votre contrôle. Conformité : politique d'usage claire, comptes entreprise qui n'entraînent pas le modèle sur vos données, et formation des équipes.

Comment Novi accompagne la conformité IA

Notre rôle est opérationnel et technique, en appui à votre responsable de la protection des renseignements personnels et à votre conseiller juridique. Concrètement, on intervient sur ce qui touche directement vos outils IA et vos données.

Cartographie de vos outils IA et des flux de renseignements personnels (quel outil, quelles données, où elles vont).
Configuration des outils : rétention, anonymisation quand c'est possible, comptes entreprise sans entraînement sur vos données, hébergement au Québec ou au Canada lorsque l'option existe.
Transparence : avis et bandeaux de consentement sur vos chatbots et formulaires, en langage clair.
Révision humaine : mise en place d'un mécanisme pour les décisions automatisées.
Formation des équipes sur le bon usage des outils IA grand public.

Pour tout ce qui est avis juridique formel, rédaction de politiques contraignantes ou interprétation de la loi, on travaille avec votre conseiller juridique. On ne le remplace pas.

Checklist Loi 25 pour PME (auto-évaluation)

Répondez honnêtement à ces questions. Chaque « non » est un point à adresser :

Avez-vous nommé un responsable de la protection des renseignements personnels ?
Votre politique de confidentialité est-elle à jour, accessible et compréhensible ?
Vos outils IA (chatbot, CRM, scoring, agents) sont-ils inventoriés avec les données qu'ils traitent ?
Informez-vous les personnes lorsqu'une décision est prise de façon automatisée, avec une révision possible ?
Vos renseignements personnels sont-ils hébergés au Québec ou au Canada, ou la communication hors Québec est-elle encadrée ?
Tenez-vous un registre des incidents de confidentialité avec une procédure de déclaration à la CAI ?
Recueillez-vous un consentement clair, libre et éclairé, distinct pour chaque finalité ?
Évaluez-vous les risques avant de lancer un nouveau projet IA qui traite des renseignements personnels ?

Sources et références officielles

Ce guide s'appuie sur les sources officielles qui encadrent la protection des renseignements personnels au Québec. Pour valider votre situation, référez-vous à ces sources et à votre conseiller juridique :

Commission d'accès à l'information du Québec (CAI) — l'autorité responsable de l'application de la Loi 25, qui publie des guides et des outils pour les organisations (cai.gouv.qc.ca).
Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — texte de loi consultable sur Légis Québec (legisquebec.gouv.qc.ca).
Gouvernement du Québec — renseignements sur la protection des renseignements personnels et les obligations des entreprises (quebec.ca).

Les obligations et les échéances décrites dans ce guide proviennent de ces sources officielles. Le détail applicable à votre organisation doit être validé avec un conseiller juridique.

« La Loi 25 ne vous demande pas de choisir entre l'IA et la conformité. Elle vous demande de savoir quelles données circulent, d'être transparent et de garder un humain dans la boucle pour les décisions qui comptent. Une PME bien accompagnée peut être conforme et utiliser l'IA pleinement. »

Questions fréquentes

Qu'est-ce que la Loi 25 au Québec ?+

C'est la loi qui modernise la protection des renseignements personnels au Québec (anciennement le projet de loi 64), déployée en trois phases entre 2022 et 2024. Elle s'applique à toute organisation qui recueille, utilise ou communique des renseignements personnels, peu importe sa taille.

La Loi 25 s’applique-t-elle aux PME ?+

Oui. La loi ne prévoit pas d'exemption selon la taille. Une PME québécoise qui recueille des renseignements personnels de clients, de prospects ou d'employés y est assujettie, même si certaines obligations s'appliquent avec souplesse selon la sensibilité des données et la nature de l'organisation.

En quoi l'intelligence artificielle est-elle visée par la Loi 25 ?+

Parce que l'IA traite presque toujours des renseignements personnels. La loi encadre notamment les décisions prises de façon exclusivement automatisée et le profilage, deux usages fréquents de l'IA. Vous devez informer les personnes, conserver une révision humaine possible et permettre de s'opposer au profilage.

Un chatbot sur mon site doit-il respecter la Loi 25 ?+

Oui, dès qu'il recueille des renseignements personnels (nom, courriel, historique). Il faut un avis de transparence clair, un consentement pour chaque finalité, une durée de conservation définie et un hébergement des données encadré.

Puis-je utiliser ChatGPT avec des données de mes clients ?+

Avec prudence. Coller des renseignements personnels dans un outil IA grand public peut entraîner une communication non encadrée de ces données hors Québec. On recommande des comptes entreprise qui n'entraînent pas le modèle sur vos données, une politique d'usage claire et la formation des équipes.

Qu'est-ce qu'une décision automatisée selon la Loi 25 ?+

C'est une décision fondée exclusivement sur un traitement automatisé de renseignements personnels, sans intervention humaine. Quand vous en prenez une, vous devez en informer la personne concernée et lui permettre de présenter ses observations et de demander une révision.

Quelles sont les sanctions en cas de non-conformité ?+

Elles sont importantes. Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et les amendes pénales jusqu'à 25 millions de dollars ou 4 %. S'ajoute un droit pour les personnes de réclamer des dommages-intérêts.

Dois-je obligatoirement héberger mes données au Québec ?+

Pas obligatoirement, mais la communication de renseignements personnels hors Québec doit être évaluée et encadrée. Quand l'option d'un hébergement au Québec ou au Canada existe, c'est souvent le choix le plus simple à justifier.

Novi Intelligence remplace-t-il mon avocat pour la conformité ?+

Non. Novi accompagne la mise en œuvre opérationnelle et technique (cartographie des outils IA, configuration, transparence, révision humaine, formation). Pour l'avis juridique et l'interprétation de la loi, on travaille avec votre conseiller juridique.

Par où commencer pour rendre mes outils IA conformes ?+

Par un inventaire : quels outils IA vous utilisez, quelles données ils traitent et où elles vont. C'est exactement le point de départ de notre accompagnement, et ça donne déjà une vision claire des priorités.

Pour aller plus loin

Service liéPôle IA pour PME du Québec

Vos outils IA sont-ils conformes à la Loi 25 ?

On fait le tour de vos outils IA et de vos flux de données, on identifie les risques et on vous propose un plan concret. Consultation gratuite, sans jargon juridique inutile.

Consultation gratuite