La Loi 25 du Québec – et comment je compose avec
La plupart des outils d'IA infonuagique envoient vos données vers un serveur aux États-Unis. Pour beaucoup d'entreprises québécoises, c'est un problème qu'elles ne savent pas encore qu'elles ont. Voici comment je compose avec.
La version courte, en langage clair
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec – universellement connue comme la Loi 25 – est l'équivalent provincial du RGPD européen. Elle est entrée en vigueur en trois vagues entre 2022 et 2024. Si vous exploitez une entreprise au Québec et que vous manipulez des renseignements personnels au sujet de vos clients, employés ou candidats, elle s'applique à vous.
Ce qui compte pour l'IA, c'est ceci : les renseignements personnels qui traversent la frontière québécoise vers un service infonuagique tiers tombent sous les règles de transfert transfrontalier. La plupart des outils d'IA populaires – ChatGPT, Claude web, Gemini, Copilot – roulent dans des centres de données hors du Québec. Au moment où vous collez un CV, un courriel client ou une transcription d'entrevue dans l'un d'eux, vous venez de faire un transfert transfrontalier de renseignements personnels. Votre entreprise en est responsable. Pas l'outil.
Beaucoup d'entreprises québécoises le font en ce moment sans s'en rendre compte. Quand elles s'en rendent compte, la réaction habituelle est de bannir l'IA au complet. Ce n'est pas la bonne réponse non plus.
La bonne réponse, c'est presque toujours « traiter la partie sensible localement d'abord »
Le truc pour utiliser l'IA sur du travail assujetti à la Loi 25, ce n'est pas d'éviter l'infonuagique – c'est de s'assurer que les données qui s'y rendent ont déjà été caviardées de tout ce qui est identifiant. Noms, numéros de téléphone, adresses, identité de l'employeur, numéros de clients, tout ce qui permet à un humain ou à une assignation de retracer le contenu jusqu'à une personne précise. Caviardez cette partie sur votre propre machine, ou sur un serveur que vous contrôlez au Québec, et c'est seulement ensuite que vous envoyez la version nettoyée à l'IA.
C'est le même patron que toute opération technologique soucieuse de la vie privée utilise. C'est comme ça que je bâtis tous les outils qui touchent à des données privées. C'est plate, ça fonctionne, et ça vous donne la vitesse de l'IA infonuagique sans le mal de tête de conformité.
Où ce patron se retrouve dans de vrais outils
J'ai utilisé le même patron pour bâtir l'Anonymiseur de CV (agences de recrutement – le CV brut s'arrête sur un serveur montréalais, seules les compétences et l'expérience nettoyées atteignent l'IA infonuagique) et l'Anonymiseur de transcriptions d'entrevues (chercheurs universitaires et firmes de conseil – rien ne quitte le portable). Documents différents, même principe. Les pages dédiées vont en profondeur.
Ce que cette page est, et n'est pas
C'est une explication, pas un service de conformité. Je ne suis pas avocat. Si vous avez besoin d'une évaluation des facteurs relatifs à la vie privée formelle, il vous faut un avocat en protection des renseignements personnels – je peux vous en pointer un. Personne ne peut non plus certifier un outil « conforme à la Loi 25 » ; il n'y a pas d'organisme de certification. Ce que je peux faire, c'est bâtir des outils qui traitent les données personnelles correctement par conception.
Pour aller plus loin
La Commission d'accès à l'information du Québec publie de bons guides en langage clair sur la loi elle-même. Si vous voulez parler de comment tout ça s'applique à une tâche précise que vous essayez de faire, un message suffit.