Agents IA

Agents IA et Loi 25 : ce qu'une PME québécoise doit savoir avant de déployer

7 mai 2026
Xavier PeichPar Xavier Peich

La Loi 25 n'interdit pas les agents IA. Elle impose quatre obligations précises. Voici lesquelles, et comment déployer sans vous exposer à une sanction.

Agents IA et Loi 25 : ce qu'une PME québécoise doit savoir avant de déployer

Le 1er mai 2026, La Presse titrait que votre recours à l'IA au bureau pourrait être illégal. Le genre de manchette qui fait remonter le sujet à la réunion du lundi matin, souvent avec la mauvaise conclusion : « on met l'IA sur pause le temps de comprendre ».

C'est exactement la mauvaise réaction. La Loi 25 n'interdit pas les agents IA. Elle encadre une chose précise : ce que votre logiciel a le droit de faire avec les renseignements personnels de vos clients et de vos employés. Un agent bien conçu coche les cases. Un agent improvisé, ou pire, vos employés qui collent des données clients dans ChatGPT le midi, c'est là que le risque se niche.

Voici ce que la loi exige réellement, sans le jargon d'avocat, et comment une PME québécoise déploie un agent sur mesure sans s'attirer d'ennuis. Si le terme « agent IA » est encore flou, on le définit dans Qu'est-ce qu'un agent IA et pourquoi votre PME devrait s'y intéresser.

La réponse courte, pour les pressés

Oui, un agent IA est parfaitement légal au Québec. La Loi 25 (le surnom de la loi qui a modernisé la protection des renseignements personnels dans le secteur privé) ne vise aucune technologie en particulier : elle protège les renseignements personnels, peu importe l'outil qui les traite. Elle s'applique à toute entreprise qui détient de tels renseignements, sans seuil de taille : une PME de douze personnes a les mêmes obligations qu'une banque. Pour un agent IA, quatre obligations comptent vraiment : informer les gens quand une décision est entièrement automatisée (l'article 12.1), évaluer les risques avant de déployer un système qui touche des renseignements personnels (l'ÉFVP), encadrer tout transfert de données hors du Québec, et obtenir un consentement clair. Le risque juridique ne vient pas de l'agent lui-même. Il vient de la façon dont il manipule, conserve et déplace l'information. C'est une question de conception, pas d'interdiction.

La Loi 25 en 30 secondes (et pourquoi ça vous concerne)

La Loi 25 est entrée en vigueur par étapes entre 2022 et 2024. L'essentiel des obligations qui touchent l'IA est en vigueur depuis le 22 septembre 2023. Ce n'est donc pas une loi à venir : elle est déjà active. La Commission d'accès à l'information (la CAI, l'organisme qui l'applique) peut imposer des sanctions depuis 2023, ses ressources d'inspection ont été renforcées, et les plaintes de citoyens sont en hausse.

Les montants ne sont pas symboliques. La CAI peut imposer elle-même, sans passer par un tribunal, une sanction administrative pécuniaire pouvant atteindre 10 millions de dollars, ou 2 % de votre chiffre d'affaires mondial si ce montant est plus élevé. Au pénal, devant les tribunaux, les amendes peuvent atteindre 25 millions, ou 4 % du chiffre d'affaires mondial si ce montant est plus élevé, et viser personnellement les dirigeants.

Pour une PME, le risque réaliste n'est pas l'amende de 25 millions. C'est la plainte d'un client ou d'un ancien employé, l'enquête qui suit, et le temps et la réputation que ça gruge. La conformité, ici, est surtout une assurance contre une mauvaise journée.

Les quatre obligations qui touchent un agent IA

1. Informer quand une décision est entièrement automatisée (article 12.1)

Depuis septembre 2023, si votre entreprise prend une décision « fondée exclusivement sur un traitement automatisé » à propos de quelqu'un, vous devez l'en informer au plus tard au moment de la décision. Sur demande, vous devez aussi lui expliquer les renseignements utilisés, les principaux facteurs qui ont pesé, et lui donner l'occasion de faire réviser la décision par un membre de votre personnel.

Concrètement : un agent qui approuve ou refuse une demande de crédit, qui trie des candidatures, qui fixe une prime ou qui ferme un compte tombe directement là-dedans. Le mot clé est « exclusivement ». Un agent conçu pour escalader les cas limites à un humain change la donne, parce qu'une personne participe réellement à la décision. C'est un choix d'architecture, et c'est un de ceux qui séparent un déploiement tranquille d'un déploiement risqué.

→ Lire l'article dédié : La décision automatisée et l'article 12.1, en détail

2. Faire une ÉFVP avant de déployer

L'évaluation des facteurs relatifs à la vie privée (ÉFVP) est l'obligation la plus souvent oubliée. La loi vous demande d'évaluer les risques pour la vie privée avant tout projet d'acquisition, de développement ou de refonte d'un système d'information qui implique des renseignements personnels. Un nouvel agent IA entre exactement dans cette catégorie.

