La Loi 25 exige que toute donnée personnelle transmise à un outil d’IA générative soit traitée avec la même rigueur qu’un transfert à un sous-traitant externe, incluant la vérification des garanties du fournisseur si l’hébergement se fait hors Québec. Un compte gratuit grand public n’offre aucune garantie contractuelle et présente un risque réel, tandis qu’une offre entreprise avec engagement de non-réutilisation des données répond mieux aux exigences de la loi. Avant de déployer un tel outil, l’entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée, informer les personnes concernées et mettre en place des mesures de sécurité proportionnées. En résumé : la Loi 25 n’interdit pas l’usage de ChatGPT ou Claude, mais elle rend obligatoire un encadrement précis avant d’y confier des données clients.
Quotidiennement, des employés copient un courriel-client, une liste de contacts ou des notes de rencontre dans ChatGPT pour gagner du temps. Pratique et rapide, ces gestes sont pourtant chargés d’implications légales que la plupart des entreprises ignorent complètement. Voici ce qu’il faut comprendre avant que ce réflexe devienne un problème de conformité.
Que se passe-t-il vraiment quand vous collez une donnée client dans un outil d’IA?
Selon les orientations de la Commission d’accès à l’information (CAI), transmettre un document ou un texte contenant des renseignements personnels à un outil d’IA conversationnel équivaut à une communication de renseignements personnels au sens de la Loi 25. Autrement dit : envoyer les coordonnées d’un client dans ChatGPT n’est pas différent, légalement, que de les transmettre à un sous-traitant externe.
Ça change la façon dont on doit voir ces outils. Ce ne sont pas de simples logiciels de productivité. Aux yeux de la loi, ce sont des destinataires de données personnelles, au même titre qu’une agence comptable ou une plateforme d’infolettre à qui vous confieriez une liste de clients.
Concrètement, ça veut dire que la même rigueur qui s’applique à un contrat avec un sous-traitant (encadrement, finalité précise, sécurité) s’applique aussi, en théorie, à un simple copier-coller dans une fenêtre de clavardage. C’est cette équivalence qui surprend le plus les dirigeants de PME.
Pourquoi l’endroit où votre outil d’IA héberge les données change-t-il tout?
La Loi 25 encadre strictement le transfert de renseignements personnels hors Québec : une telle communication n’est permise que si la juridiction réceptrice offre une protection équivalente à celle prévue par la loi québécoise.
Ça ne signifie pas qu’il est interdit d’utiliser un outil américain. Ça signifie qu’avant de l’adopter, l’entreprise doit vérifier les garanties offertes par le fournisseur : où les données sont-elles traitées, sont-elles utilisées pour l’entraînement, existe-t-il un contrat encadrant leur traitement, quelles sont les conditions d’accès par des tiers (y compris des autorités gouvernementales étrangères).
C’est cette vérification — pas l’outil en soi — qui fait la différence entre une utilisation conforme et une utilisation à risque. Deux entreprises peuvent utiliser exactement le même outil d’IA, avec des niveaux de conformité complètement différents, simplement parce que l’une a vérifié les garanties contractuelles et configuré le compte en conséquence, et l’autre non.
Compte gratuit ou compte entreprise : est-ce vraiment différent pour la Loi 25?
Oui, et c’est probablement l’élément le plus concret à retenir. Tous les outils d’IA ne se valent pas au regard de la Loi 25, et la différence tient rarement à la technologie elle-même. Elle tient au type de compte utilisé.
| Compte gratuit / grand public | Offre entreprise (Team, Enterprise, API) | |
|---|---|---|
| Utilisation des données pour l’entraînement | Souvent activée par défaut | Généralement exclue par contrat |
| Rétention des données | Floue, difficile à contrôler | Encadrée, parfois configurable |
| Engagement contractuel du fournisseur | Aucun | Contrat de traitement des données |
| Traçabilité et gouvernance interne | Inexistante | Possible (comptes administrés, journaux d’usage) |
| Droit de suppression sur demande | Difficile à faire valoir | Généralement prévu au contrat |
Une PME qui souhaite utiliser l’IA générative avec des données clients devrait, au minimum, migrer vers une offre entreprise offrant un engagement écrit de non-réutilisation des données à des fins d’entraînement. C’est souvent une bascule administrative simple (changer de formule d’abonnement), mais elle a un effet réel sur le niveau de risque de l’entreprise.
