Intégration de l'IA · Module 1 · Exigences légales · Articles 4, 5, 8, 12

Déterminer les besoins d'IA :
les exigences de la Loi 25

Avant même de choisir un outil, la Loi 25 encadre tout projet d'IA qui touchera des renseignements personnels : déterminer les fins avant de collecter, ne recueillir que le nécessaire, informer les personnes, limiter l'usage. Voici les obligations exactes — et ce qu'elles changent au cadrage.

Contenu informatif. Ne constitue pas un avis juridique.

Ce que vous devez retenir — version dirigeant

  • On détermine la fin précise de chaque usage avant de collecter (article 4).
  • On ne recueille que les renseignements nécessaires à cette fin (article 5, minimisation).
  • On informe les personnes des fins et des outils tiers concernés (article 8).
  • On ne réutilise pas librement des données collectées pour autre chose (article 12).

Le contexte légal

La Loi 25 ne se déclenche pas au moment où l'on branche un outil d'IA. Elle s'applique dès qu'on décide de recueillir ou d'utiliser des renseignements personnels pour un nouvel usage. La phase « besoins » d'un projet d'IA est donc déjà une phase de conformité : c'est là qu'on fixe la fin poursuivie et les données qu'on accepte de mettre en jeu.

Quatre articles structurent cette étape : la détermination des fins (art. 4), la minimisation (art. 5), l'information des personnes (art. 8) et la limitation de l'usage (art. 12). Bien cadrer le besoin, ce n'est pas une formalité — c'est la première mesure de conformité du projet.

Ce que ça implique pour votre organisation

  • Si la fin n'est pas déterminée, l'avis de collecte que la loi exige devient impossible à rédiger correctement.
  • Si on ne minimise pas, on expose des renseignements qui n'avaient pas à l'être — et on alourdit l'évaluation d'impact.
  • Si on réutilise des données sans nouvelle base légale, le manquement est démontrable, même de bonne foi.

Ce que ça signifie concrètement pour vous

Si un projet d'IA démarre par l'outil (« on prend tel assistant, on verra pour quoi ») :

  • vous portez, comme responsable, une collecte dont personne ne peut justifier la nécessité;
  • vos avis aux clients et employés sont génériques — donc non conformes à l'article 8;
  • l'EFVP exigée plus loin (art. 3.3) part d'une base instable, et devra souvent être refaite.

L'obligation existe dès la première réunion de cadrage. C'est la finalité qui est absente, pas la loi.

Définition : finalité et minimisation

La finalité est l'objectif précis et légitime pour lequel un renseignement est recueilli ou utilisé. La minimisation est le principe qui n'autorise à recueillir que les renseignements nécessaires à cette finalité — ni plus, ni « au cas où ». Les deux se déterminent avant la collecte, pas après.

Cadre juridique applicable

Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25. Elles s'appliquent à toute entreprise opérant au Québec, sans seuil de taille.

Article 4 — déterminer les fins avant de collecter

Les fins de la collecte doivent être déterminées avant celle-ci. Pour un projet d'IA, cela veut dire nommer la fin de chaque usage — « rédiger une première version de soumission » — et non « intégrer de l'IA ». Une fin vague rend les étapes suivantes (minimisation, information, EFVP) impossibles à exécuter correctement.

Article 5 — ne recueillir que le nécessaire (minimisation)

On ne peut recueillir que les renseignements nécessaires aux fins déterminées. Concrètement, pour chaque usage d'IA, on liste les seules données dont l'outil a réellement besoin. Pour rédiger une soumission, l'assistant a besoin du contexte du chantier — pas du dossier complet d'un client ni de renseignements sur des tiers.

Article 8 — informer les personnes au moment de la collecte

La personne doit être informée des fins de la collecte, des moyens utilisés et des catégories de tiers susceptibles de recevoir les renseignements. Si un outil d'IA externe entre dans le traitement, cela influence l'information à donner — et suppose souvent une mise à jour des avis et de la politique de confidentialité.

Article 12 — limiter l'usage aux fins déterminées

Les renseignements ne peuvent être utilisés qu'aux fins pour lesquelles ils ont été recueillis. Réutiliser une base existante pour alimenter un nouvel usage d'IA constitue une nouvelle finalité, qui exige en principe le consentement de la personne ou une exception prévue par la loi.

Norme internationale alignée — ISO/IEC 42001:2023

La norme de management de l'IA, ISO/IEC 42001:2023, demande de définir le contexte, les objectifs et les risques d'un système d'IA avant son déploiement. Sa logique rejoint exactement l'étape « besoins » : partir de la finalité et du périmètre, pas de l'outil. S'y aligner n'oblige pas à se certifier — mais structure la même rigueur que la Loi 25 attend.

Les obligations concrètes au stade du besoin

  • Écrire, pour chaque usage retenu, la finalité précise poursuivie.
  • Dresser la liste minimale des renseignements nécessaires à cette finalité.
  • Vérifier si l'usage déclenche une EFVP (art. 3.3) et préparer sa base.
  • Prévoir comment les personnes seront informées (art. 8), surtout si un outil externe est impliqué.
  • Documenter ces décisions — elles nourrissent la politique d'usage et l'évaluation d'impact.

Le socle minimal : une fiche d'une page par usage (finalité + données nécessaires + personnes concernées) suffit à démarrer conforme.

Exemples concrets pour une PME

Finalité (art. 4) → Une firme veut un assistant pour résumer ses courriels clients. La fin retenue : « accélérer le tri et le résumé des demandes entrantes ». Précise, donc traçable.

Minimisation (art. 5) → Pour cette fin, l'outil reçoit l'objet et le corps du courriel — pas l'historique financier du client ni les pièces jointes sensibles.

