La Loi 25 : la loi IA de facto du Québec

Bien que le Québec n'ait pas adopté de loi spécifiquement dédiée à l'IA, la Loi 25, pleinement en vigueur depuis septembre 2024, crée un cadre substantiel pour les systèmes d'IA traitant des renseignements personnels. Elle est souvent qualifiée de "RGPD canadien" en raison de son niveau d'exigence, qui dépasse largement la loi fédérale canadienne (LPRPDE).

Trois dispositions sont particulièrement importantes pour les systèmes d'IA. L'article 12.1 crée le droit à l'information sur les décisions automatisées. L'article 13.1 encadre la collecte de renseignements personnels à caractère technologique. Et les articles 3.2 et suivants créent l'obligation d'évaluation des facteurs relatifs à la vie privée (EFVP).

Le droit à l'information sur les décisions automatisées

L'article 12.1 dispose que toute personne a le droit d'être informée lorsqu'une décision fondée exclusivement sur un traitement automatisé de renseignements personnels lui est appliquée et produit des effets sur elle. Elle a également le droit de savoir quels renseignements ont été utilisés, de faire corriger les renseignements inexacts, et de présenter ses observations à un être humain. Ce droit s'applique aux décisions d'emploi, de crédit, d'assurance, d'accès à des services, et à toute autre décision ayant des effets sur la personne.

L'EFVP : obligation préalable au déploiement

Avant tout projet impliquant des renseignements personnels présentant un risque élevé pour la vie privée, une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est obligatoire. Pour les projets IA, cela inclut généralement : les systèmes de profilage, les systèmes de prise de décision automatisée, les systèmes biométriques, et les systèmes traitant des données sensibles à grande échelle. L'EFVP doit être documentée et disponible pour la CAI sur demande.