Liste de vérification de conformité à la Loi 25 pour les outils d'IA en 2026

La conformité à la Loi 25 pour les outils d'IA exige une attention particulière à la résidence des données, aux mécanismes de consentement et aux évaluations d'impact sur la vie privée. Les organisations québécoises doivent évaluer chaque plateforme d'IA contre les articles 3(5), 17 et 12-14 de la Loi sur la protection des renseignements personnels dans le secteur privé. La question clé n'est pas de savoir si vous utilisez l'IA — c'est de savoir si vos outils choisis respectent les normes de protection de la vie privée renforcées du Québec qui sont entrées pleinement en vigueur en septembre 2024.

---

Exigences d'évaluation d'impact sur la vie privée

L'article 3(5) de la Loi 25 exige des évaluations d'impact sur la vie privée (ÉFVP) pour les outils d'IA qui présentent un « risque élevé pour la vie privée des personnes concernées ». La plupart des plateformes d'IA d'entreprise se qualifient sous ce seuil, l'article 3(6) spécifiant que les systèmes de prise de décision automatisée exigent explicitement des ÉFVP.

Votre ÉFVP doit aborder trois éléments fondamentaux avant le déploiement. Premièrement, documentez les renseignements personnels spécifiques que votre outil d'IA traitera, incluant toute collecte de données indirecte par les journaux de conversation ou téléversements de documents. Deuxièmement, évaluez la nécessité et proportionnalité de ce traitement contre vos intérêts d'affaires légitimes sous les exigences de l'article 12.

Troisièmement, identifiez les mesures de protection techniques et organisationnelles pour minimiser les risques de vie privée. Ceci inclut les paramètres de minimisation des données, contrôles d'accès et politiques de rétention spécifiques à votre implémentation d'IA qui satisfont les obligations d'exactitude et sécurité de l'article 10.

L'article 3(5) de la Loi 25 exige des ÉFVP pour les activités de traitement « à risque élevé », pas seulement les outils à risque élevé. La même plateforme d'IA peut exiger différentes évaluations selon la façon dont chaque département l'utilise, avec des pénalités sous l'article 91 atteignant 25 millions $ CA pour non-conformité.

La Commission d'accès à l'information du Québec (CAI) a indiqué que la prise de décision automatisée, le profilage extensif et le traitement de catégories sensibles sous l'article 12 déclenchent l'exigence d'ÉFVP. Les outils d'IA utilisés pour le filtrage RH, la segmentation client ou l'analyse de documents juridiques tombent typiquement dans cette portée.

---

Exigences de résidence et transfert des données

L'article 17 de la Loi 25 établit des conditions strictes pour transférer des renseignements personnels hors du Québec. Les plateformes d'IA acheminant des données par l'infrastructure américaine font face à un examen particulier sous le cadre renforcé, avec des exigences additionnelles au-delà des dispositions de transfert de la LPRPDE fédérale.

Vous devez assurer une protection adéquate équivalente aux normes de la Loi 25. Pour les fournisseurs d'IA basés aux États-Unis, ceci exige typiquement un consentement explicite des individus sous l'article 14 ou la démonstration d'un intérêt légitime impérieux sous l'article 18, plus des garanties contractuelles robustes.

La résidence canadienne des données élimine la plupart de la complexité de conformité des transferts. Les plateformes comme Augure qui maintiennent une infrastructure 100 % canadienne évitent entièrement les exigences de l'article 17, puisque les données ne franchissent jamais les frontières internationales tout en respectant les obligations de la Loi 25 et de la LPRPDE.

Documentez votre évaluation de transfert par écrit. Incluez la base légale (consentement, intérêt légitime ou nécessité), l'analyse du pays de destination et les protections contractuelles spécifiques. La CAI s'attend à cette documentation lors des révisions de conformité sous les pouvoirs d'inspection de l'article 70.

Les transferts internationaux de données sous l'article 17 de la Loi 25 exigent une surveillance continue au-delà des évaluations d'adéquation initiales. Les changements aux lois de surveillance étrangères ou à la structure corporative du fournisseur peuvent invalider votre détermination de conformité originale, créant une responsabilité continue sous les pénalités de l'article 91.

---

Obligations de consentement et transparence

Les articles 12-14 de la Loi 25 renforcent les exigences de consentement pour le traitement par IA au-delà des normes de la LPRPDE fédérale. La norme de « langage clair et simple » de l'article 13 s'applique directement à la façon dont vous expliquez les capacités d'IA aux utilisateurs et clients.