Un exemple concret : deux façons de traiter la même situation
Imaginons une adjointe administrative qui doit résumer dix courriels de plaintes clients pour préparer une réunion.
Scénario à risque : elle copie les courriels tels quels (noms, adresses, numéros de commande) dans son compte ChatGPT personnel gratuit, pour gagner du temps. Aucune vérification, aucune trace, aucun contrat encadrant ce traitement.
Scénario conforme : elle utilise le compte entreprise de l’organisation, retire d’abord les noms et coordonnées identifiantes (remplacés par « Client A », « Client B »), et le résumé généré ne contient plus aucun renseignement personnel identifiable.
Le résultat final est presque identique dans les deux cas. C’est la démarche qui fait toute la différence sur le plan de la conformité.
Quelles obligations légales concrètes faut-il respecter avant de déployer un outil d’IA?
Trois obligations reviennent systématiquement.
- Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) dès qu’un projet implique la collecte ou le traitement de renseignements personnels, même de façon indirecte. Une version allégée suffit souvent pour l’adoption d’un outil d’IA générative en contexte de PME.
- Informer les personnes concernées et leur demander leur consentement quant à l’utilisation qui est faite de leurs renseignements.
- Mettre en place des mesures de sécurité proportionnées. Aucune donnée sensible (santé, finances, identifiants) ne devrait transiter par un outil non validé par l’entreprise.
À cela s’ajoute une bonne pratique de gouvernance, moins souvent citée, mais très utile : documenter, même sommairement, quels outils d’IA sont autorisés dans l’entreprise, par qui, et pour quels usages. Ce n’est pas une obligation légale distincte, mais ça facilite grandement la démonstration de conformité en cas de question.
Quels réflexes adopter avant de coller une donnée client dans un outil d’IA?
Avant d’intégrer des données personnelles dans un outil d’intelligence artificielle, voici les étapes pour s’assurer de leur sécurité.
- Vérifiez le type de compte utilisé. Un compte gratuit personnel n’a pas sa place pour du travail impliquant des données clients.
- Anonymisez ou pseudonymisez les renseignements avant de les soumettre, chaque fois que c’est possible.
- Consultez les conditions d’utilisation du fournisseur et cherchez spécifiquement les clauses sur l’entraînement et la rétention des données.
- Documentez l’outil dans votre registre de sous-traitants, au même titre qu’un autre fournisseur externe.
- Formez vos équipes. Le risque vient rarement de la technologie, presque toujours de l’habitude.
- Réalisez une EFVP légère avant d’adopter officiellement un outil d’IA générative dans vos processus.
Par où commencer concrètement?
L’IA générative n’est pas incompatible avec la Loi 25, mais elle exige la même rigueur que n’importe quel autre fournisseur qui traite des données personnelles pour votre entreprise. La bonne nouvelle : les ajustements nécessaires sont simples à mettre en place une fois qu’on connaît les bons réflexes.
Vous souhaitez évaluer comment l’IA peut contribuer à votre entreprise? Vous souhaitez former votre équipe à la sécurité des données sur les IA?
Complétez le formulaire ci-dessous.
Un projet numérique en tête ?

Patricia œuvre dans le milieu des communications et du marketing depuis 2007. Elle a choisi de se spécialiser en marketing numérique en 2014, en plus d’enseigner à la Faculté de communication de l’UQAM depuis 2011. Détentrice d’un baccalauréat en relations publiques et d’une maîtrise en administration des affaires (MBA), Patricia compte plusieurs dizaines de mandats de gestion de projets à son actif.
SEO ou publicité en ligne : où investir votre budget marketing?
SEO ou publicité en ligne : faut-il vraiment choisir? Découvrez pourquoi ces deux leviers sont complémentaires et comment doser votre budget PME.
Une refonte de site Web : un projet au déroulement fluide, livré efficacement
Comment PF&co a livré la refonte complète du site de FT Transport : bilingue, conforme Loi 25 et optimisé SEO dans les délais et le budget. Voici notre approche.
Notre checklist Conformité Loi 25
Débutez la conformité de votre site Web à la Loi 25 avec notre checklist gratuite.



