Veille IA Veille IA sans buzz : pour stratèges québécois.
La veille

IA et Loi 25 pour les PME

  • Accueil
  • L'IA pour les PME québécoises
  • IA et Loi 25

IA et Loi 25 pour les PME québécoises : rester conforme

Dernière mise à jour : 20 juin 2026

Pour une PME québécoise, utiliser un outil d'IA sur des données de clients ou d'employés n'a rien d'anodin : cela constitue un traitement de renseignements personnels au sens de la Loi 25. Il faut donc le traiter comme tel, avec les mêmes précautions que pour n'importe quel autre traitement de données sensibles. L'IA est un outil formidable, mais la responsabilité juridique reste entière, peu importe le fournisseur derrière l'outil.

Bonne nouvelle : se conformer n'exige pas une équipe juridique complète. Quelques réflexes simples, appliqués avec constance, permettent de tirer parti de l'IA sans exposer les renseignements de vos clients ou de votre personnel.

En bref

Dès qu'une IA traite des données de clients ou d'employés, la Loi 25 s'applique. Anonymisez avant de soumettre quoi que ce soit à une IA publique, encadrez l'usage par vos équipes, et conservez la trace de vos traitements.

  • Ne jamais soumettre de renseignements identifiables à une IA publique : anonymisez d'abord.
  • Désigner un responsable de la protection des renseignements personnels et tenir un registre des traitements.
  • Conclure des ententes écrites avec les fournisseurs d'IA (emplacement des données, sécurité, non-réutilisation pour l'entraînement).
  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets à risque.
  • Encadrer le « shadow IA » : sensibiliser les équipes pour éviter les fuites involontaires.

Utiliser une IA, c'est traiter des renseignements personnels

Dès qu'un outil d'IA reçoit le nom d'un client, son adresse, un numéro de dossier, un courriel d'employé ou tout autre élément permettant d'identifier une personne, il y a traitement de renseignements personnels. La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) encadre ce traitement, et la Commission d'accès à l'information du Québec veille à son application. Une PME ne peut donc pas considérer l'IA comme une « zone grise » : les obligations habituelles s'appliquent pleinement.

Les obligations concrètes pour une PME

Selon la Loi 25 et les orientations de la Commission d'accès à l'information du Québec, une PME doit notamment :

  • Désigner un responsable de la protection des renseignements personnels au sein de l'entreprise.
  • Tenir un registre des traitements : quelles données, pourquoi, pour combien de temps, et avec quels fournisseurs.
  • Maintenir une politique de confidentialité à jour, claire et accessible.
  • Conclure des ententes écrites avec les fournisseurs d'IA précisant l'emplacement des données, les mesures de sécurité et l'engagement de non-réutilisation des données pour entraîner les modèles.
  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets à risque.
  • Obtenir le consentement quand il est requis.
  • Signaler les incidents de confidentialité selon les règles applicables.

Le risque du « shadow IA »

Le plus grand risque pour une PME n'est pas toujours un projet d'IA mal ficelé : c'est souvent le « shadow IA », c'est-à-dire des employés qui collent des renseignements personnels dans des outils d'IA grand public pour aller plus vite. Ces données peuvent alors être conservées, analysées ou réutilisées hors de votre contrôle. La règle d'or est simple : ne jamais soumettre de renseignements identifiables à une IA publique. Anonymisez d'abord.

Anonymiser un texte (100 % local) Retour au dossier PME Cas d'usage de l'IA pour les PME

Pour aller plus loin

Cette page complète notre dossier sur la conformité. Pour les organismes publics et parapublics, consultez la version dédiée : IA et Loi 25 dans le secteur public. Pour les usages pratiques par fonction, voyez nos cas d'usage concrets de l'IA pour les PME, et revenez au pilier L'IA pour les PME québécoises.

Source de référence : Commission d'accès à l'information du Québec.

Rester à jour

Double opt-in. Loi 25 / RGPD. Désabonnement 1-clic.

Questions fréquentes

Une PME doit-elle respecter la Loi 25 quand elle utilise une IA ?

Oui. Dès qu'un outil d'IA traite des données de clients ou d'employés, il s'agit d'un traitement de renseignements personnels au sens de la Loi 25. La PME demeure responsable de ces données et doit respecter les obligations de la loi, peu importe l'outil utilisé.

Qu'est-ce que le « shadow IA » et pourquoi est-ce risqué ?

Le « shadow IA » désigne l'usage d'outils d'IA grand public par des employés, sans encadrement. Le risque : coller des renseignements personnels dans une IA publique, où ces données peuvent être conservées ou réutilisées. La règle d'or est de ne jamais soumettre d'information identifiable à une IA publique et d'anonymiser d'abord.

Comment éviter de transmettre des renseignements personnels à une IA ?

Anonymisez le texte avant de le soumettre : retirez ou remplacez les noms, adresses, numéros de dossier et autres éléments identifiants. Un anonymiseur local, comme celui de laveille.ai, masque ces éléments directement dans votre navigateur, sans envoyer vos données à un serveur.

🔐 Connexion rapide

Entrez votre courriel pour recevoir un code à 6 chiffres.

Pas besoin de mot de passe ni d'inscription. Entrez votre courriel, recevez un code par courriel, et c'est tout !