La Loi 25 du Québec – et comment je compose avec
La plupart des outils d'IA infonuagique envoient vos données vers un serveur aux États-Unis. Pour beaucoup d'entreprises québécoises, c'est un problème qu'elles ne savent pas encore qu'elles ont. Voici comment je compose avec.
La version courte, en langage clair
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec – universellement connue comme la Loi 25 – est l'équivalent provincial du RGPD européen. Elle est entrée en vigueur en trois vagues entre 2022 et 2024. Si vous exploitez une entreprise au Québec et que vous manipulez des renseignements personnels au sujet de vos clients, employés ou candidats, elle s'applique à vous.
Ce qui compte pour l'IA, c'est ceci : les renseignements personnels qui traversent la frontière québécoise vers un service infonuagique tiers tombent sous les règles de transfert transfrontalier. La plupart des outils d'IA populaires – ChatGPT, Claude web, Gemini, Copilot – roulent dans des centres de données hors du Québec. Au moment où vous collez un CV, un courriel client ou une transcription d'entrevue dans l'un d'eux, vous venez de faire un transfert transfrontalier de renseignements personnels. Votre entreprise en est responsable. Pas l'outil.
Beaucoup d'entreprises québécoises le font en ce moment sans s'en rendre compte. Quand elles s'en rendent compte, la réaction habituelle est de bannir l'IA au complet. Ce n'est pas la bonne réponse non plus.
La bonne réponse, c'est presque toujours « traiter la partie sensible localement d'abord »
Le truc pour utiliser l'IA sur du travail assujetti à la Loi 25, ce n'est pas d'éviter l'infonuagique – c'est de s'assurer que les données qui s'y rendent ont déjà été caviardées de tout ce qui est identifiant. Noms, numéros de téléphone, adresses, identité de l'employeur, numéros de clients, tout ce qui permet à un humain ou à une assignation de retracer le contenu jusqu'à une personne précise. Caviardez cette partie sur votre propre machine, ou sur un serveur que vous contrôlez au Québec, et c'est seulement ensuite que vous envoyez la version nettoyée à l'IA.
C'est le même patron que toute opération technologique soucieuse de la vie privée utilise. C'est comme ça que je bâtis tous les outils qui touchent à des données privées. C'est plate, ça fonctionne, et ça vous donne la vitesse de l'IA infonuagique sans le mal de tête de conformité.
Les deux outils que j'ai bâtis sur ce patron
Anonymiseur de CV
Les agences de recrutement reçoivent des CV de candidats tous les jours. Elles veulent utiliser l'IA pour rédiger le résumé que le gestionnaire d'embauche va réellement lire, mais elles ne peuvent pas envoyer de CV bruts vers l'infonuagique. L'outil que j'ai bâti est hébergé sur un serveur montréalais, caviarde les noms, les coordonnées et l'identité de l'employeur du CV entrant, et c'est seulement ensuite qu'il transmet les compétences et l'expérience nettoyées à l'IA infonuagique. Le CV brut ne quitte jamais le Québec.
Je l'ai bâti pour le plaisir au départ. C'est maintenant la preuve de concept d'une méthode d'anonymisation de ma propre construction que j'utilise sur tous les projets qui touchent à des données privées.
Anonymiseur de transcriptions d'entrevues
Les chercheurs universitaires et les firmes de conseil mènent des entrevues sous un formulaire de consentement qui dit que les transcriptions seront anonymisées avant d'être partagées, analysées ou données à une IA. Faire ça à la main dans un lot de quinze entrevues représente des heures de travail ennuyant – et c'est fragile. Ratez une mention et l'anonymisation au complet tombe.
L'outil que j'ai bâti roule comme une application Windows de bureau. Vous déposez un dossier, et vous récupérez les transcriptions caviardées en secondes, avec chaque personne remplacée de manière fiable par un pseudonyme cohérent dans tout le lot. Rien ne quitte jamais votre portable.
Comment ça se traduit dans les mandats de consultation
Quand vous m'engagez pour un court projet qui touche à des renseignements personnels, voici ce que vous obtenez par défaut :
- Traitement sur un serveur que je contrôle au Québec chaque fois que la tâche implique des renseignements personnels bruts
- IA infonuagique seulement après que les données ont été caviardées de tout ce qui est identifiant
- Une explication claire de ce qui se déplace où, en langage simple, pour que la personne responsable de la vie privée de votre côté puisse approuver
- Pas de name-dropping de fournisseurs pour faire du théâtre de conformité – je ne prétendrai pas qu'une case à cocher répond au vrai risque
Ce n'est pas un « service de conformité Loi 25 » séparé. C'est ma façon de travailler par défaut.
Ce que je ne fais pas
- Je n'écris pas d'évaluations des facteurs relatifs à la vie privée (ÉFVP). Je ne suis pas avocat. Si vous avez besoin d'une évaluation formelle, il vous faut un avocat en protection des renseignements personnels et je peux vous en pointer un.
- Je ne certifie pas vos outils comme « conformes à la Loi 25 ». Personne ne peut ; il n'y a pas d'organisme de certification. Ce que je peux faire, c'est bâtir des outils qui traitent les données personnelles correctement par conception.
Pour aller plus loin
Si vous voulez approfondir la loi elle-même, la Commission d'accès à l'information du Québec publie de bons guides en langage clair. Si vous voulez parler de comment tout ça s'applique à une tâche précise que vous essayez de faire, un message suffit.