Liste de vérification de la Loi 25 pour les outils d'IA en 2026

La conformité à la Loi 25 pour les outils d'intelligence artificielle nécessite une attention particulière à la résidence des données, aux mécanismes de consentement, aux évaluations des facteurs relatifs à la vie privée et à la diligence raisonnable des fournisseurs. Les organisations qui utilisent des outils d'IA pour traiter les renseignements personnels de résidents québécois doivent respecter les exigences renforcées de protection de la vie privée prévues aux articles 17-18 de la loi québécoise sur la protection de la vie privée dans le secteur privé, avec des pénalités administratives pécuniaires pouvant atteindre 10 M$ pour les entreprises en vertu de l'article 90.15.

---

Résidence des données et transferts transfrontaliers

Les articles 17-18 de la Loi 25 établissent des exigences strictes pour les transferts de renseignements personnels hors du Québec. Les outils d'IA hébergés sur une infrastructure étrangère doivent démontrer des niveaux de protection adéquats ou obtenir le consentement explicite des résidents québécois.

La Commission de protection de la vie privée du Québec (CPCSC) a émis des directives en septembre 2024 précisant que l'entraînement de modèles d'IA, le traitement d'inférence et les fonctionnalités de mémoire persistante constituent tous du « traitement » sous la Loi 25. Les organisations ne peuvent pas se fier uniquement aux garanties contractuelles lorsqu'elles utilisent des outils d'IA hébergés dans des juridictions dotées d'autorités de surveillance gouvernementale.

« Les exigences de résidence des données de la Loi 25 s'appliquent à toutes les activités de traitement par IA, incluant l'inférence de modèles, les données d'entraînement et les historiques de conversation. Les organisations doivent vérifier où leur fournisseur d'IA traite les données des résidents québécois et s'assurer que les standards d'adéquation de l'article 17 sont respectés. »

Les principales exigences de conformité incluent :

• Documenter l'emplacement géographique de toutes les activités de traitement par IA • Évaluer l'adéquation des protections de la vie privée dans la juridiction de destination sous l'article 17 • Obtenir un consentement explicite selon l'article 14 pour les transferts vers des juridictions inadéquates • Implémenter des garanties additionnelles pour les renseignements personnels sensibles sous l'article 12

Des plateformes comme Augure, qui maintiennent une résidence des données 100 % canadienne sans exposition corporative américaine, aident les organisations québécoises à respecter ces exigences sans évaluations complexes d'impact de transfert sous les articles 17-18.

---

Obligations de consentement et de transparence

L'article 14 de la Loi 25 exige un consentement clair et spécifique pour le traitement par IA qui va au-delà de la finalité de collecte originale. Les politiques de confidentialité génériques ne satisfont pas cette norme lorsque les outils d'IA analysent des renseignements personnels pour de nouveaux usages.

Les organisations doivent fournir des informations spécifiques sur les activités de traitement par IA sous l'article 8 :

• La nature et la finalité de l'analyse par IA • Les catégories de renseignements personnels traités • L'identité des prestataires de services d'IA • Les périodes de conservation pour l'entraînement et l'inférence

Les directives d'application 2025 de la CPCSC soulignent que « IA pour la productivité » n'est pas une spécification de finalité suffisante sous l'article 8. Les organisations doivent expliquer les fonctionnalités spécifiques d'IA comme l'analyse de documents, la reconnaissance de motifs ou la prise de décision automatisée.

« Le consentement pour le traitement par IA doit être spécifique à la fonctionnalité d'IA sous l'article 14 de la Loi 25. Le consentement général pour « améliorer les services » ne couvre pas l'analyse de documents, la prise de décision automatisée ou l'analytique prédictive qui excède la finalité de collecte originale. »

Pour les outils d'IA avec des capacités d'apprentissage, les organisations doivent divulguer si les renseignements personnels contribuent à l'entraînement de modèles ou aux bases de connaissances partagées selon les exigences de transparence de l'article 8. Cela inclut les robots conversationnels avec mémoire persistante, les outils d'analyse de documents et les plateformes d'IA collaborative.

