IA & Automatisation

IA et Loi 25 au Québec : ce que votre PME doit savoir

4 mai 2026 10 min de lecture Par Khadija AitLassri

La Loi 25 — officiellement la Loi 64 modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. Son impact sur l'utilisation de l'intelligence artificielle dans les PME québécoises est souvent mal compris, voire complètement ignoré.

Chatbot, email marketing automatisé, CRM, analyse de comportements, ChatGPT : chacun de ces outils IA touche à des données personnelles. Et chaque utilisation mal encadrée expose votre entreprise à des risques concrets. Ce guide vous explique exactement ce que la Loi 25 encadre et ce que vous devez faire pour utiliser l'IA en toute conformité.

64 %
des PME québécoises déclarent ne pas être entièrement conformes à la Loi 25 sur la protection des renseignements personnels
Source : Commission d'accès à l'information du Québec (CAI) — Rapport annuel 2024

Ce que la Loi 25 encadre concrètement

La Loi 25 impose des obligations précises à toute entreprise qui collecte, utilise, communique, conserve ou détruit des renseignements personnels de résidents québécois. Voici les quatre piliers à comprendre :

  • La collecte de données personnelles — noms, adresses email, numéros de téléphone, comportements de navigation, adresses IP : tout ce qui permet d'identifier une personne physique est considéré comme un renseignement personnel.
  • Le consentement explicite — avant toute collecte, l'individu doit être informé de la finalité et donner son accord. Le consentement implicite ou les cases pré-cochées ne sont plus acceptés.
  • Le droit à l'effacement — toute personne peut demander que ses données soient supprimées de vos systèmes. Vous avez l'obligation de donner suite à cette demande dans un délai raisonnable.
  • Le Responsable de la protection des renseignements personnels (RPR) — chaque entreprise doit nommer un RPR, publier ses coordonnées sur son site web, et s'assurer que cette personne est formée pour répondre aux incidents et aux demandes.

IA et Loi 25 — Les zones de risque à connaître

Certaines utilisations de l'IA sont particulièrement exposées. Voici un tableau des situations les plus fréquentes dans les PME et les actions requises :

Utilisation IARisque Loi 25Action requise
Chatbot qui collecte nom/emailÉlevéPolitique de confidentialité à jour + consentement explicite avant collecte
Email marketing automatiséMoyenConsentement opt-in documenté + désinscription facile à chaque envoi
Analyse des comportements sur le site webMoyenMise à jour de la politique de cookies + bandeau de consentement conforme
CRM avec données clientsÉlevéRegistre des traitements + accès restreint selon le rôle des employés
IA générative (ChatGPT) avec données clientsÉlevéNe jamais entrer de données personnelles dans la version grand public

Une présence numérique conforme, c'est aussi une meilleure visibilité

Politique de confidentialité, cookies, formulaires conformes — une stratégie digitale bien construite respecte vos obligations légales et vos clients.

Voir notre service Marketing digital →

3 réflexes à adopter immédiatement

Si votre PME utilise des outils IA et que vous n'avez pas encore formalisé votre conformité à la Loi 25, ces trois actions sont les plus urgentes :

  1. Ne jamais copier-coller des données clients dans ChatGPT ou des outils IA publics : Noms, emails, numéros de téléphone, informations de paiement — aucune donnée permettant d'identifier un client ne doit transiter par un outil IA grand public. Ces données sont susceptibles d'être utilisées pour entraîner les modèles ou d'être accessibles à des tiers.
  2. Vérifier que vos outils IA hébergent les données de manière conforme : Privilégier les outils qui hébergent les données au Canada ou qui disposent d'accords de confidentialité (DPA) conformes à la Loi 25. Demander à chaque fournisseur où ses données sont hébergées et comment elles sont protégées.
  3. Tenir un registre des traitements de données personnelles : Documenter quelles données vous collectez, à quelle fin, pendant combien de temps vous les conservez, et qui y a accès. Ce registre est à la fois une obligation légale et un outil de gestion interne qui facilite la réponse aux demandes d'accès ou d'effacement.

FAQ — IA et Loi 25 pour les PME québécoises

Oui, toute entreprise qui collecte des données de résidents québécois est concernée par la Loi 25, quelle que soit sa taille. Il n'y a pas d'exemption pour les PME ou les travailleurs autonomes. Les obligations varient en intensité selon la taille de l'entreprise, mais les principes fondamentaux s'appliquent à tous.

Des amendes administratives pouvant aller jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour une première infraction, et jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour une infraction subséquente. Des sanctions pénales existent également pour les cas les plus graves.

OpenAI héberge ses données aux États-Unis. La version grand public (gratuite ou Plus) n'est pas recommandée pour traiter des données personnelles de clients québécois. Des versions Enterprise avec accords de traitement de données (DPA) et options de confidentialité renforcée existent — renseignez-vous auprès d'OpenAI pour votre cas spécifique.

Nommer un Responsable de la protection des renseignements personnels (RPR) et publier ses coordonnées sur votre site, faire un inventaire de toutes les données personnelles que vous collectez, et mettre à jour votre politique de confidentialité pour qu'elle reflète vos pratiques réelles. Ces trois actions couvrent les obligations les plus fondamentales.

Votre présence numérique est-elle conforme ?

Un audit de votre site et de vos outils digitaux permet d'identifier les zones de non-conformité avant qu'elles ne deviennent un problème. On vous accompagne, sans jargon juridique.

Je veux mon audit gratuit →