La fenêtre de tolérance se ferme
Les organisations canadiennes qui ont déployé des systèmes d'IA de manière libérale en se disant que la loi prendrait des années à s'adapter n'ont plus de marge de manœuvre. La Loi 25 au Québec est déjà en pleine vigueur. La Loi sur l'Intelligence Artificielle et les Données (AIDA) au niveau fédéral avance, et le Commissaire à la vie privée a statué que les règles actuelles (PIPEDA) s'appliquent déjà intégralement à l'IA.
En clair : si vous traitez des données personnelles via de l'IA, vous êtes assujetti. Si vous ne respectez pas les codes de conception requis, attendez-vous à être sanctionné.
Note : ce guide est un aperçu pratique, il ne remplace pas l'avis de votre conseiller juridique.
LPRPDE (PIPEDA) : La base fédérale existante
La Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux acteurs du secteur privé. Voici ce qu'elle impose techniquement à vos systèmes IA :
Responsabilité : Si votre IA "cloud" sous-traitée utilise des données clients, c'est vous le responsable, pas juste le vendeur de l'IA. Finalités déterminées : Utiliser de la donnée pour "améliorer nos services" n'est plus une cause légale suffisante pour entraîner un modèle de Machine Learning. Il faut être granulaire. Consentement éclairé : Lors de décisions majeures (emprunt, rh, etc.) générées par algorithme, le consentement n'est valide que si la personne concernée comprend l'implication de la machine. Minimisation de la donnée : Un LLM ne doit consommer que les données dont il a absolument besoin pour fonctionner.
La Loi 25 au Québec : Le régime sévère
La Loi 25 touche toute organisation gérant des résidents québécois et pousse les curseurs légaux au niveau du RGPD européen.
Évaluations des facteurs relatifs à la vie privée (ÉFVP/PIA) obligatoires : Avant toute utilisation IA avec des données sensibles, vous devez prouver formellement que vous avez géré les risques. Transparence des décisions automatisées : La Loi 25 stipule que si une décision est prise par la machine de manière autonome (ex: rejet de dossier de location), l'individu doit en être averti pro-activement, et a le droit de demander une validation humaine. Droit de retrait (Profiling) : Tout système regroupant et profilant des habitudes doit pouvoir être débranché à la demande de l'utilisateur. Les amendes de la CAI atteignent jusqu'à 25 millions de dollars (ou 4% du chiffre d'affaires mondial).
AIDA (Loi Fédérale) : Ce qui vous attend demain
Bien que l'Artificial Intelligence and Data Act soit encore en gestation, la loi séparera l'IA classique des "systèmes IA à haut impact" (santé, finance, police, emploi).
Si vous manipulez des IA à haut niveau de décision :
- Vous serez contraint documenter publiquement vos processus d'atténuation des biais.
- Vous devrez intégrer un rapport de transparence technique permettant d'exposer pourquoi l'IA a réagi d'une certaine manière.
- Vous aurez l'obligation légale de rapporter les "incidents d'IA" (fuites ou erreurs graves) au nouveau Commissariat à l'intelligence artificielle.
Que devez-vous construire dans vos systèmes dès aujourd'hui ?
L'environnement légal évolue, mais les directions techniques à prendre sont claires. Vous devez construire un écosystème Privacy by Design.
1. Documentation des fondements légaux en amont : "Le contrat stipule qu'on a le droit de modifier les données" n'est pas une protection. Vous devez savoir quelle data entraîne quel modèle avec quelle couverture légale. 2. Intégrer les processus EFVP comme une étape technique DevOps : Les PIA/EFVP doivent devenir un passage obligé (Checklist) avant tout push en production, pas une validation optionnelle ex-post d'un avocat. 3. Penser la transparence comme une "feature" UX : Il ne s'agit pas de cacher que l'on utilise l'IA. Au contraire, concevez des interfaces où l'humain est invité à réviser la réponse automatisée si besoin. C'est plus sain et réglementaire.