2026-07-01Technologie11 min

Par Jeremy Soares — Courtier immobilier résidentiel et commercial, OACIQ H2731

Loi 25 et IA au Québec : ce que votre entreprise doit savoir avant de déployer l'IA sur des données clients

Cet article est fourni à titre informatif seulement et ne constitue pas un avis juridique. Consultez un avocat qualifié avant toute décision de conformité.

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — universellement appelée Loi 25 (projet de loi 64) — est pleinement en vigueur depuis septembre 2024. Le déploiement en trois phases est terminé. La Commission d'accès à l'information (CAI) détient les pouvoirs d'application et rend activement des décisions.

Si votre entreprise opère un système d'IA qui touche aux renseignements personnels de résidents du Québec — un CRM, un robot conversationnel, un outil automatisé de qualification de leads, un moteur de recommandation — vous devez comprendre ce que la Loi 25 exige. Ce n'est pas une « préoccupation future ». C'est une obligation légale actuelle.

Les trois phases d'implantation à connaître sur le bout des doigts

La Loi 25 n'est pas arrivée d'un seul coup. Comprendre les phases vous indique quelles obligations sont les plus anciennes — donc les plus urgentes du point de vue d'une vérification.

Phase 1 — 22 septembre 2022 : obligations de signalement des incidents de confidentialité et désignation obligatoire d'un responsable de la protection des renseignements personnels. Chaque organisation doit nommer une personne responsable.

Phase 2 — 22 septembre 2023 : la phase la plus significative sur le plan opérationnel pour les déploiements d'IA. C'est là qu'entrent en vigueur les exigences de consentement, les évaluations des facteurs relatifs à la vie privée (EFVP), les obligations de transparence sur la prise de décision automatisée et l'obligation de publier une politique de confidentialité.

Phase 3 — 22 septembre 2024 : droit à la portabilité des données. Toute personne peut demander que ses renseignements personnels soient communiqués à une autre organisation dans un format structuré et couramment utilisé.

La plupart des PME se sont concentrées sur la phase 1 (signalement des incidents) et ont reporté le travail de la phase 2. Ce report est aujourd'hui un écart de conformité, pas une marge de planification.

Ce que « décision automatisée » signifie sous la Loi 25 — et pourquoi c'est crucial pour l'IA

C'est ici que la Loi 25 croise directement les systèmes d'IA, et c'est là que les obligations sont le plus souvent mal comprises.

En vertu de la Loi 25 (article 12.1), lorsqu'une organisation utilise des renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé qui affecte significativement une personne, elle doit :

  1. Informer la personne qu'une décision automatisée est rendue, au plus tard au moment où la décision lui est communiquée.
  2. Lui offrir l'occasion de présenter des observations à un membre de l'organisation.
  3. Lui permettre de demander une révision humaine de la décision.
  4. Être en mesure d'expliquer les facteurs et paramètres qui ont mené à la décision.

L'expression « affecte significativement » est le seuil déterminant. En contexte immobilier : si votre système d'IA note les leads et achemine les contacts moins bien notés vers une séquence de suivi dépriorisée, vous rendez une décision automatisée qui affecte l'accès de ces personnes à vos services. Cela peut déclencher ces obligations.

Exemples concrets de ce qui déclenche cette disposition :

  • Un robot conversationnel qui qualifie les leads et décide qui reçoit un rappel
  • Un CRM qui note les clients et détermine la fréquence des communications
  • Un outil d'embauche IA qui filtre les candidatures avant la revue humaine
  • Un système automatisé de préqualification de crédit ou de financement

Si vous déployez l'un de ces systèmes sans avoir traité les exigences de divulgation, vous opérez avec un écart de conformité.

L'évaluation des facteurs relatifs à la vie privée : quand en faut-il une

L'EFVP est une analyse de risque structurée exigée avant le déploiement de toute technologie qui :

  • recueille, utilise ou communique des renseignements personnels, et
  • présente un risque pour la vie privée, particulièrement lorsqu'une prise de décision automatisée est en jeu (article 63.1)

Pour les systèmes d'IA, l'EFVP est presque toujours requise. L'évaluation doit documenter :

  • Quelles données personnelles sont recueillies et pourquoi
  • Comment elles circulent dans le système
  • Quels sous-traitants tiers les manipulent (votre fournisseur d'IA, votre fournisseur infonuagique)
  • Quels risques pour la vie privée existent et quelles mesures d'atténuation sont en place
  • Si le projet devrait aller de l'avant compte tenu du profil de risque

Les EFVP doivent être documentées. Si la CAI en demande une lors d'une inspection, « nous y avons réfléchi de façon informelle » n'est pas une réponse acceptable. Le document doit exister.

