Loi 25 + IA générative : votre PME québécoise est probablement déjà en infraction. Comment se mettre conforme en 2026

Le 1er mai 2026, La Presse publiait un article au titre direct : « Votre recours à l'IA au boulot pourrait être illégal ». Le constat de l'article aligne ce qu'on observe en consultation : la majorité des PME québécoises utilisent ChatGPT, Claude, Gemini, Copilot dans leur quotidien sans le moindre cadre Loi 25. C'est une bombe à retardement réglementaire.

1. Ce que la Loi 25 dit, en clair

La Loi 25 (officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est en vigueur intégralement depuis le 22 septembre 2024. Pour l'IA générative, deux articles sont critiques :

• Article 12.1 — exige une transparence explicite quand une décision est prise uniquement par un système automatisé. La personne concernée doit en être informée et avoir un droit d'opposition (intervention humaine sur demande).
• Article 14 — exige un consentement manifestement éclairé et explicite pour le traitement des renseignements personnels, incluant ceux envoyés à des outils IA tiers.

S'ajoute l'obligation d'évaluation des facteurs relatifs à la vie privée (EFVP) avant tout déploiement d'un système qui traite des renseignements personnels — l'EFVP n'est pas un nice-to-have, c'est une obligation préalable au déploiement.

2. Les 5 patterns de risque les plus fréquents en PME

Pattern 1 — Shadow AI individuel

Un employé utilise ChatGPT, Claude ou Gemini grand public pour rédiger un courriel à un client en collant des informations contractuelles ou personnelles dans le prompt. Le contenu transite par des serveurs hors-Québec, possiblement utilisé pour entraîner les modèles selon les conditions du fournisseur grand public. Infraction probable : transparence (le client n'a pas consenti), transfert international (pas d'analyse de risque documentée), traitement non autorisé.

Pattern 2 — Chatbot client sans EFVP

Une PME a déployé un chatbot service client basé sur un LLM (Claude API, GPT API). Les conversations contiennent des informations personnelles (nom, courriel, problèmes facturation). Aucune EFVP documentée, aucune mention dans la politique de confidentialité, aucun consentement explicite à l'usage IA. Infraction probable : EFVP manquante, consentement éclairé absent, transparence article 12.1.

Pattern 3 — Tri CV automatisé non transparent

Une PME utilise un outil d'IA pour pré-trier les CV reçus. Les candidats ne sont pas informés du tri automatisé, n'ont pas de droit de demander une intervention humaine, aucun audit de biais documenté. Infraction probable : article 12.1 (décision automatisée sans transparence), Charte des droits (biais discriminatoire potentiel non audité).

Pattern 4 — Données employés vers IA tiers

Le service RH utilise ChatGPT pour résumer des évaluations de performance, rédiger des avertissements, analyser des dossiers d'employés. Les données employés (renseignements personnels) sont transmises à un LLM tiers grand public. Infraction probable : transfert non autorisé, EFVP manquante, consentement employé absent.

Pattern 5 — Prompts contenant des PII en formation interne

L'équipe est formée à utiliser ChatGPT pour la productivité, mais sans politique sur ce qu'on peut/ne peut pas y mettre. Cas concret : un comptable copie un état financier client dans ChatGPT pour faire reformuler une recommandation. PII traitée hors-cadre. Infraction probable : transparence client absente, EFVP du processus comptable manquante.

3. Les sanctions réelles et le risque pratique

Lecture pratique pour PME : la Commission d'accès à l'information (CAI) a un mandat explicite de surveillance et a publiquement annoncé une montée en cadence de ses inspections en 2025-2026. Les premières sanctions importantes vont sortir, et elles serviront de jurisprudence. Une PME qui est déjà conforme n'a pas à s'inquiéter. Une PME en shadow AI massif a un risque réel à 12-24 mois.

4. Plan de conformité en 8 étapes (30-60 jours)

1. Inventaire shadow AI (jours 1-7) — sondage anonymisé des employés sur l'usage actuel d'outils IA grand public, à quelles fins, avec quels types de données. Vous serez probablement surpris.
2. Politique d'usage IA interne (jours 8-15) — document court (2-4 pages) qui dit clairement : ce qui est permis (ex : Claude Pro Enterprise sur compte société), ce qui est interdit (PII clients dans ChatGPT grand public), procédures. Diffuser à toute l'équipe avec accusé réception.
3. Cartographie traitements IA (jours 16-22) — recenser tous les outils IA utilisés officiellement par l'entreprise (chatbots, automatisations, agents). Pour chacun : type de données traitées, finalité, base légale.
4. EFVP pour chaque traitement IA officiel (jours 23-35) — analyse documentée des risques pour la vie privée, mesures de mitigation, base légale. Format standard CAI.
5. Mise à jour politique de confidentialité (jours 36-42) — site web et documents clients : ajout des mentions sur l'usage de l'IA, transferts, droits des personnes (accès, rectification, opposition).
6. Procédure de réponse aux demandes (jours 43-48) — chemin clair pour qu'un client/employé puisse exercer ses droits Loi 25. Formulaire, délais (typiquement 30 jours), responsable désigné.
7. Formation des employés (jours 49-55) — 2h de formation obligatoire à l'usage IA conforme : ce qu'on peut/ne peut pas faire, comment poser un prompt sans PII, à qui escalader si doute.
8. Audit annuel + plan de mise à jour (jours 56-60) — calendrier des révisions EFVP (annuel minimum), procédure d'évaluation pour tout nouveau projet IA, formation continue.