Ce n'est pas un document de 80 pages. Pour une PME, c'est un exercice structuré : quelles données l'agent touche, où elles vont, qui y a accès, et ce qui arrive si quelque chose déraille. Fait sérieusement, ça prend quelques heures, et ça vous évite de découvrir le problème une fois qu'il est devenu une plainte.

→ Lire l'article dédié : Comment faire une ÉFVP avant de déployer

3. Encadrer les données qui sortent du Québec

C'est le piège technique le plus sournois. Le seuil de la Loi 25 n'est pas « hors du Canada ». C'est « hors du Québec ». Dès qu'un renseignement personnel est communiqué à l'extérieur de la province, vous devez d'abord faire une ÉFVP et vous assurer que l'information bénéficiera d'une protection adéquate.

Or la plupart des grands modèles d'IA, ceux d'OpenAI, d'Anthropic ou de Google, roulent sur des serveurs aux États-Unis. Un agent qui envoie le dossier d'un client à un de ces modèles déclenche l'obligation. Ça ne veut pas dire que c'est interdit. Ça veut dire que ça doit être évalué, documenté, et idéalement minimisé : on n'envoie au modèle que ce qui est nécessaire, jamais le numéro d'assurance sociale au complet quand un identifiant interne suffit.

→ Lire l'article dédié : Vos données hors Québec et l'article 17, en détail

4. Obtenir un consentement clair (et gérer l'IA fantôme)

La Loi 25 exige un consentement « manifeste, libre, éclairé et donné à des fins précises », demandé séparément pour chaque finalité. Si votre agent utilise des renseignements personnels d'une nouvelle façon, les gens doivent comprendre quoi et pourquoi.

Mais le risque le plus courant en 2026 n'est même pas l'agent officiel. C'est l'IA fantôme : vos employés qui, sans mauvaise intention, collent un contrat client ou une liste de courriels dans la version gratuite de ChatGPT pour aller plus vite. À ce moment, des renseignements personnels quittent votre contrôle, sortent du Québec, et alimentent peut-être l'entraînement d'un modèle. C'est précisément le scénario que pointait La Presse. Un agent encadré, branché aux bons outils avec les bonnes limites, est souvent la meilleure réponse à ce problème : il offre aux employés une voie rapide et conforme, au lieu d'une voie rapide et risquée.

→ Lire l'article dédié : L'IA fantôme et vos employés, en détail

Chatbot grand public ou agent sur mesure : pourquoi la conformité penche d'un bord

Voici la distinction qui change tout sur le plan légal. Un outil grand public comme la version gratuite de ChatGPT est une boîte noire que vous ne contrôlez pas : vous ne décidez ni où vont les données, ni ce qui est conservé, ni ce qui servira à entraîner le prochain modèle.

Un agent sur mesure, lui, est conçu autour de vos contraintes. On choisit ce qu'il a le droit de lire, on minimise les renseignements personnels qui transitent, on garde une trace des décisions pour pouvoir les expliquer (l'article 12.1), on définit quand il escalade à un humain, et on peut documenter tout ça dans l'ÉFVP. La conformité n'est pas une couche qu'on ajoute à la fin : elle est dans la manière dont l'agent est bâti. C'est aussi ce qui sépare techniquement un agent d'un chatbot, qu'on détaille dans Quelle est la différence entre un agent IA et ChatGPT ?.

Par où commencer, concrètement

Trois gestes, dans l'ordre, avant de déployer quoi que ce soit.

D'abord, faites l'inventaire de ce que vos équipes utilisent déjà. L'IA fantôme est presque toujours présente ; mieux vaut la connaître que la découvrir dans une plainte.

Ensuite, pour chaque usage sérieux, faites une ÉFVP légère : quelles données, vers où, quels garde-fous. Ça cadre le projet et ça remplit déjà une obligation.

Enfin, sur les tâches où un agent a du sens, exigez de votre fournisseur qu'il vous explique où roulent les données, ce qui est conservé, et comment l'agent escalade les cas sensibles. S'il ne peut pas répondre clairement, c'est déjà votre réponse.

Si vous voulez en discuter pour votre cas précis, la première conversation est gratuite. 30 minutes pour regarder vos tâches, repérer celles qui se prêtent à un agent, et nommer franchement les enjeux de conformité avant d'écrire une seule ligne de code.

→ Voir si c'est pour vous

Une précision honnête pour finir : ce texte est une vulgarisation pour aider une PME à poser les bonnes questions, pas un avis juridique. Pour un cas qui touche des renseignements sensibles ou une décision lourde de conséquences, validez avec un conseiller juridique. Les sources officielles, la Commission d'accès à l'information et les textes de loi sur LégisQuébec, sont la référence qui prime.

Xavier Peich

Écrit par

Xavier Peich

Retour aux articles