Agents IA

Faut-il une ÉFVP avant de déployer un agent IA ? (et comment la faire)

14 mai 2026
Xavier PeichPar Xavier Peich

Oui, la Loi 25 exige une ÉFVP avant tout agent IA. Pour une PME, c'est quelques heures de travail structuré. La CAI publie même un guide gratuit. Voici comment faire.

Faut-il une ÉFVP avant de déployer un agent IA ? (et comment la faire)

Quand on parle des obligations de la Loi 25 face aux agents IA, l'ÉFVP est presque toujours la première chose que les dirigeants mettent de côté. Soit parce qu'ils n'ont jamais entendu le terme, soit parce qu'ils imaginent un rapport de 150 pages rédigé par un cabinet d'avocats.

L'évaluation des facteurs relatifs à la vie privée (ÉFVP) est obligatoire, elle est déclenchée par votre projet d'agent IA, et pour une PME, elle ressemble davantage à une réunion structurée de quelques heures qu'à un chantier juridique. On explique les quatre obligations complètes dans l'article de départ : Agents IA et Loi 25 : ce qu'une PME québécoise doit savoir avant de déployer. Cet article-ci se concentre sur une seule : l'ÉFVP, de A à Z.

La réponse directe, pour les pressés

Oui, une ÉFVP est obligatoire avant de déployer un agent IA dans une PME québécoise. La Loi 25 l'exige avant tout projet d'acquisition, de développement ou de refonte d'un système d'information qui touche des renseignements personnels, et les projets utilisant l'intelligence artificielle y sont explicitement visés. Si l'agent envoie des données à un modèle hébergé aux États-Unis, une seconde obligation d'ÉFVP s'ajoute pour couvrir ce transfert hors du Québec. Pour une PME, l'ÉFVP n'est pas un document de 80 pages. C'est un exercice structuré qui demande de répondre honnêtement à quatre questions : quelles données le système touche, où elles vont, qui y a accès, et ce qui arrive si quelque chose déraille. La Commission d'accès à l'information (la CAI) publie un guide gratuit et un modèle de rapport pour aider les organisations à le faire. Réalisée sérieusement, l'ÉFVP prend quelques heures. Et elle vous oblige à regarder les risques en face avant qu'une plainte ne le fasse à votre place.

Ce que dit la loi, sans le jargon

La Loi 25 est en vigueur depuis le 22 septembre 2023 pour les obligations qui concernent les agents IA. Elle s'applique à toute entreprise qui détient des renseignements personnels au Québec, sans seuil de taille. Une PME de quinze employés a les mêmes obligations qu'un groupe de 500 personnes.

Deux situations déclenchent spécifiquement une ÉFVP.

La première : vous démarrez un projet de système d'information qui implique des renseignements personnels. Un nouvel agent IA tombe directement dans cette catégorie. Le texte vise explicitement les projets qui utilisent l'intelligence artificielle, le profilage ou la surveillance.

La seconde : vous communiquez des renseignements personnels à l'extérieur du Québec. C'est le cas dès que votre agent envoie des données à un modèle hébergé sur des serveurs américains, comme c'est le cas pour les grands modèles d'OpenAI, d'Anthropic ou de Google. La loi ne l'interdit pas. Elle le conditionne à une ÉFVP et à une protection adéquate de l'information. On couvre ce deuxième cas en détail dans l'article dédié aux transferts de données hors Québec et agents IA.

Il y a aussi un cas adjacent à garder en tête. Si votre agent prend des décisions de façon exclusivement automatisée, l'article 12.1 de la loi impose d'autres obligations : informer la personne concernée, lui donner accès aux facteurs ayant pesé sur la décision, lui permettre de la faire réviser par un humain. L'ÉFVP est le bon moment pour identifier si votre agent tombe dans ce cas. C'est expliqué en profondeur dans l'article sur les décisions automatisées et la Loi 25.

Pourquoi ce n'est pas de la bureaucratie

La résistance habituelle face à l'ÉFVP vient d'une mauvaise image de la chose. On pense audit légal, consultant externe à 250 $/heure, rapport de soixante pages qui finit dans un tiroir avant même d'être imprimé. Pour une grande organisation avec un département juridique, ça peut ressembler à ça. Pour une PME, la loi elle-même dit que l'ÉFVP doit être proportionnée à la sensibilité des renseignements en cause et au niveau de risque.

Autrement dit : si votre agent gère les courriels internes ou les soumissions de clients, l'exercice est simple. Si votre agent touche à des renseignements de santé ou à des données financières sensibles, le niveau de rigueur monte. La loi ne demande pas le même effort à tout le monde.

La CAI a aussi publié deux ressources concrètes pour aider les organisations à s'y retrouver : un guide d'accompagnement pour réaliser une ÉFVP, et un modèle de rapport générique et non obligatoire que vous adaptez à votre contexte. Ces ressources sont gratuites, elles sont sur le site de la CAI, et elles sont rédigées pour des organisations de toute taille.

