Loi 25 au Québec et Intelligence Artificielle : ce que les entreprises doivent savoir

Points clés

• La Loi 25 est pleinement en vigueur depuis septembre 2024 — c'est la loi sur la protection de la vie privée la plus exigeante au Canada, surpassant la LPRPDE fédérale.
• L'article 12.1 de la Loi 25 crée un droit spécifique à l'information sur les décisions automatisées — toute personne a le droit d'être informée qu'une décision la concernant est prise par un système technologique.
• Les entreprises québécoises doivent réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet utilisant des renseignements personnels à risque élevé — y compris les projets IA.
• La Commission d'accès à l'information (CAI) a compétence pour enquêter et sanctionner — les amendes peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial.
• Les entreprises situées hors Québec qui collectent des renseignements personnels de personnes résidant au Québec sont soumises à la Loi 25.

La Loi 25 : la loi IA de facto du Québec

Bien que le Québec n'ait pas adopté de loi spécifiquement dédiée à l'IA, la Loi 25 — pleinement en vigueur depuis septembre 2024 — crée un cadre substantiel pour les systèmes d'IA traitant des renseignements personnels. Elle est souvent qualifiée de "RGPD canadien" en raison de son niveau d'exigence, qui dépasse largement la loi fédérale canadienne (LPRPDE).

Trois dispositions sont particulièrement importantes pour les systèmes d'IA. L'article 12.1 crée le droit à l'information sur les décisions automatisées. L'article 13.1 encadre la collecte de renseignements personnels à caractère technologique. Et les articles 3.2 et suivants créent l'obligation d'évaluation des facteurs relatifs à la vie privée (EFVP).

Le droit à l'information sur les décisions automatisées

L'article 12.1 dispose que toute personne a le droit d'être informée lorsqu'une décision fondée exclusivement sur un traitement automatisé de renseignements personnels lui est appliquée et produit des effets sur elle. Elle a également le droit de savoir quels renseignements ont été utilisés, de faire corriger les renseignements inexacts, et de présenter ses observations à un être humain. Ce droit s'applique aux décisions d'emploi, de crédit, d'assurance, d'accès à des services, et à toute autre décision ayant des effets sur la personne.

L'EFVP : obligation préalable au déploiement

Avant tout projet impliquant des renseignements personnels présentant un risque élevé pour la vie privée, une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est obligatoire. Pour les projets IA, cela inclut généralement : les systèmes de profilage, les systèmes de prise de décision automatisée, les systèmes biométriques, et les systèmes traitant des données sensibles à grande échelle. L'EFVP doit être documentée et disponible pour la CAI sur demande.