Loi 25 et automatisation IA : comment rester conforme tout en automatisant votre PME
Loi 25 et automatisation IA : comment rester conforme tout en automatisant votre PME
En avril 2026, toutes les dispositions de la Loi 25 sont pleinement en vigueur au Québec. Les pénalités atteignent 4% du chiffre d'affaires mondial ou 25 millions de dollars. Et si votre PME utilise l'IA pour prendre des décisions automatisées — qualification de leads, scoring de clients, chatbots, agents vocaux — vous avez des obligations supplémentaires que la plupart des entreprises ignorent.
Ce guide explique concrètement ce que la Loi 25 exige quand vous automatisez avec l'IA, et comment le faire correctement.
Ce que la Loi 25 exige pour les décisions automatisées
Depuis septembre 2023, toute organisation qui utilise un système automatisé pour prendre une décision concernant une personne doit :
- Informer la personne qu'une décision sera prise par un système automatisé
- Expliquer le fonctionnement du système (la logique impliquée, pas le code source)
- Obtenir un consentement explicite pour le traitement des renseignements personnels
- Permettre la contestation — la personne doit pouvoir demander une révision humaine
- Réaliser une EFVP (Évaluation des facteurs relatifs à la vie privée) avant le déploiement
Où ça s'applique dans une PME qui automatise
Si votre entreprise utilise un des outils suivants, vous êtes probablement concerné :
| Outil / Processus | Concerné par Loi 25? | Pourquoi |
|---|---|---|
| Agent vocal IA (qualification leads) | Oui | Décision automatisée sur un individu |
| Chatbot avec collecte d'infos | Oui | Traitement de renseignements personnels |
| Scoring de leads dans le CRM | Oui | Décision automatisée qui affecte le suivi |
| Automatisation d'emails (sans IA) | Partiellement | Si personnalisation basée sur le profil |
| Workflow de facturation | Non | Pas de décision sur une personne |
| Rapprochement bancaire automatisé | Non | Données d'entreprise, pas personnelles |
Les 3 erreurs les plus courantes
Erreur 1 : Croire que la Loi 25 ne s'applique pas aux PME
La Loi 25 s'applique à toute entreprise qui collecte des renseignements personnels au Québec, peu importe sa taille. Un travailleur autonome avec un formulaire de contact est concerné. Une PME de 5 employés avec un CRM est concernée.
Erreur 2 : Utiliser un agent vocal IA sans avertissement
Si votre agent vocal IA qualifie des leads ou prend des rendez-vous, vous devez informer l'appelant qu'il parle à un système automatisé dès le début de l'appel. Les agents vocaux déployés par SAI intègrent cette notification nativement : « Bonjour, vous êtes en communication avec notre assistant IA. Puis-je vous aider? »
Erreur 3 : Stocker les données chez un fournisseur américain
Zapier, beaucoup de CRMs cloud et certaines APIs d'IA hébergent vos données aux États-Unis. En cas de transfert transfrontalier de renseignements personnels, la Loi 25 exige une EFVP et un niveau de protection « équivalent ». Avec l'incertitude réglementaire américaine en 2026, c'est un risque croissant.
Solution : n8n auto-hébergé au Canada + modèles IA déployés localement.
Comment automatiser en restant conforme : checklist pratique
Avant le déploiement
- Réaliser une EFVP (Évaluation des facteurs relatifs à la vie privée)
- Documenter la logique de décision du système automatisé
- Préparer un avis de confidentialité mis à jour mentionnant l'utilisation de l'IA
- Vérifier où sont hébergées les données (Canada vs étranger)
- Désigner un responsable de la protection des renseignements personnels
Dans le système automatisé
- Informer l'utilisateur AVANT toute décision automatisée
- Obtenir le consentement explicite pour le traitement
- Prévoir un mécanisme de contestation (révision humaine)
- Journaliser les décisions automatisées (audit trail)
- Minimiser les données collectées (principe de nécessité)
En continu
- Auditer le système tous les 6 mois
- Mettre à jour l'EFVP si le système change
- Former les employés sur les obligations
- Monitorer les changements réglementaires (CAI)
L'avantage de l'automatisation pour la conformité
Paradoxalement, l'automatisation est votre meilleur allié pour la conformité Loi 25 :
- Consentement automatisé : un workflow n8n peut enregistrer et horodater chaque consentement obtenu, avec le texte exact présenté à l'utilisateur
- Droit d'accès : quand un client demande ses données, un workflow peut extraire automatiquement tout ce qui le concerne de vos systèmes en quelques secondes
- Droit à l'effacement : la suppression automatisée garantit qu'aucune copie n'est oubliée dans un fichier Excel caché
- Audit trail : chaque action du système est journalisée automatiquement, prête pour une inspection de la CAI
Ce que SAI fait différemment
Chez SAI, la conformité Loi 25 est intégrée dès la conception de chaque solution :
- n8n auto-hébergé au Canada pour les données sensibles — zéro transfert transfrontalier
- Notification IA native dans tous nos agents vocaux — l'appelant sait qu'il parle à une IA
- Consentement granulaire via notre bannière de témoins (déjà conforme Loi 25)
- EFVP simplifiée — on fournit un gabarit d'évaluation adapté à chaque projet
Les pénalités de 4% du chiffre d'affaires ne sont pas théoriques — la CAI a déjà commencé à sévir. Automatiser intelligemment, c'est automatiser en conformité.
Ressources utiles
- Commission d'accès à l'information du Québec (CAI) — régulateur principal
- Loi 25 — texte complet sur CanLII
- Guide Augure AI — Loi 25 et IA — guide spécifique IA
Le diagnostic gratuit de SAI inclut une évaluation de la conformité Loi 25 de vos processus automatisés existants ou planifiés.