Intégration de l'IA · Module 2 · Exigences légales · Articles 5, 10, 17, 12.1
Automatiser ou choisir l'IA :
les exigences de la Loi 25
Le choix entre une automatisation et l'IA n'est pas qu'une question de coût : c'est une décision de protection des données. Préférer l'outil qui expose le moins de renseignements personnels répond directement à la minimisation et à la sécurité — et l'IA externe ajoute, elle, des obligations de communication.
Contenu informatif. Ne constitue pas un avis juridique.
Ce que vous devez retenir — version dirigeant
- Une automatisation peut souvent traiter une tâche sans envoyer le contenu à un tiers (art. 5, 10).
- L'IA générative transmet généralement le texte au fournisseur — donc plus d'exposition.
- IA externe = communication : entente (art. 18.3) et, hors Québec, évaluation du transfert (art. 17).
- Une décision prise sans humain à propos d'une personne déclenche l'article 12.1.
Le contexte légal
La Loi 25 impose de ne traiter que les renseignements nécessaires (art. 5) et de protéger ceux qu'on traite par des mesures de sécurité raisonnables (art. 10). Or chaque envoi de données à un service externe est une communication qui agrandit la surface de risque. À tâche égale, l'option qui garde les données à l'intérieur est, par construction, la plus protectrice.
Le choix « automatisation ou IA » n'est donc pas neutre juridiquement : il détermine combien de renseignements personnels sortent de l'organisation, vers qui, et sous quelles garanties.
Ce que ça implique pour votre organisation
- Si vous sortez l'IA externe par réflexe, vous communiquez des renseignements qu'une règle interne aurait gardés (art. 5).
- Si vous ne documentez pas ce choix, vous ne pouvez pas démontrer que l'option la plus sûre a été retenue (art. 10).
- Si l'outil décide seul à propos d'une personne, l'obligation d'information et de révision (art. 12.1) s'applique, qu'on l'ait prévu ou non.
Ce que ça signifie concrètement pour vous
Quand l'IA en ligne est branchée sur une tâche qu'une automatisation traiterait :
- vous devenez responsable d'une communication de données vers un fournisseur — souvent à l'étranger;
- vous devez une entente (art. 18.3) et possiblement une évaluation de transfert (art. 17) que personne n'a faite;
- vous payez à l'usage pour exposer ce qui pouvait rester chez vous.
Le risque ne vient pas de l'IA en soi — il vient de l'avoir placée là où elle n'avait pas à être.
Définition : communication, minimisation, sécurité
Envoyer un renseignement personnel à un outil externe est une communication à un tiers. La minimisation (art. 5) limite ce qu'on traite au nécessaire; la sécurité (art. 10) impose des mesures raisonnables compte tenu de la sensibilité. Choisir l'outil le moins exposant, c'est appliquer ces deux principes au moment du design.
Cadre juridique applicable
Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25, applicable à toute entreprise opérant au Québec.
Article 5 — minimisation
On ne traite que les renseignements nécessaires à la finalité. Si une automatisation atteint le résultat sans transmettre les données à un modèle externe, c'est l'option qui respecte le mieux ce principe.
Article 10 — mesures de sécurité raisonnables
L'organisation doit prendre des mesures de sécurité raisonnables compte tenu de la sensibilité des renseignements, de leur finalité et de leur support. Garder un traitement à l'interne, quand c'est possible, réduit l'exposition — un facteur direct de cette « raisonnabilité ».
Articles 17 et 18.3 — communication à un tiers
Dès que l'IA est externe, on communique des renseignements à un sous-traitant : l'article 18.3 exige une entente écrite encadrant l'usage et la confidentialité. Si le traitement se fait hors Québec, l'article 17 impose au préalable une évaluation du transfert. Ces obligations sont détaillées aux modules 3 et 5.
Article 12.1 — décisions automatisées
Si une automatisation ou une IA prend une décision fondée exclusivement sur un traitement automatisé à propos d'une personne, l'article 12.1 impose de l'en informer, de lui permettre de présenter ses observations et de faire réviser la décision. Le choix d'outil doit tenir compte de ce seuil.
Norme internationale alignée — ISO/IEC 42001:2023
La norme de management de l'IA demande de choisir et d'encadrer les traitements selon leur niveau de risque. Sa logique rejoint la règle de conformité : réserver l'IA aux cas qui le justifient, et préférer la solution la plus simple et la moins exposante pour le reste.
Les obligations au moment du choix
- Vérifier si une automatisation interne atteint le résultat sans communiquer de données.
- Si l'IA externe est retenue, prévoir l'entente (art. 18.3) et l'évaluation de transfert si hors Québec (art. 17).
- Évaluer si l'outil prend une décision automatisée au sens de l'article 12.1.
- Documenter le choix : pourquoi cet outil, quelles données, quelles garanties.
Exemples concrets pour une PME
Minimisation (art. 5) → Classer les courriels par client : une règle interne (Make, n8n) le fait sans transmettre le contenu à un modèle externe. L'IA serait une exposition inutile.
Communication (art. 17, 18.3) → Résumer des comptes rendus contenant des noms avec une IA en ligne hébergée aux États-Unis : entente + évaluation du transfert requises avant de commencer.