---

Évaluations des facteurs relatifs à la vie privée pour l'IA

L'article 3.3 de la Loi 25 exige des évaluations des facteurs relatifs à la vie privée (EFVP) pour le traitement qui présente un « risque élevé pour la vie privée ». La CPCSC considère que la plupart des applications d'IA atteignent ce seuil, particulièrement celles impliquant :

• La prise de décision automatisée affectant des individus (considérations de l'article 11) • L'analyse de renseignements personnels sensibles sous l'article 12 • Le profilage ou l'analyse comportementale • Le traitement de données transfrontalier sous les articles 17-18

Votre EFVP doit aborder les risques spécifiques à l'IA sous le cadre de la CPCSC :

• L'entraînement de modèles sur des renseignements personnels • La précision d'inférence et le potentiel de biais • La conformité à la minimisation des données avec l'article 9 • La sécurité des insights générés par l'IA

Documentez le flux de données de votre outil d'IA depuis l'entrée jusqu'au traitement et à la sortie. Incluez les sources de données d'entraînement, les fréquences de mise à jour de modèles et les périodes de conservation pour les invites et réponses comme requis sous l'article 10.

La CPCSC s'attend à ce que les organisations démontrent la nécessité et la proportionnalité sous l'article 9. Les avantages génériques de productivité ne justifient pas le traitement extensif de renseignements personnels par des outils d'IA.

---

Exigences de diligence raisonnable des fournisseurs

L'article 18.2 de la Loi 25 rend les organisations responsables de la conformité de leurs prestataires de services d'IA. La diligence raisonnable s'étend au-delà des termes contractuels aux pratiques de traitement réelles et aux contrôles d'infrastructure.

Les éléments essentiels de diligence raisonnable incluent :

• La vérification des emplacements de traitement des données selon les articles 17-18 • L'évaluation de la gouvernance de la vie privée du prestataire sous l'article 3.1 • L'examen des contrôles de sécurité et de la réponse aux incidents selon l'article 7 • L'évaluation de l'implémentation des droits des personnes concernées sous les articles 27-41

Demandez des informations détaillées sur l'architecture de votre fournisseur d'IA. Où sont situés les serveurs ? Qui a accès administratif ? Comment les données sont-elles chiffrées en transit et au repos selon les exigences de sécurité de l'article 7 ?

« Les organisations demeurent responsables de la conformité de leurs prestataires de services d'IA à la Loi 25 sous l'article 18.2. La diligence raisonnable nécessite de vérifier les pratiques de traitement réelles, pas seulement d'examiner les politiques de confidentialité des fournisseurs, particulièrement pour les transferts transfrontaliers sous les articles 17-18. »

Portez une attention particulière aux fournisseurs d'IA ayant des sociétés mères ou investisseurs américains. Le CLOUD Act crée des obligations de divulgation qui peuvent entrer en conflit avec les standards d'adéquation de l'article 17 de la Loi 25, nécessitant des garanties additionnelles ou des mécanismes de consentement sous l'article 14.

---

Minimisation des données et limitation de finalité

L'article 9 de la Loi 25 exige de traiter les renseignements personnels seulement dans la mesure nécessaire à la finalité déclarée. Les outils d'IA encouragent souvent une saisie extensive de données qui dépasse les exigences de conformité sous ce principe.

Appliquez les principes de minimisation des données selon l'article 9 :

• Limitez le traitement par IA aux renseignements personnels nécessaires • Configurez les outils pour exclure les détails personnels non nécessaires • Examen régulier de la conservation des données dans les systèmes d'IA selon l'article 10 • Séparez le traitement par IA selon le niveau de sensibilité sous l'article 12

De nombreux outils de productivité d'IA acceptent des téléversements illimités de documents ou d'historiques de conversation. Évaluez si cette collecte de données large sert des finalités d'affaires spécifiques sous l'article 9 de la Loi 25.

