Agent IA et décisions automatisées : ce qu'exige l'article 12.1 de la Loi 25
Par Xavier PeichL'article 12.1 de la Loi 25 s'applique quand un agent IA décide seul. Trois obligations concrètes, un mot-clé qui change tout : « exclusivement ».
Si vous avez lu notre survol des obligations Loi 25 pour les PME québécoises, vous savez déjà qu'un agent IA bien conçu est parfaitement légal. Mais il y a une obligation dans la loi qui mérite qu'on s'y arrête plus longuement, parce qu'elle s'applique précisément à ce que les agents font le mieux : prendre des décisions à votre place.
L'article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1), en vigueur depuis le 22 septembre 2023, encadre les décisions entièrement automatisées qui touchent des personnes. Comprendre ce qu'il exige, et ce qui peut le déclencher dans votre PME (petite et moyenne entreprise), c'est ce dont parle cet article.
La réponse courte pour les pressés
Quand un agent IA prend une décision qui concerne une personne (client, employé, candidat) et qu'aucun humain n'a participé à cette décision, trois obligations entrent en jeu en vertu de l'article 12.1 :
1. Informer la personne. Vous devez l'aviser au plus tard au moment où vous lui communiquez la décision.
2. Expliquer sur demande. Si la personne vous le demande, vous devez lui décrire les renseignements personnels qui ont servi à prendre la décision, les principaux facteurs et paramètres qui l'ont déterminée, et lui rappeler son droit de faire corriger les renseignements inexacts.
3. Offrir une révision humaine. Vous devez lui donner l'occasion de présenter ses observations à un membre de votre personnel qui a le pouvoir de revoir la décision.
Le mot clé est « exclusivement » : l'article 12.1 ne s'applique que si la décision est fondée uniquement sur un traitement automatisé. Dès qu'un humain joue un rôle réel, l'obligation change. C'est la ligne de démarcation, et votre principal levier de conception.
Le mot « exclusivement » : pourquoi il change tout
Imaginons deux agents qui font la même tâche de départ : évaluer une demande de financement d'un client.
Le premier agent analyse le dossier, calcule un score, et envoie directement une réponse au client. Aucune personne n'a regardé le dossier. C'est une décision exclusivement automatisée. L'article 12.1 s'applique dans toute sa rigueur.
Le second agent fait la même analyse, mais pour les dossiers en zone grise (score entre 60 et 75, disons) il ouvre un ticket pour qu'un conseiller jette un œil avant que la décision soit communiquée. Ce conseiller approuve, refuse, ou modifie. Un humain a participé à la décision. L'article 12.1, dans son sens strict, ne s'applique plus de la même façon.
La différence entre les deux n'est pas une astuce légale. C'est une question de conception sérieuse. Un agent qui sait quand il doit escalader à un humain est aussi un meilleur agent sur le plan opérationnel : il réduit les erreurs coûteuses, il laisse à votre équipe les jugements qui valent vraiment leur temps, et il est plus facile à défendre si une décision est contestée.
Cela dit, la loi ne précise pas le degré d'implication humaine requis. La Commission d'accès à l'information (la CAI, l'organisme qui applique la Loi 25) est l'autorité sur ce point. Un passage en revue purement formel, sans vraie possibilité d'influer sur la décision, ne constitue pas une participation humaine réelle. Si vous construisez un agent avec une escalade humaine dans le seul but de contourner l'article 12.1 sans jamais que personne ne regarde vraiment, ce n'est pas une conception sérieuse, et ce n'est probablement pas conforme.
Quatre scénarios de PME qui déclenchent l'article 12.1
Pour rendre ça concret, voici quatre types d'usage où l'article 12.1 entre en jeu directement.
Approbation ou refus d'une demande de crédit ou de financement
Un agent analyse la capacité de remboursement d'un client et lui retourne une réponse sans qu'un humain ait vu le dossier. Décision exclusivement automatisée, article 12.1 applicable. Le client doit être informé, et disposer de la possibilité de demander une explication et une révision.
Tri de candidatures à un poste
Un agent passe en revue les CV reçus, applique des critères de sélection, et rejette automatiquement les candidats qui ne passent pas le filtre. Les candidats refusés n'ont jamais eu un humain qui regarde leur dossier. Même mécanique, mêmes obligations.
Fixation d'une prime d'assurance ou d'un tarif personnalisé
Un agent évalue le profil d'un client et lui attribue automatiquement une prime ou un tarif différencié. Si cette tarification repose sur le traitement automatisé de renseignements personnels et qu'aucun humain ne valide, l'article 12.1 s'applique.
