Conformité

Loi 25 et automatisation : vos obligations expliquées

Loi 25 et automatisation : les deux vont très bien ensemble, à condition de connaître les règles. Dès qu'un flux automatisé, un robot logiciel ou un agent d'IA touche à des renseignements personnels — un nom, un courriel, un dossier client, une décision sur une personne — la Loi 25 s'applique. Bonne nouvelle : elle n'interdit rien. Elle encadre. Voici, en langage clair, vos obligations quand vous automatisez au Québec, y compris le point le plus méconnu : les décisions automatisées.

Avertissement

Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Pour évaluer vos obligations précises, consultez un professionnel du droit et les ressources officielles de la Commission d'accès à l'information du Québec (CAI).

Pourquoi la Loi 25 concerne vos projets d'automatisation

La Loi 25 (officiellement la loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur par étapes depuis 2022. Elle renforce les obligations des entreprises québécoises qui recueillent, utilisent ou communiquent des renseignements personnels. Or, une automatisation, par nature, déplace et traite des données — souvent des renseignements personnels. Le projet le plus banal (classer des courriels de clients, extraire des données de factures, router des demandes) peut donc être concerné.

Automatisation = traitement de renseignements personnels

Le déclencheur, ce n'est pas la technologie, c'est la donnée. Si votre automatisation lit, copie, analyse ou stocke des renseignements qui permettent d'identifier une personne, vous « traitez » des renseignements personnels au sens de la loi. Quelques exemples courants :

  • Un flux qui extrait les données d'une facture (nom, adresse) et les enregistre dans un système.
  • Un robot (RPA) qui recopie des dossiers d'employés d'un logiciel à l'autre.
  • Un agent d'IA qui répond aux clients à partir de leur historique.
  • Un tri automatique de candidatures ou de demandes de crédit.

Vos 8 obligations Loi 25 quand vous automatisez

1. Minimiser les données collectées

Une automatisation ne devrait traiter que les renseignements strictement nécessaires à sa finalité — pas tout « au cas où ». Moins vous manipulez de données personnelles, moins vous exposez votre organisation. C'est le principe de minimisation.

2. Avoir une finalité claire et le bon consentement

Vous devez savoir pourquoi vous traitez chaque renseignement, et vous en tenir à cette finalité. Si l'automatisation utilise des données à une nouvelle fin, le consentement d'origine peut ne plus suffire. La transparence envers les personnes concernées est la règle.

3. Réaliser une EFVP quand le projet le requiert

L'évaluation des facteurs relatifs à la vie privée (EFVP) est exigée notamment pour tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels. Un projet d'automatisation d'envergure tombe souvent dans ce cadre. Nous détaillons la démarche dans notre article sur la gouvernance de l'IA et la Loi 25, et la CAI publie un guide officiel pour réaliser une EFVP.

4. Encadrer les décisions automatisées (article 12.1)

C'est l'obligation la plus méconnue — et la plus pertinente pour l'automatisation. Quand une décision qui a un effet sur une personne repose exclusivement sur un traitement automatisé, la Loi 25 exige d'en informer la personne et de lui permettre de faire réviser la décision par un humain. Nous y revenons en détail plus bas.

5. Encadrer les transferts hors Québec

Si votre automatisation envoie des renseignements personnels vers un service hébergé hors du Québec (un outil infonuagique, une API externe), vous devez vous assurer que la protection y est adéquate et, souvent, réaliser une EFVP. D'où l'intérêt de privilégier des outils avec résidence des données au Canada.

6. Assurer la sécurité des données

Vous devez prendre des mesures de sécurité raisonnables. Pour une automatisation, cela veut dire : des comptes de service dédiés et à privilèges limités (jamais les identifiants d'une personne), le chiffrement, la journalisation, et la protection des secrets. Voyez comment sécuriser vos automatisations.