Votre avis de confidentialité doit spécifier le but de l'outil d'IA, les sources de données et toute capacité de prise de décision automatisée sous les exigences d'avis de collecte de l'article 8. Un langage générique sur « l'amélioration des services par la technologie » ne respecte pas les exigences de spécificité de la Loi 25 ou les seuils de pénalité de l'article 91.

Pour les déploiements d'IA en milieu de travail, le consentement des employés demeure valide seulement quand vraiment volontaire sous l'article 14. La CAI a signalé que les outils d'IA obligatoires pour l'évaluation de performance ou surveillance exigent des bases légales alternatives sous les dispositions d'intérêt légitime de l'article 12.

Implémentez des contrôles de consentement granulaires lorsque faisable. Les utilisateurs devraient comprendre si leurs données entraînent les modèles d'IA, sont conservées pour des fonctionnalités de mémoire persistante ou traitées par des API tierces. Ces distinctions importent pour la conformité à l'article 13 et éviter les pénalités de l'article 91 jusqu'à 25 millions $ CA.

---

Cadre de diligence raisonnable des fournisseurs

L'article 3.3 de la Loi 25 établit votre responsabilité pour les processeurs tiers, incluant les fournisseurs de plateformes d'IA. La diligence raisonnable va au-delà des termes contractuels standard pour évaluer les pratiques réelles de vie privée sous la juridiction provinciale du Québec.

Demandez des informations détaillées sur les lieux de traitement des données, arrangements de sous-processeurs et certifications de sécurité respectant les exigences de l'article 10. Les compagnies d'IA opérant sous juridiction étrangère (particulièrement l'exposition au CLOUD Act américain) exigent un examen renforcé au-delà des normes de diligence raisonnable de la LPRPDE fédérale.

Évaluez le cadre de gouvernance de la vie privée du fournisseur. Recherchez des responsables dédiés de la vie privée, des audits de conformité réguliers et des procédures transparentes de réponse aux incidents respectant les exigences de notification d'incident de l'article 3.5. Les politiques de confidentialité génériques ne se substituent pas aux accords de traitement détaillés sous l'article 18.

Établissez des accords de traitement de données (ATD) qui spécifient les exigences de conformité à la Loi 25. Incluez les procédures de droits des personnes concernées sous les articles 23-37, les délais de notification d'incident par l'article 3.5 et les dispositions d'audit. L'accord devrait aborder les risques spécifiques à l'IA comme l'entraînement de modèles et le biais algorithmique.

Votre responsabilité sous la Loi 25 selon l'article 91 ne se transfère pas aux fournisseurs d'IA. L'article 3.3 précise clairement que les organisations québécoises demeurent responsables du traitement par des tiers, avec des pénalités jusqu'à 25 millions $ CA indépendamment des arrangements contractuels avec les processeurs.

---

Implémentation des droits des personnes concernées

Les articles 23-37 de la Loi 25 élargissent les droits individuels au-delà des exigences de la LPRPDE fédérale qui impactent directement la sélection et configuration des outils d'IA. Votre plateforme choisie doit soutenir ces droits techniquement, pas seulement contractuellement, pour éviter les pénalités de l'article 91.

Le droit d'accès sous l'article 23 exige la capacité d'identifier tous les renseignements personnels traités par les systèmes d'IA, incluant les insights dérivés et résultats de décisions automatisées. Les réponses génériques ne satisfont pas cette exigence ou le seuil de pénalité de 10 millions $ CA pour les entreprises.

Le droit de rectification sous l'article 26 devient complexe avec les systèmes d'IA qui créent des profils persistants ou de la mémoire. Vous avez besoin de mécanismes pour corriger non seulement les données sources, mais toute inférence ou classification générée par IA affectant les droits individuels.

Le droit à la portabilité des données sous l'article 28 s'applique aux informations traitées par IA en format structuré. Considérez comment votre plateforme d'IA gère les demandes d'exportation pour les historiques de conversation, annotations de documents ou profils de préférences utilisateur dans le cadre provincial québécois.

Implémentez des flux de travail automatisés de demandes de personnes concernées lorsque possible. Les processus manuels deviennent ingérables à mesure que l'usage d'IA s'étend dans votre organisation tout en maintenant les seuils de conformité de l'article 91.

---

Contrôles de prise de décision automatisée

L'article 12.1 de la Loi 25 exige une notification explicite quand les systèmes d'IA prennent des décisions qui affectent significativement les individus. Ceci s'étend au-delà du traitement automatisé traditionnel pour inclure la prise de décision assistée par IA sous le régime provincial de vie privée du Québec.