Les exigences de consentement pour le traitement par IA

La Loi 25 place la barre haute pour le consentement. En vertu de l'article 14, le consentement doit être :

  • Manifestement éclairé — la personne comprend non seulement que des données sont recueillies, mais comment elles seront utilisées dans un traitement par IA
  • Libre — non imposé comme condition non négociable d'un service lorsque des solutions de rechange existent
  • Spécifique — une case à cocher générique « J'accepte toutes les utilisations » ne satisfait pas l'exigence de divulgation propre au traitement par IA

Ce que cela signifie pour votre robot conversationnel : si votre outil d'IA recueille des noms, courriels ou numéros de téléphone auprès de visiteurs québécois, le formulaire de consentement ou l'avis de confidentialité doit divulguer spécifiquement que des renseignements personnels peuvent être traités par un système d'IA, et à quelle fin.

Les politiques de confidentialité génériques importées de gabarits américains — ou le texte passe-partout d'un fournisseur SaaS — ne satisfont pas cette norme. Elles doivent être révisées et adaptées aux exigences québécoises.

La résidence des données : la question à laquelle les fournisseurs ne savent pas toujours répondre

La Loi 25 n'impose pas d'exigence stricte de résidence des données au Canada. Elle exige toutefois que la communication de renseignements personnels à l'extérieur du Québec soit précédée d'une évaluation des facteurs relatifs à la vie privée et d'un encadrement contractuel assurant une protection équivalente.

C'est important parce que la majorité de l'infrastructure d'IA — OpenAI, Anthropic, Google Vertex, AWS Bedrock — tourne sur des serveurs américains. Lorsque vous envoyez les données personnelles d'un résident du Québec à l'un de ces services pour traitement, vous communiquez techniquement des renseignements personnels à l'extérieur du Québec.

Ce qu'il vous faut :

  1. Une entente de traitement des données avec le fournisseur incluant des protections adéquates
  2. Une documentation démontrant que vous avez évalué les risques du transfert transfrontalier
  3. Une divulgation dans votre politique de confidentialité indiquant que les données peuvent être traitées hors Québec

Beaucoup de PME font tourner des outils d'IA sur des données clients de production via des API de fournisseurs sans aucune entente de traitement des données. C'est l'écart de conformité le plus fréquent que nous observons.

Pour choisir un fournisseur d'IA capable de produire cette documentation : voir Agence IA ou développeur pigiste au Québec.

Les pénalités : rien de théorique

La CAI dispose de pouvoirs de sanction gradués en vertu de la Loi 25 :

  • Sanctions administratives pécuniaires : jusqu'à 10 millions $ CA ou 2 % du chiffre d'affaires mondial pour les manquements moins graves.
  • Sanctions pénales pour les infractions graves : jusqu'à 25 millions $ CA ou 4 % du chiffre d'affaires mondial — selon le montant le plus élevé.

Il n'existe aucune exemption pour les petites entreprises. Une agence immobilière de cinq personnes, une agence de marketing boutique et un consultant solo sont soumis aux mêmes règles qu'une banque.

La CAI a déjà rendu des décisions formelles contre des organisations québécoises. Nous sommes dans un environnement d'application actif, pas dormant.

La couche Loi 96 : le français est obligatoire pour les outils IA destinés aux clients

Distincte de la Loi 25, la Loi 96 (Loi 14) — les modifications à la Charte de la langue française — exige que les systèmes d'IA utilisés en contexte client offrent une interface et un service en français.

Depuis le 1er juin 2025, les entreprises servant une clientèle québécoise doivent rendre leurs outils numériques — y compris les robots conversationnels et les systèmes de communication automatisés — disponibles en français. Un assistant IA qui ne parle qu'anglais à des prospects québécois constitue une infraction à la Loi 96, pas seulement une lacune marketing.

Pour les professionnels de l'immobilier en particulier : voir L'IA pour les courtiers immobiliers au Québec pour l'intersection avec les obligations publicitaires de l'OACIQ.

Liste de vérification de conformité IA pour PME

Utilisez ceci comme point de départ, pas comme substitut à une révision juridique.

