Sujets en IA
    13 min de lecture

    La Loi 25 a des dents. Votre pile IA, probablement pas.

    La Loi 25 du Québec a fini son déploiement en septembre 2024. En mai 2026, la CAI applique le régime et les outils d'IA traînent les petits cabinets sur trois obligations rarement documentées.

    ParJames R. GosnellContenu educatif. Aucun avis juridique.
    IALoi 25Vie privéeConformitéPetits cabinets

    La Loi 25 a des dents. Votre pile IA, probablement pas.

    La réforme québécoise de la vie privée a fini son déploiement en septembre 2024, et la majorité des praticiens autonomes ont passé les deux ans à espérer qu'elle s'appliquait à quelqu'un d'autre. Ce n'est pas le cas. La Commission d'accès à l'information détient maintenant les pouvoirs d'application annoncés depuis le début, et les outils d'IA installés dans chaque petit cabinet en 2024 et 2025 percutent trois obligations de la Loi 25 que peu de cabinets ont documentées.

    L'état de la Loi 25 en mai 2026

    La Loi 25, anciennement le projet de loi 64, est entrée en vigueur en trois vagues. Septembre 2022 a obligé chaque entreprise québécoise à désigner un responsable des renseignements personnels et à signaler à la CAI les incidents de confidentialité. Septembre 2023 a apporté l'essentiel : règles de consentement, évaluations des facteurs relatifs à la vie privée (EFVP), régime de transfert hors Québec prévu à l'article 17, et sanctions administratives pécuniaires. Septembre 2024 a fermé la boucle avec le droit à la portabilité. Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

    Au printemps 2026, la CAI est passée du mode sensibilisation au mode application. La Commission a publié en 2025 un mémoire au ministère du Travail : déconseiller les outils d'analyse des émotions, mener des évaluations d'impact algorithmique en parallèle des EFVP, faire participer les employés, et éviter les décisions entièrement automatisées qui touchent significativement les travailleurs. Ces orientations ne sont pas contraignantes, mais la lecture de Torys est la bonne : c'est ainsi que la CAI interprétera la loi quand un dossier d'application atterrira.

    Où les outils d'IA rencontrent la Loi 25

    Les trois obligations de la Loi 25 les plus pertinentes pour l'IA ont été rédigées avant que l'IA générative ne devienne un produit qu'on pouvait acheter. Elles s'appliquent presque trop bien à un cabinet qui colle un interrogatoire dans ChatGPT.

    Article 17. Avant qu'un organisme québécois ne communique des renseignements personnels hors Québec, il doit réaliser une évaluation écrite qui soupèse sensibilité, finalité, protections et cadre juridique de la destination. Un grand modèle de langage hébergé aux États-Unis est un transfert visé par l'article 17. Chaque requête contenant un nom de client, un dépôt corporatif ou une ébauche de contrat est un transfert. Un praticien qui a soumis 400 requêtes à GPT-4 l'an dernier a effectué 400 transferts sans évaluation préalable.

    Article 12.1. Lorsqu'une décision est fondée exclusivement sur un traitement automatisé et appliquée à une personne, le cabinet doit informer celle-ci, énumérer les renseignements et facteurs utilisés, et offrir une révision humaine. La plupart des usages d'IA en cabinet demeurent consultatifs, mais la ligne bouge dès qu'un cabinet construit un outil qui filtre les clients, priorise les dossiers ou rejette des demandes de mandat.

    Article 18.3. La responsabilisation suit la chaîne d'approvisionnement. Lorsqu'un cabinet confie des renseignements personnels à un sous-traitant, il en demeure responsable et doit imposer des mesures écrites. Les versions grand public gratuites des grands modèles n'offrent pas de conditions d'entreprise, pas d'accord de traitement, et se réservent le droit d'entraîner leurs modèles sur les requêtes. Elles ne satisfont pas l'article 18.3.

    La réalité des petits cabinets

    La plupart des cabinets québécois de trois à quinze avocats n'ont pas de responsable des renseignements personnels au sens fonctionnel. Le rôle est attribué à un associé directeur qui n'a pas relu la loi depuis le Barreau. Le gabarit d'EFVP repose dans un dossier que personne n'ouvre.

    L'adoption de l'IA ressemble à ceci. Une associée senior s'abonne à ChatGPT Plus avec son courriel personnel. Une technicienne juridique en immobilier utilise Claude.ai pour résumer un acte de vente. Un avocat junior colle un interrogatoire caviardé pour le faire reformuler et oublie de caviarder deux pages. Chaque opération est un transfert au sens de l'article 17. Aucune n'est documentée. Aucune n'a de contrat sous l'article 18.3. La politique de confidentialité du cabinet, mise à jour en 2019, ne dit rien sur le traitement automatisé. Un plaignant déterminé pourrait amener le cabinet devant la CAI avec très peu d'effort.

    SupaCorp et la conformité par conception

    SupaCorp est un produit de gestion d'entités que je développe pour les praticiens autonomes et les petits cabinets canadiens : constitutions, déclarations annuelles, livres de procès-verbaux, registres et dépôts au fédéral, en Ontario, en Colombie-Britannique, en Alberta et au Québec. Le produit est en développement actif à supacorp.ca, et la Loi 25 reposait sur le bureau durant la phase d'architecture plutôt que d'être ajoutée après un audit.

    Le premier choix est l'isolation multi-locataire appliquée à la couche de la base de données. Chaque table est dotée de politiques de sécurité au niveau des lignes de Postgres. Le cabinet A ne peut lire les lignes du cabinet B, même si la couche applicative contient un bogue, même si une requête est mal acheminée, même si un développeur oublie un filtre. Cela permet de répondre honnêtement à la question de la CAI sur qui peut accéder aux renseignements des clients : personne en dehors du locataire, par règle de base de données. La responsabilisation de l'article 18.3 obtient une réponse technique plutôt qu'une politique aspirationnelle.

    Le deuxième choix est l'hébergement canadien et l'usage sélectif de l'IA. Les dossiers corporatifs sensibles, dont les données de propriété effective pour les registres fédéraux et provinciaux, résident par défaut au Canada. Lorsque des fonctions d'IA sont intégrées, le cabinet voit quelles données ont circulé, vers quel sous-traitant, sous quel accord, avec une évaluation de transfert au sens de l'article 17 générée comme sous-produit.

    Le troisième choix est la minimisation des données au niveau du schéma. SupaCorp ne recueille que les champs requis par un dépôt. L'adresse d'un administrateur est captée pour une déclaration fédérale parce que la loi l'exige; elle ne l'est pas pour un dépôt ontarien. Les renseignements sont segmentés par finalité, ce qui s'aligne sur la spécificité du consentement et transforme une demande d'accès ou de rectification en simple requête.

    Ce qu'il faut surveiller

    La première décision de la CAI appliquant la Loi 25 à un petit cabinet utilisant de l'IA sera le document que tout le monde voudra lire. La Commission a été claire sur ses attentes; elle n'a pas encore publié de sanction administrative pécuniaire finale qui les transforme en précédent. Surveillez cette décision dans les douze à dix-huit prochains mois. Elle impliquera probablement un plaignant dont les renseignements ont atterri dans une relation fournisseur que le cabinet n'a pas su documenter.

    Surveillez l'évaluation d'impact algorithmique qui migre du statut de recommandation vers celui de pratique attendue. Surveillez les conditions des fournisseurs : les outils d'IA qui survivront au marché professionnel québécois seront ceux qui offrent un hébergement canadien, de véritables accords de traitement et la capacité de désactiver l'entraînement sur les données client. Les autres disparaîtront des processus d'approvisionnement.