Documentez clairement vos processus de prise de décision par IA. Incluez les procédures de supervision humaine, mécanismes d'appel et capacités d'explication respectant les exigences de l'article 12.1. La loi exige « des renseignements significatifs sur la logique impliquée » dans les décisions d'IA, avec des pénalités de l'article 91 pour non-conformité.

Pour les décisions à fort impact (embauche, crédit, santé), implémentez des exigences de révision humaine sous l'article 12.1. La recommandation d'IA devrait informer le jugement humain, non le remplacer entièrement. Documentez cette distinction dans vos procédures pour satisfaire les exigences d'inspection de la CAI.

Considérez la surveillance du biais algorithmique pour les outils d'IA traitant des caractéristiques protégées. Bien que la Loi 25 n'exige pas explicitement le test de biais, le principe d'exactitude de l'article 9 crée des obligations implicites pour des résultats d'IA équitables, particulièrement sous l'exposition aux pénalités de l'article 91.

---

Exigences de tenue de registres et d'audit

L'article 3.2 de la Loi 25 exige des registres détaillés des activités de traitement impliquant les outils d'IA. Ces registres doivent démontrer la conformité à toutes les dispositions applicables de la Loi 25, pas seulement documenter l'usage général d'IA, pour résister aux inspections de la CAI sous l'article 70.

Maintenez des registres de traitement qui spécifient les buts des outils d'IA, catégories de données, périodes de rétention sous l'article 11 et transferts internationaux par l'article 17 pour chaque implémentation. Les entrées génériques pour « intelligence artificielle » ne respectent pas les attentes réglementaires ou les normes de conformité de l'article 91.

Documentez les évaluations d'impact sur la vie privée par l'article 3(5), procédures de collecte de consentement sous les articles 12-14 et réponses aux droits des personnes concernées par les articles 23-37 spécifiques au traitement par IA. La CAI s'attend à ces registres lors d'inspections ou enquêtes de plaintes sous les pouvoirs de l'article 70.

Établissez des procédures d'audit pour les activités de traitement par IA. Des révisions régulières de conformité devraient évaluer la validité du consentement, l'efficacité de la minimisation des données sous l'article 5 et l'adéquation des contrôles de sécurité par l'article 10. Ces révisions fournissent une documentation défensive pour les enquêtes réglementaires et l'atténuation des pénalités de l'article 91.

L'infrastructure canadienne d'Augure et les contrôles intégrés de conformité à la Loi 25 simplifient les exigences de tenue de registres sous l'article 3.2 en éliminant la complexité des transferts internationaux et fournissant des garanties natives de la loi québécoise sur la vie privée sans exposition au CLOUD Act américain.

---

Calendrier d'implémentation et priorités

Commencez par l'inventaire et l'évaluation des risques des outils d'IA actuels contre les exigences d'ÉFVP de l'article 3(5) de la Loi 25. Plusieurs organisations découvrent des lacunes de conformité dans les implémentations existantes qui exigent une attention immédiate pour éviter les pénalités de l'article 91.

Priorisez d'abord les applications d'IA à risque élevé : celles traitant des informations sensibles sous l'article 12, prenant des décisions automatisées par l'article 12.1 ou impliquant une analyse extensive de données personnelles. Celles-ci exigent typiquement des processus complets d'ÉFVP et des garanties renforcées sous le cadre provincial québécois.

Développez des critères d'évaluation standardisés pour les nouvelles acquisitions d'outils d'IA qui incluent la conformité à la Loi 25 comme exigence obligatoire, non une considération optionnelle. Ceci prévient l'accumulation de dette de conformité à mesure que l'adoption d'IA s'étend tout en maintenant les obligations provinciales de la Loi 25 et fédérales de la LPRPDE.

Planifiez la surveillance continue de conformité sous la préparation aux inspections de l'article 70, pas seulement l'implémentation initiale. Les capacités d'IA évoluent rapidement, et de nouvelles fonctionnalités peuvent déclencher des obligations additionnelles de la Loi 25 qui n'étaient pas présentes lors du déploiement original.

Les organisations québécoises ont besoin de plateformes d'IA construites pour les exigences réglementaires canadiennes, non adaptées pour la conformité. Le cadre existe pour protéger la vie privée individuelle tout en permettant l'innovation d'affaires légitime — choisissez des outils qui soutiennent les deux objectifs dès le départ.

Prêt à évaluer votre posture de conformité en IA ? Visitez augureai.ca pour explorer comment l'infrastructure d'IA canadienne souveraine simplifie les exigences de conformité à la Loi 25.