Gouvernance

  • Responsable de la protection des renseignements personnels désigné et nommé à l'interne
  • Coordonnées du responsable accessibles publiquement
  • Politique de confidentialité publiée, à jour et adaptée au Québec

Avant de déployer tout système d'IA

  • EFVP complétée et documentée
  • Ententes de traitement des données signées avec tous les fournisseurs d'IA
  • Divulgation documentée des transferts de données transfrontaliers
  • Version française de l'interface IA disponible (Loi 96)

Pour les systèmes de décision automatisée

  • Mécanisme de divulgation en place pour informer les personnes des décisions automatisées
  • Processus de révision humaine établi et accessible
  • Capacité d'expliquer les critères de décision, documentée
  • Processus d'observations et d'appel défini

Consentement

  • Libellé de consentement mis à jour pour divulguer le traitement par IA
  • Consentement recueilli avant l'entrée des données dans les systèmes d'IA
  • Registres de consentement maintenus

En continu

  • Processus de réponse aux incidents de confidentialité documenté
  • Revue annuelle de l'EFVP pour les systèmes d'IA actifs
  • Contrats fournisseurs révisés pour les clauses de conformité Loi 25

L'évaluation honnête

La plupart des PME québécoises qui utilisent des outils d'IA ne sont pas pleinement conformes à la Loi 25. La raison honnête n'est pas la mauvaise foi — c'est que la loi est réellement complexe, que les ressources d'implantation sont limitées et que les fournisseurs SaaS qui vendent des outils d'IA n'ont pas rendu l'infrastructure de conformité facile à déployer.

Les organisations qui éviteront les pénalités sont celles qui documentent leur démarche : une EFVP complétée, une politique de confidentialité à jour, une entente de traitement des données avec les fournisseurs, un processus défini de divulgation des décisions automatisées. Pas la perfection — la documentation et l'effort de bonne foi.

L'application de la loi par la CAI a visé en priorité les organisations qui ont ignoré la loi entièrement ou qui n'ont pas pu produire de documentation sur demande. Si vous pouvez montrer votre travail, vous êtes matériellement mieux positionné que la majorité des entreprises québécoises qui utilisent l'IA aujourd'hui.


FAQ

La Loi 25 s'applique-t-elle à ma petite entreprise si je n'utilise qu'un CRM et un outil de marketing par courriel ? Oui. La Loi 25 s'applique à toute organisation qui recueille ou utilise les renseignements personnels de résidents du Québec, sans seuil de revenus ou de taille. Si votre CRM contient les coordonnées de résidents du Québec et que vous utilisez des séquences automatisées, vous avez des obligations sous la Loi 25.

Quelle est la différence entre une EFVP et une politique de confidentialité ? La politique de confidentialité est un document public qui divulgue vos pratiques en matière de données. L'EFVP est un document interne d'analyse de risque complété avant le déploiement d'une nouvelle technologie. Les deux sont requis — ils remplissent des fonctions différentes.

Ai-je besoin d'un consentement pour analyser mes données clients existantes avec l'IA ? Potentiellement oui, si vous utilisez les données à une nouvelle fin qui n'avait pas été divulguée au moment de la collecte. Si des clients vous ont donné leur courriel pour recevoir des alertes d'inscriptions et que vous versez maintenant leur profil dans un système de notation IA, cette nouvelle utilisation peut exiger un consentement frais.

Que se passe-t-il si la CAI enquête sur mon entreprise et que je n'ai aucune documentation ? L'absence de documentation est en soi une preuve de non-conformité. La CAI peut émettre des ordonnances, imposer des sanctions administratives et, dans les cas graves, référer le dossier pour poursuite pénale. Mettre la documentation en place avant une enquête est considérablement plus facile que de le faire pendant.


Ressources connexes


Prêt à vérifier la conformité Loi 25 de votre infrastructure IA ? Discutons.

Parlons de votre projet

Une question sur votre situation ? Réponse directe, sans engagement.

À propos de l'auteur

Jeremy Soares est courtier immobilier résidentiel et commercial agréé OACIQ (permis H2731) à Montréal. Formé en architecture, il combine le courtage — multilogements, commercial, prévente et résidentiel — avec des outils d'analyse et de mise en valeur propulsés par l'IA. Service bilingue, Grand Montréal.

Infolettre

Restez informé

514 519-8177