Décision automatisée (art. 12.1) → Un tri automatique qui refuse des candidatures sans regard humain : la personne doit être informée et pouvoir demander une révision.
Erreur stratégique fréquente
Beaucoup d'organisations branchent une IA en ligne sur des tâches répétitives qu'une règle interne aurait traitées sans rien faire sortir.
Résultat : une communication de renseignements personnels — et ses obligations (entente, transfert, sécurité) — créée pour une tâche qui n'en avait pas besoin.
Mettre de l'IA là où une règle suffit, ce n'est pas moderniser — c'est exposer des données pour rien.
Obligation légale ou bonne pratique?
Obligation légale
- Minimiser les données traitées (art. 5)
- Sécurité raisonnable (art. 10)
- Entente si communication à un tiers (art. 18.3)
- Évaluation si transfert hors Québec (art. 17)
- Encadrer les décisions automatisées (art. 12.1)
Bonne pratique (recommandée)
- Tester d'abord la voie automatisation
- Documenter le choix outil par tâche
- Préférer le traitement local pour le sensible
- Garder un humain dans la boucle
La diligence attendue : pouvoir montrer qu'on a retenu l'option la moins exposante qui faisait le travail.
Risques en cas de mauvais choix
Sanctions juridiques
Communication non encadrée, transfert hors Québec sans évaluation, décision automatisée sans information : autant de manquements exposant aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et à des plaintes.
Coûts opérationnels
Des abonnements d'IA payés à l'usage pour des tâches triviales, des données exposées sans valeur ajoutée, et le temps de reprendre une intégration qui aurait dû commencer par une simple règle.
Une démarche structurée réduit ces coûts — elle ne les crée pas.
Concrètement pour une PME
Sortir l'IA par réflexe, c'est :
- des coûts récurrents pour ce qu'une règle ferait une fois pour toutes;
- des renseignements personnels qui sortent de l'entreprise sans nécessité;
- des ententes et évaluations à produire pour un besoin qui ne les justifiait pas.
Le coût vient du mauvais placement de l'outil — pas de l'IA elle-même.
Articulation avec la gouvernance de l'IA
Le choix automatisation/IA conditionne les modules suivants : l'hébergement (module 3) si l'IA est retenue, l'entente fournisseur (module 5) si elle est externe, et l'encadrement des décisions (module 7). Un choix documenté tâche par tâche devient la trame de la politique d'usage de l'IA.
Questions fréquentes
Une automatisation est-elle « moins risquée » que l'IA pour les données?
Souvent oui : elle peut tourner sur vos systèmes sans transmettre le contenu dehors, ce qui sert directement la minimisation (art. 5) et la sécurité (art. 10).
Faut-il une entente si on utilise une IA en ligne?
Oui — une entente de sous-traitance (art. 18.3), et une évaluation du transfert (art. 17) si le traitement est hors Québec.
L'automatisation échappe-t-elle à la Loi 25?
Non. Dès qu'elle traite des renseignements personnels, minimisation et sécurité s'appliquent; si elle décide seule à propos d'une personne, l'article 12.1 aussi.
Choisir l'IA « parce que c'est moderne » est-il un problème?
Oui si ça expose des données sans nécessité : le bon outil est le moins exposant qui fait le travail.
Qu'est-ce qu'une décision automatisée (art. 12.1)?
Une décision prise exclusivement par traitement automatisé, sans humain. La personne doit en être informée et pouvoir demander une révision.
🎯 Diagnostic rapide
- Pour chaque usage d'IA, avez-vous vérifié qu'une automatisation ne suffirait pas?
- Quand l'IA est externe, avez-vous l'entente et, hors Québec, l'évaluation de transfert?
- Un de vos outils prend-il une décision seul à propos d'une personne?
Si « non » à une seule, vous exposez probablement des données — ou des obligations — sans l'avoir mesuré.
À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.
Diagnostic stratégique Loi 25 →Concrètement
- Vos obligations de minimisation et de sécurité s'appliquent au choix d'outil, pas seulement à son usage.
- Mais sans réflexe « automatisation d'abord », l'IA externe s'installe par défaut — avec ses communications de données.
- Ce qui transforme une commodité en exposition juridique.
La formation Intégrer l'IA de façon souveraine apprend à trancher tâche par tâche, pour ne sortir l'IA — et ses obligations — que là où elle apporte vraiment quelque chose.
En résumé — automatiser ou choisir l'IA selon la Loi 25
- À tâche égale, l'option qui expose le moins de renseignements est la plus conforme (art. 5, 10).
- L'IA externe = communication : entente (art. 18.3) et évaluation si hors Québec (art. 17).
- Une décision prise sans humain à propos d'une personne déclenche l'article 12.1.
- Documenter le choix d'outil, tâche par tâche, rend la conformité démontrable.
📘 Version pratique du même sujet
Comment répartir concrètement ses tâches entre automatisation et IA, démo sur l'entrepreneur électricien : voir le guide.
Guide pratique — Automatiser ou IA →Mettre le bon outil au bon endroit, sans exposer vos données
La formation Intégrer l'IA de façon souveraine apprend à choisir entre automatisation et IA tâche par tâche, et à garder le contrôle des renseignements personnels à chaque étape.
← Retour au plan de la formation
Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.