Limitation d'usage (art. 12) → Les résumés servent au tri, pas à constituer un profil commercial des clients — ce serait une nouvelle finalité, à encadrer séparément.

Erreur stratégique fréquente

Beaucoup d'organisations choisissent l'outil d'IA d'abord, puis cherchent quoi lui faire faire. La collecte précède alors la finalité.

Résultat : des données données « au cas où », des avis aux personnes impossibles à rédiger correctement, et une EFVP bâtie sur une intention floue.

Un projet d'IA qui commence par l'outil documente sa non-conformité avant même d'avoir produit la moindre valeur.

Obligation légale ou bonne pratique?

Obligation légale

  • Déterminer les fins avant la collecte (art. 4)
  • Ne recueillir que le nécessaire (art. 5)
  • Informer les personnes (art. 8)
  • Limiter l'usage aux fins (art. 12)

Bonne pratique (recommandée)

  • Une fiche de cadrage écrite par usage
  • Un registre des usages d'IA envisagés
  • S'aligner sur ISO/IEC 42001 (contexte, objectifs)
  • Revoir les fins à chaque nouvel usage

La diligence attendue : pouvoir montrer, pour chaque usage, qu'on a posé la finalité et le périmètre des données avant de démarrer.

Risques en cas de cadrage négligé

Sanctions juridiques

La Loi 25 prévoit des sanctions administratives pécuniaires (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial pour une entreprise) et des sanctions pénales (jusqu'à 25 M$ ou 4 %). Une collecte excessive, des avis absents ou un usage détourné sont des manquements démontrables. S'ajoutent les ordonnances de la CAI et le risque d'actions privées.

Coûts opérationnels

Au-delà des sanctions : du temps perdu à reprendre des projets mal cadrés, des usages d'IA abandonnés faute de valeur claire, une EFVP à refaire, et une perte de confiance des clients dont les données ont circulé sans raison.

Une démarche structurée réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Un projet d'IA mal cadré, c'est :

  • des heures à reconstruire après coup ce qui aurait pris une page au départ;
  • des outils payés puis délaissés;
  • une exposition juridique que le dirigeant porte personnellement.

Le coût vient de l'absence de cadrage — pas de l'obligation de cadrer.

Articulation avec la gouvernance de l'IA

Le cadrage des besoins est la première brique d'un dispositif plus large : il alimente l'EFVP (art. 3.3), la politique d'usage de l'IA et les ententes avec les fournisseurs (DPA). Une finalité bien posée se retrouve, intacte, jusque dans l'avis de collecte et le registre — c'est ce qui rend la conformité démontrable, et non seulement réelle.

Questions fréquentes

La Loi 25 s'applique-t-elle avant d'avoir choisi un outil?

Oui. La finalité (art. 4) et la minimisation (art. 5) s'appliquent dès la décision d'utiliser des renseignements personnels — donc dès le cadrage, avant tout choix d'outil.

Faut-il une EFVP dès l'étape des besoins?

L'EFVP (art. 3.3) est obligatoire pour tout projet de système d'information traitant des renseignements personnels. Le cadrage n'est pas l'EFVP, mais il en pose la base : sans finalité ni périmètre, l'EFVP ne tient pas.

Qu'est-ce que la minimisation, concrètement?

N'alimenter l'outil qu'avec les données strictement nécessaires à la fin retenue. Donner « tout le dossier » à un assistant pour une tâche ciblée viole l'article 5.

Doit-on informer les personnes que l'IA traitera leurs données?

Oui (art. 8) : fins, moyens et catégories de tiers. Un outil d'IA externe doit être pris en compte dans l'information donnée et dans les ententes fournisseurs.

Peut-on réutiliser pour l'IA des données collectées pour autre chose?

Pas librement. L'article 12 limite l'usage aux fins initiales; une réutilisation est une nouvelle finalité, à encadrer (consentement ou exception légale).

🎯 Diagnostic rapide

  • Pouvez-vous nommer la finalité précise de chaque usage d'IA envisagé?
  • Avez-vous la liste des données nécessaires — et exclu le reste?
  • Savez-vous comment les personnes seront informées si un outil externe traite leurs données?

Si « non » à une seule, le projet part probablement d'une base non conforme — peu importe la qualité de l'outil choisi.

À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.

Diagnostic stratégique Loi 25 →

Concrètement

  • Vos obligations de finalité et de minimisation existent dès le cadrage, qu'on les ait formalisées ou non.
  • Mais sans fiche écrite, elles ne sont ni appliquées ni démontrables.
  • Ce qui transforme un bon réflexe en exposition le jour d'une plainte ou d'une enquête.

La formation Intégrer l'IA de façon souveraine part exactement de là : poser la finalité et le périmètre des données avant de toucher au moindre outil, pour que la suite du projet repose sur une base conforme.

En résumé — déterminer les besoins selon la Loi 25

  • Déterminer la fin précise de chaque usage avant de collecter (art. 4).
  • Ne recueillir que les renseignements nécessaires à cette fin (art. 5).
  • Informer les personnes des fins et des tiers concernés (art. 8); limiter l'usage (art. 12).
  • Documenter ces choix — ils fondent l'EFVP, la politique d'usage et la conformité démontrable.

📘 Version pratique du même sujet

Comment cartographier et prioriser ses usages d'IA avec les trois lentilles, démo sur l'entrepreneur électricien : voir le guide.

Guide pratique — Déterminer les besoins →

Intégrer l'IA dans votre organisation, sans partir d'une base non conforme

La formation Intégrer l'IA de façon souveraine déroule la démarche étape par étape — du cadrage des besoins jusqu'à la surveillance — en restant conforme à la Loi 25.

Planifier la formation

← Retour au plan de la formation

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.