5. Bon réflexe — choisir des outils IA Enterprise dès le départ

Une partie significative du risque shadow AI vient du fait que les conditions des outils grand public (ChatGPT Free, Gemini Free, Claude Free) permettent l'utilisation des données pour entraîner les modèles. Bascule simple : passer toute l'équipe en plans Enterprise (Claude Enterprise, ChatGPT Enterprise, Gemini Workspace) où les données ne sont pas utilisées pour entraînement, avec contrats et SLA conformité.

Coût additionnel typique pour PME 25 employés : 250-600 $/mois (vs gratuit). À mettre en perspective d'une sanction maximale Loi 25.

6. Sources primaires

Questions fréquentes

Mon entreprise a moins de 50 employés, la Loi 25 s'applique-t-elle vraiment à moi ?

Oui, intégralement. La Loi 25 s'applique à toute entreprise privée qui exploite une entreprise au Québec et qui collecte, détient, utilise ou communique des renseignements personnels — peu importe la taille. La seule modulation concerne certaines obligations spécifiques (responsable de la protection des renseignements personnels désigné, gouvernance documentée), où les attentes sont proportionnées à la taille et la complexité. Mais les obligations centrales (consentement éclairé, transparence des décisions automatisées, EFVP, droits des personnes, sanctions) s'appliquent à toutes les PME. Une PME de 8 employés qui utilise ChatGPT pour traiter des courriels clients est concernée.

Si mes employés utilisent ChatGPT en cachette, suis-je responsable comme employeur ?

Oui. La Loi 25 rend l'organisation (l'entreprise) responsable de tout traitement de renseignements personnels effectué par ses employés dans le cadre de leurs fonctions, qu'il soit autorisé ou non. Une utilisation shadow par un employé qui transmet des PII clients à ChatGPT engage la responsabilité de l'entreprise. C'est précisément pourquoi une politique d'usage IA interne diffusée et formée n'est pas optionnelle : elle constitue à la fois la preuve que l'entreprise a pris des mesures raisonnables et la base disciplinaire si un employé contrevient sciemment à la politique. Sans politique formelle, l'entreprise est seule responsable.

Combien coûte la mise en conformité Loi 25 + IA pour une PME standard ?

Trois fourchettes selon ampleur. (1) PME simple (10-30 employés, 1-2 outils IA) — 5 à 12 k$ : politique d'usage interne, EFVP des traitements officiels, mise à jour politique de confidentialité, formation 2h employés. Livré en 4-6 semaines. (2) PME moyenne (30-100 employés, plusieurs traitements IA) — 15 à 35 k$ : ajoute cartographie complète, EFVP par traitement, procédures de réponse aux demandes, audit. 6-10 semaines. (3) PME complexe (100+ employés, projets IA multiples, traitements à risque élevé) — 40 à 100 k$ : ajoute audit Charte/biais, contrats fournisseurs revus, cadre gouvernance complet, formation par profil. 10-16 semaines. Comparer à la sanction maximale (25 M$) : la mise en conformité est massivement plus économique.

Ma politique de confidentialité dit déjà que j'utilise des outils tiers — c'est pas suffisant ?

Non. La Loi 25 exige un consentement manifestement éclairé et explicite, pas un consentement présumé via une politique générale. Pour les usages IA, ça veut dire typiquement : (1) mention claire de l'usage IA dans la politique de confidentialité (avec quelles données, quels fournisseurs), (2) information explicite à la personne concernée au moment de la collecte (par exemple, lors d'une interaction chatbot, indication claire qu'elle parle à un système automatisé et qu'elle peut demander un humain), (3) registre des consentements obtenus, (4) procédure d'opposition. Une politique générique « nous utilisons des outils tiers » est insuffisante en cas d'inspection ou de plainte.

Si j'utilise Claude Enterprise (pas grand public), suis-je conforme automatiquement ?

Non, mais vous avez résolu une partie du problème (conditions contractuelles : pas d'utilisation pour entraînement, traitement chiffré, contrats appropriés). Il reste à votre charge : (1) EFVP du traitement IA dans votre contexte spécifique, (2) transparence vers les personnes concernées (clients, employés), (3) consentement éclairé, (4) politique d'usage interne employés, (5) procédure de réponse aux demandes Loi 25, (6) formation. Le choix d'un outil Enterprise est un prérequis nécessaire mais insuffisant. C'est précisément le complément que livre la mise en conformité JemPro Solutions.