Que dit l'article 12.1 sur les décisions automatisées?

L'article 12.1 oblige toute organisation utilisant des renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé à : informer la personne concernée au moment de la décision, lui communiquer sur demande les renseignements utilisés, les raisons et facteurs principaux, le droit de rectification ; conserver les renseignements utilisés au moins un an ; permettre à la personne de présenter ses observations à un membre du personnel en mesure de réviser la décision.

Microsoft Copilot peut-il être utilisé pour des décisions automatisées?

En pratique difficilement, en raison de l'obligation d'explicabilité incluse à l'article 12.1 (« raisons et principaux facteurs et paramètres ayant mené à la décision »). Microsoft ne peut pas expliquer pourquoi Copilot a généré une réponse précise — ce qui est incompatible avec cette obligation. Copilot peut servir d'aide à la décision humaine (où l'humain prend la décision finale), mais pas comme moteur de décision exclusivement automatisée affectant une personne.

Coller un renseignement personnel dans ChatGPT gratuit est-il un transfert hors Québec?

Oui. Les serveurs ChatGPT sont aux États-Unis (OpenAI). Coller un nom, un courriel, un dossier client ou tout autre renseignement personnel dans un prompt ChatGPT gratuit constitue un transfert hors Québec au sens de l'article 17 de la Loi 25 — déclenchant les obligations d'EFVP, d'entente écrite et de mention dans la politique. Sans ces étapes, le transfert est non encadré.

Quels sont les principes CAI sur l'IA générative?

En décembre 2023, la CAI et les autorités fédérale et provinciales/territoriales canadiennes ont publié des principes communs pour le développement et l'utilisation responsable de l'IA générative : établir un pouvoir légal et obtenir un consentement valide, faire preuve d'ouverture et de transparence, rendre les outils compréhensibles (explicabilité), établir des mesures de protection de la vie privée, limiter la communication de renseignements sensibles ou confidentiels.

Cette obligation s'applique-t-elle indépendamment de l'outil IA?

Oui. La Loi 25 et les principes CAI s'appliquent indépendamment de l'outil — ChatGPT, Claude, Copilot, Gemini, Mistral, n'importe quel outil IA traitant des renseignements personnels québécois. Les principes (transparence, explicabilité, consentement) sont universels.

Formation Numérique · Module 5 · Exigences légales
Articles 12.1, 12, 3.3, 17, 8.1 + principes CAI sur l'IA

IA et décisions automatisées — Exigences Loi 25 Québec

L'article 12.1 encadre les décisions exclusivement automatisées. Les principes CAI/OPC de décembre 2023 ajoutent transparence et explicabilité pour l'IA générative. Voici le cadre exact.

Analyser mon infrastructure numérique Planifier l'accompagnement →

Contexte légal

L'article 12.1 de la Loi 25 a introduit des obligations spécifiques pour les décisions exclusivement automatisées : information, droit à l'intervention humaine, conservation. Plusieurs autres articles s'appliquent à l'usage de l'IA dans une organisation : 12 (utilisation aux fins déclarées), 3.3 (EFVP avant déploiement), 17 (transfert hors Québec), 8.1 (technologies de profilage). En décembre 2023, la CAI a publié avec les autorités canadiennes des principes communs sur l'IA générative.

Applicable à tout outil IA. ChatGPT, Claude, Copilot, Gemini, Mistral et tout outil IA traitant des renseignements personnels québécois est concerné.

Ce que vous devez retenir

Article 12.1 — décisions exclusivement automatisées : info + révision humaine + conservation min. 1 an.
Article 12 — utilisation aux fins déclarées seulement.
Article 3.3 — EFVP avant déploiement.
Article 17 — transfert hors Québec applicable à ChatGPT/Copilot.
Principes CAI/OPC déc. 2023 — explicabilité, transparence, mesures de protection.
Cadre fédéral prospectif : Loi C-27 / LIAD à surveiller pour les systèmes à incidence élevée.

Ce que ça implique pour votre organisation

Sans politique IA, le shadow AI fait sortir des RP sans encadrement quotidien.
Sans EFVP avant Copilot, vous violez l'article 3.3.
Sans interface de révision humaine, vos décisions automatisées violent l'article 12.1.

Ce que ça signifie concrètement pour vous

Microsoft Copilot ne peut pas expliquer ses réponses — incompatible avec l'obligation d'explicabilité (art. 12.1) si Copilot rend ou suggère des décisions affectant des personnes.
Coller un courriel client dans ChatGPT gratuit = transfert hors Québec sans EFVP, sans entente, sans mention dans la politique.
L'IA shadow est l'angle mort le plus rapide à corriger — l'usage est déjà répandu.

Cadre juridique applicable

Article 12.1 — Décisions exclusivement automatisées

« Toute personne qui exploite une entreprise et qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où elle l'informe de cette décision. Elle doit aussi, à la demande de la personne concernée, l'informer : 1° des renseignements personnels utilisés ; 2° des raisons et des principaux facteurs et paramètres ayant mené à la décision ; 3° du droit pour la personne concernée de faire rectifier les renseignements personnels utilisés. Les renseignements utilisés sont conservés pendant au moins un an suivant la décision. La personne concernée doit être en mesure de présenter ses observations à un membre du personnel de l'entreprise en mesure de réviser la décision. »

Article 12 — Utilisation aux fins déclarées

L'utilisation des RP est limitée aux fins pour lesquelles ils ont été recueillis. Un assistant IA qui consomme tous les RP de la base pour répondre à n'importe quelle question viole potentiellement cette limite. Le déploiement d'IA doit s'aligner sur les fins déclarées au moment de la collecte initiale.