Les directives 2025 de la CPCSC soulignent que les gains d'efficacité de l'IA ne justifient pas la collecte de renseignements personnels additionnels sous l'article 9. Les organisations doivent démontrer que le traitement élargi par IA sert la finalité de collecte originale ou obtenir un nouveau consentement sous l'article 14.

---

Formation des employés et gouvernance

L'article 3.5 de la Loi 25 exige que les organisations s'assurent que le personnel comprend les obligations de protection de la vie privée lors de l'utilisation d'outils d'IA. Cela inclut tant les professionnels de la vie privée que les utilisateurs finaux qui interagissent avec des systèmes d'IA traitant des renseignements personnels.

La formation devrait couvrir :

• L'identification des renseignements personnels dans les entrées d'IA • La compréhension des exigences de consentement sous l'article 14 pour le traitement par IA • La reconnaissance du moment où des évaluations des facteurs relatifs à la vie privée sont nécessaires selon l'article 3.3 • La déclaration d'incidents de vie privée liés à l'IA sous l'article 3.7

Établissez une gouvernance claire autour de l'approvisionnement et du déploiement d'outils d'IA. Exigez un examen de la vie privée avant d'implémenter de nouvelles capacités d'IA, particulièrement celles traitant les renseignements personnels de résidents québécois sous la juridiction de la Loi 25.

Documentez votre processus décisionnel pour la sélection d'outils d'IA, incluant les considérations de vie privée et les évaluations de conformité. La CPCSC s'attend à ce que les organisations démontrent une protection systématique de la vie privée plutôt que des efforts de conformité ad hoc sous l'article 3.1.

---

Réponse aux incidents et notification d'atteinte

Les outils d'IA créent des défis uniques de réponse aux incidents sous l'article 3.7 de la Loi 25. Les atteintes peuvent impliquer l'exposition de données d'entraînement, des attaques d'inversion de modèles ou l'accès non autorisé à des insights générés par IA contenant des renseignements personnels.

Votre plan de réponse aux incidents devrait aborder :

• La détection d'incidents de vie privée liés à l'IA • L'évaluation de l'exposition de renseignements personnels par l'IA • Les obligations de notification pour les atteintes de prestataires de services d'IA sous l'article 3.7 • La remédiation de systèmes d'IA compromis

Documentez les scénarios d'incidents spécifiques à l'IA dans vos procédures de réponse. Incluez les informations de contact des équipes de sécurité de vos prestataires de services d'IA et les procédures d'escalade pour les incidents transfrontaliers affectant la conformité des articles 17-18.

La CPCSC s'attend à ce que les organisations signalent les atteintes liées à l'IA dans les 72 heures sous l'article 3.7 lorsqu'elles présentent un risque de préjudice sérieux. Cela inclut l'accès non autorisé à des renseignements personnels sensibles traités par des outils d'IA.

---

La conformité à la Loi 25 pour les outils d'IA nécessite une attention systématique à la résidence des données sous les articles 17-18, aux mécanismes de consentement selon l'article 14 et à la surveillance des fournisseurs sous l'article 18.2. Les organisations traitant les renseignements personnels de résidents québécois par l'IA doivent démontrer une protection adéquate tout au long du cycle de traitement complet.

Commencez par un inventaire complet de vos outils d'IA actuels et de leurs pratiques de traitement des données. Priorisez les efforts de conformité selon la sensibilité des renseignements personnels et la portée des activités de traitement par IA sous le cadre basé sur les risques de la Loi 25.

La plateforme d'IA d'Augure hébergée au Canada aide les organisations à respecter les exigences de la Loi 25 en éliminant les préoccupations de transfert transfrontalier et en fournissant une gouvernance transparente des données pour la conformité québécoise.

Pour des directives détaillées sur l'implémentation de flux de travail d'IA conformes à la Loi 25, explorez les ressources de conformité à augureai.ca.