7. Détruire ou anonymiser à la fin

Un renseignement personnel doit être détruit ou anonymisé une fois la finalité atteinte. Vos automatisations et vos systèmes doivent donc prévoir des règles de rétention et de suppression, pas seulement d'accumulation.

8. Documenter et se préparer aux incidents

Tenez un registre de vos traitements et de vos incidents de confidentialité. En cas d'incident présentant un risque de préjudice sérieux, vous devez notifier la CAI et les personnes concernées. Une automatisation bien journalisée facilite justement cette traçabilité.

Le cas particulier des décisions automatisées

L'article 12.1 de la Loi 25 mérite qu'on s'y attarde, car de plus en plus d'automatisations décident à la place d'un humain. Dès qu'une décision produisant un effet sur une personne est prise uniquement par un traitement automatisé — accepter ou refuser une demande, attribuer un pointage, filtrer une candidature — l'organisation doit :

  • Informer la personne qu'une décision la concernant a été prise de façon automatisée.
  • Lui permettre de connaître les renseignements utilisés et les principaux facteurs qui ont mené à la décision.
  • Lui donner l'occasion de présenter ses observations à une personne en mesure de réviser la décision.

Concrètement : gardez toujours une porte de sortie humaine. Une automatisation peut préparer, recommander, accélérer — mais pour les décisions à impact, prévoyez la transparence et la possibilité d'un réexamen. C'est bon pour la conformité, et c'est aussi bon pour la confiance de vos clients.

Une démarche simple pour automatiser en conformité

  • Cartographier les données : quels renseignements personnels l'automatisation touche-t-elle, et où vont-ils ?
  • Vérifier le besoin d'une EFVP dès la conception, pas après.
  • Minimiser : retirer tout renseignement non essentiel du flux.
  • Sécuriser : comptes de service, chiffrement, journalisation.
  • Prévoir la révision humaine pour toute décision automatisée à impact.
  • Documenter le traitement et les règles de destruction.

C'est l'approche que nous appliquons chez Kortexs : la conformité et la sécurité sont intégrées dès la première ligne d'une automatisation, pas ajoutées en rattrapage. Pour cadrer votre réflexion en amont, notre guide de gouvernance de l'IA complète bien cette lecture.

Questions fréquentes

Est-ce que la Loi 25 interdit l'automatisation ?

Non. La Loi 25 n'interdit pas d'automatiser ni d'utiliser l'IA. Elle encadre le traitement des renseignements personnels : transparence, finalité claire, minimisation, sécurité et droits des personnes. On peut automatiser en toute conformité en intégrant ces principes dès la conception.

Quand faut-il faire une EFVP pour un projet d'automatisation ?

Une EFVP est notamment requise pour tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels, ainsi que pour une communication de ces renseignements hors Québec. Un projet d'automatisation qui traite des renseignements personnels tombe souvent dans ce cadre.

Qu'est-ce qu'une décision automatisée selon la Loi 25 ?

C'est une décision qui repose exclusivement sur un traitement automatisé de renseignements personnels, sans intervention humaine. L'article 12.1 exige alors d'informer la personne, de lui permettre de connaître les renseignements et les principaux facteurs utilisés, et de présenter ses observations à une personne pouvant réviser la décision.

Peut-on utiliser l'IA générative avec des renseignements personnels ?

Oui, avec prudence : savoir où vont les données, éviter les services qui pourraient les réutiliser, privilégier des outils dont les données restent dans votre environnement (Microsoft 365 avec résidence au Canada), minimiser les renseignements fournis et documenter le tout. Les outils d'entreprise offrent de meilleures garanties que les versions grand public.

Qui est responsable de la conformité à la Loi 25 ?

La Loi 25 impose de désigner un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation, qui peut déléguer ce rôle par écrit. C'est elle qui veille à la conformité, y compris pour les projets d'automatisation.

Vous voulez automatiser un processus qui touche des renseignements personnels, sans faux pas ? Discutons-en — la conformité est intégrée à notre démarche, sans obligation.

Discutons de votre projet