Article 3.3 — EFVP avant projet

Toute acquisition, développement ou refonte d'un système d'information impliquant des RP exige une EFVP. Le déploiement de Copilot, ChatGPT Enterprise, Claude Team ou tout système IA tombent sous cette obligation.

Article 17 — Transfert hors Québec

Les serveurs des principales IA génératives sont hors Québec. ChatGPT (OpenAI, US), Copilot (Microsoft, US), Claude (Anthropic, US), Gemini (Google, US/Canada selon configuration). EFVP + entente écrite + mention dans la politique — pour chaque outil.

Article 8.1 — Profilage

Le profilage par IA (segmentation marketing, scoring, personnalisation) déclenche l'obligation d'information préalable et d'activation par la personne. Désactivation par défaut.

Principes communs CAI/OPC sur l'IA générative (déc. 2023)

Établir le pouvoir légal de recueillir/utiliser les RP et obtenir un consentement éclairé/valide
Faire preuve d'ouverture et de transparence quant à l'utilisation des RP
Rendre les outils IA compréhensibles (explicabilité)
Établir des mesures de protection de la vie privée
Limiter la communication de RP, sensibles, ou confidentiels

Cadre fédéral prospectif — LIAD / AIDA

Le projet de loi C-27 inclut la Loi sur l'intelligence artificielle et les données (LIAD / AIDA). Pas encore en vigueur au moment de la rédaction. À surveiller pour les systèmes à incidence élevée qui imposeront des obligations supplémentaires aux organisations canadiennes utilisant l'IA.

Obligations concrètes

Politique IA explicite — outils autorisés, ce qu'on ne fait jamais, comment demander un nouvel outil
Comptes Enterprise/Team — engagement non-réutilisation
EFVP avant déploiement — Copilot, ChatGPT Enterprise, Claude Team, etc.
Mention dans politique de confidentialité — chaque outil IA actif + sa localisation
Pour décisions automatisées — interface de notification, mécanisme de présentation d'observations, processus de révision humaine documenté
Conservation min. 1 an des RP utilisés pour décisions automatisées (art. 12.1 al. 2)
Formation employés — ne jamais coller de RP brut dans un prompt
DLP (Data Loss Prevention) sur les flux sortants vers IA externes

Erreur stratégique fréquente

Beaucoup d'organisations activent Microsoft Copilot dans M365 sans EFVP préalable, et sans réviser les permissions internes (SharePoint, OneDrive).

EFVP absente — non-conformité art. 3.3
Copilot accède à tout ce que l'utilisateur peut voir — si permissions laxistes, exposition involontaire
Boîte noire — explicabilité art. 12.1 indéfendable si Copilot suggère des décisions sur des personnes
Aucune mention dans la politique de confidentialité publiée

Activer Copilot sans EFVP préalable = transformer une suite bureautique en angle mort PRP géant.

Deux réalités possibles

✗ Sans encadrement

Comptes IA gratuits avec RP
EFVP absente
Décisions automatisées sans révision humaine
Politique de conf. ne mentionne pas l'IA
Aucune formation employés

✓ Avec encadrement

Versions Enterprise/Team
EFVP par outil + mention dans politique
Révision humaine pour décisions auto
Politique IA signée + formation
DLP sur flux sortants

Risques en cas de non-conformité

SAP / Amende pénale — articles 90.12 / 91 (jusqu'à 25 M$ ou 4 % CA mondial)
Décision automatisée invalidée — art. 12.1 non respecté = décisions juridiquement contestables
Action privée de personnes affectées par décisions automatisées non encadrées
Audit B2B — donneurs d'ouvrage exigent désormais la politique IA et EFVP

Concrètement pour une PME :

Chaque employé sans politique IA = transferts non encadrés quotidiens
Chaque outil IA sans EFVP = non-conformité accumulée
Chaque décision automatisée sans révision humaine = exposition à recours

Le coût vient du shadow AI — pas de l'usage encadré de l'IA.

Lien avec la gouvernance PRP

L'EFVP avant déploiement IA est traitée dans la Formation Gouvernance PRP, module EFVP de base. Le module Outils tiers de la Formation Site web couvre l'aspect contractuel. Ce module-ci se concentre sur l'encadrement organisationnel de l'IA en entreprise.

🛡️ Diagnostic rapide

Politique IA signée par chaque employé?
Versions Enterprise/Team + EFVP datée par outil?
Pour décisions automatisées : interface de révision humaine?

Analyser mon infrastructure numérique →

Concrètement

L'IA est déjà utilisée dans votre organisation — la question n'est plus « si » mais « comment ». L'encadrement permet de profiter des bénéfices sans s'exposer à la non-conformité. Sans encadrement, le shadow AI fait sortir des RP quotidiennement et l'article 12.1 reste théorique.

En résumé

Article 12.1 — info + révision humaine + conservation min. 1 an
Articles 12, 3.3, 17, 8.1 — utilisation, EFVP, transfert, profilage
Principes CAI/OPC déc. 2023 — transparence + explicabilité
Cadre fédéral prospectif : LIAD / AIDA dans C-27

Pour la version pratique

Voir le guide pratique →

Évaluer votre encadrement IA

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.