Fermeture ou suspension d'un compte client
Un agent détecte une anomalie (transactions inhabituelles, non-paiement, comportement qui déclenche une règle interne) et ferme ou suspend le compte sans intervention humaine. La personne touchée a droit à l'information, à l'explication sur demande, et à une révision.
Dans chaque cas, la personne reçoit une réponse qui change quelque chose pour elle, sans jamais avoir eu la chance de parler à quelqu'un. C'est précisément le scénario que l'article 12.1 vise.
Trois obligations, en pratique
Revenons sur ce que les trois obligations exigent concrètement, parce que les détails importent.
Informer au moment de la décision. L'obligation est liée au timing : « au plus tard au moment où la décision est communiquée ». Ça veut dire que le courriel qui annonce le refus ou l'approbation doit contenir, ou être accompagné d'une notice qui explique qu'une décision automatisée a été prise. Pas dans une politique de confidentialité enterrée à la page 8. Dans la communication elle-même.
Expliquer les facteurs sur demande. Ce n'est pas une obligation proactive permanente : vous n'avez pas à produire une explication pour chaque décision rendue. Mais si la personne la demande, vous devez pouvoir lui dire quels renseignements ont été utilisés et quels ont été les principaux facteurs et paramètres. Ça implique que votre agent soit conçu pour que ces informations soient traçables et récupérables. Un agent qui prend des décisions dans une boîte noire sans laisser de traces ne peut pas remplir cette obligation.
Donner l'occasion d'une révision humaine. La loi dit « l'occasion de présenter des observations à un membre du personnel » qui peut revoir la décision. Ça suppose que vous avez un processus pour recevoir ces demandes de révision et qu'une personne ayant l'autorité de modifier la décision y répond dans un délai raisonnable.
Ces trois obligations ont une implication directe sur la façon dont vous construisez et opérez un agent. Si vous prévoyez avant de déployer comment vous remplirez chacune d'elles, la conception est beaucoup plus propre. Si vous y pensez après, c'est une refonte. C'est d'ailleurs une des raisons pour lesquelles une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de déployer un agent n'est pas juste une case à cocher : elle force cette réflexion au bon moment.
L'escalade humaine comme choix d'architecture
L'obligation de révision humaine prévue à l'article 12.1 ressemble à une contrainte de plus. C'est surtout un principe de conception que vous auriez dû appliquer de toute façon.
Un agent qui gère des décisions à fort impact (refus de crédit, rejet de candidature, fermeture de compte) sans jamais impliquer un humain pour les cas limites, c'est un agent fragile. Les cas limites, par définition, sont ceux où la décision automatique est la moins fiable. Ce sont aussi ceux qui génèrent le plus de contestations, les plus coûteuses en temps et en réputation.
Un agent conçu pour escalader de façon sélective, les cas nets il les traite seul, les cas ambigus il les soulève à quelqu'un, est plus robuste, plus facile à auditer, et plus simple à défendre si une plainte arrive à la CAI. Ce n'est pas un compromis entre vitesse et conformité. C'est la conception qui gagne sur les deux tableaux.
La question à vous poser avant de déployer : pour chaque type de décision que cet agent prend, sais-je où est la frontière entre les cas que je lui confie entièrement et ceux qu'il doit escalader ? Si vous n'avez pas de réponse claire, l'article 12.1 n'est pas votre seul problème.
Et l'IA utilisée par vos employés sans cadre
L'article 12.1 parle de décisions prises par votre entreprise, pas seulement par des agents officiels que vous avez déployés. Si vos employés utilisent des outils d'IA en autonomie pour accélérer des décisions qui touchent des personnes, sans encadrement clair de votre part, la question de la responsabilité de l'entreprise reste entière. C'est le sujet du billet sur la gestion des outils IA utilisés par vos employés.
Par où commencer
Si vous avez un agent en production ou un projet en cours, posez ces trois questions à votre équipe technique.
Quelles décisions cet agent prend-il seul, sans intervention humaine ? Pour chacune, y a-t-il une notification au moment de la décision et un mécanisme de révision sur demande ? Comment récupère-t-on les facteurs ayant pesé sur une décision donnée si quelqu'un la conteste ?
Si vous ne pouvez pas répondre à ces trois questions, c'est là que vous commencez, avant tout autre développement.
Si vous voulez regarder ça ensemble, la première conversation est gratuite. 30 minutes pour examiner vos cas concrets, identifier ce qui déclenche l'article 12.1, et voir comment concevoir vos agents pour être à la fois efficaces et conformes.
→ Première conversation, sans engagement
Ce texte est une vulgarisation pour aider à poser les bonnes questions, pas un avis juridique. Les textes de loi sur LégisQuébec et les publications de la Commission d'accès à l'information (CAI) sont les références qui priment.
Écrit par