Les quatre questions au cœur de l'exercice

En pratique, une ÉFVP pour un agent IA revient à répondre à quatre blocs de questions, dans l'ordre.

Quelles données l'agent touche-t-il ? Listez les catégories de renseignements personnels que l'agent lira, traitera ou produira. Noms, adresses, courriels, numéros de clients, données de comportement, communications internes : soyez exhaustif. C'est ici qu'on identifie aussi si des données sensibles entrent dans le périmètre (données de santé, informations financières, renseignements sur des mineurs).

Où vont ces données ? Tracez le trajet complet. L'agent lit dans quel système, écrit dans lequel, envoie quoi à quel service externe ? Si un modèle d'IA externe est impliqué, c'est ici qu'on documente quel fournisseur, quel pays, quelles conditions contractuelles. C'est aussi ici que l'obligation de transfert hors Québec se matérialise ou non.

Qui y a accès ? Identifiez les personnes, les systèmes et les tiers qui peuvent consulter ou modifier les données traitées par l'agent. Un sous-traitant en développement logiciel, un service d'hébergement infonuagique (autrement dit, le stockage de données sur des serveurs distants plutôt que locaux), un fournisseur d'API (interface de programmation, le moyen technique par lequel deux logiciels communiquent) : tous ces accès doivent être documentés.

Que se passe-t-il si quelque chose déraille ? Évaluez les risques résiduels. Qu'est-ce qu'une fuite de données causerait aux personnes concernées ? Qui serait touché, dans quelle mesure ? Quels mécanismes de détection et de notification sont en place ? C'est ici que vous estimez le niveau de risque, et que vous décidez des mesures pour le réduire : chiffrement, anonymisation, minimisation des données transmises au modèle, contrôles d'accès.

Ce que l'ÉFVP change concrètement dans la conception de l'agent

Beaucoup de PME voient l'ÉFVP comme une formalité à cocher après le déploiement. C'est l'inverse de la bonne approche, et c'est aussi le contraire de ce que la loi demande : l'exercice doit être fait avant le projet, pas après.

Quand on fait l'ÉFVP en amont, elle influence directement des décisions techniques. On n'envoie au modèle externe que les données strictement nécessaires, jamais un dossier complet quand un identifiant interne suffit. On choisit un fournisseur qui offre des garanties contractuelles sur la non-utilisation des données pour entraîner ses modèles. On documente quand et comment l'agent escalade une décision à un humain, parce qu'on a identifié pendant l'ÉFVP que certains cas tombent sous l'article 12.1.

Un agent qui minimise les données qu'il manipule est aussi un agent plus rapide, moins coûteux à faire tourner, et plus simple à maintenir. La conformité et la bonne conception ont les mêmes exigences.

Le coût réel de ne pas la faire

La CAI peut imposer des sanctions administratives pécuniaires, sans passer par un tribunal, pouvant atteindre le plus élevé de 10 millions de dollars ou 2 % de votre chiffre d'affaires mondial. Au pénal, devant les tribunaux, les amendes montent jusqu'au plus élevé de 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Pour une PME, le risque réaliste n'est pas l'amende à huit chiffres. C'est la plainte d'un client ou d'un employé, l'enquête de la CAI qui suit, le temps de gestion et la réputation que ça gruge. L'ÉFVP est une assurance contre ce scénario. Elle est aussi l'une des obligations de la loi : ne pas la faire est une non-conformité en soi, indépendamment de ce que l'agent fait avec les données.

Par où commencer

Bloquez deux à trois heures avec la personne responsable de la protection des renseignements personnels dans votre organisation (si vous n'avez pas ce rôle formellement, désignez quelqu'un, c'est aussi une obligation de la Loi 25). Téléchargez le guide d'accompagnement de la CAI. Répondez aux quatre blocs de questions pour votre projet d'agent. Documentez les mesures de mitigation que vous prenez.

Si votre projet implique un transfert hors Québec ou des décisions automatisées, intégrez ces volets à l'exercice plutôt que de les traiter séparément.

Et si vous voulez qu'on regarde ça ensemble avant d'écrire une ligne de code, la première conversation est gratuite. 30 minutes pour passer en revue le cas d'usage, identifier les données en jeu, et nommer honnêtement les enjeux de conformité.

→ Première conversation gratuite, 30 minutes

Ce texte est une vulgarisation pour aider les PME québécoises à poser les bonnes questions. Ce n'est pas un avis juridique. Pour tout projet impliquant des renseignements sensibles ou des décisions à conséquences importantes, consultez un conseiller juridique. La Commission d'accès à l'information et les textes de loi disponibles sur LégisQuébec sont les références qui prévalent.

Xavier Peich

Écrit par

Xavier Peich

Retour aux articles