Intégration de l'IA · Module 7 · Exigences légales · Articles 12.1, 10

Déployer l'IA avec supervision :
les exigences de la Loi 25

Mettre l'IA entre les mains de l'équipe, c'est franchir un seuil légal : l'article 12.1 encadre les décisions prises sans humain, et l'article 10 impose la sécurité. Tout se joue autour d'un mot — « exclusivement » — et d'un périmètre clair de ce que l'IA a le droit de faire.

Contenu informatif. Ne constitue pas un avis juridique.

Ce que vous devez retenir — version dirigeant

  • L'article 12.1 vise les décisions prises exclusivement par l'IA, sans humain.
  • Une supervision humaine effective change le régime applicable.
  • Décision automatisée → informer, permettre des observations et une révision.
  • Plus l'IA agit (agents), plus la sécurité (art. 10) et le périmètre doivent être serrés.

Le contexte légal

Déployer l'IA, ce n'est plus parler d'un projet : c'est le mettre en production, là où il influence de vraies décisions. La Loi 25 s'y intéresse de près quand ces décisions touchent des personnes. Le cœur du sujet tient en un mot de l'article 12.1 — « exclusivement » — et dans la sécurité du déploiement (art. 10).

Ce que ça implique pour votre organisation

  • Si l'IA décide seule sans information ni révision, l'article 12.1 n'est pas respecté.
  • Si la supervision est fictive (validation automatique), la décision reste exclusivement automatisée.
  • Si le périmètre de l'outil n'est pas borné, un agent peut agir au-delà de ce qui était prévu.

Ce que ça signifie concrètement pour vous

Si une IA est mise en service sans supervision réelle :

  • une décision défavorable (refus, tri) peut être contestée et devra être révisée;
  • vous devez pouvoir expliquer les facteurs de la décision — souvent impossible sans supervision;
  • un agent mal borné peut poser une action que personne n'a validée, sous votre responsabilité.

Sans humain réel dans la boucle, c'est l'outil qui décide — et c'est vous qui en répondez.

Définition : décision exclusivement automatisée

Une décision est exclusivement automatisée quand elle est prise par un traitement, sans intervention humaine capable de l'examiner et de la modifier. Une supervision effective — un humain qui comprend, peut contester et corriger — fait sortir la décision de ce régime le plus strict de l'article 12.1.

Cadre juridique applicable

Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25.

Article 12.1 — décisions automatisées et le mot « exclusivement »

Quand une décision touchant une personne est fondée exclusivement sur un traitement automatisé, l'organisation doit l'en informer, lui permettre de présenter ses observations, lui donner le droit à une révision par une personne, et pouvoir expliquer les principaux facteurs. Garder un humain qui examine vraiment déplace le curseur — d'où l'importance du déploiement.

Article 10 — sécurité du déploiement

Mettre l'IA en service exige des mesures de sécurité raisonnables : contrôle des accès, périmètre de ce que l'outil peut faire, journalisation, et limites renforcées pour les agents qui agissent (mode « ordinateur », automatisations déclenchées). Plus l'IA agit, plus la sécurité doit être serrée.

Norme internationale alignée — ISO/IEC 42001:2023

ISO/IEC 42001:2023 traite de l'exploitation des systèmes d'IA, dont la supervision humaine et le contrôle opérationnel. Sa logique rejoint l'article 12.1 : un humain doit pouvoir comprendre, surveiller et reprendre la main sur les décisions de l'IA en production.

Les obligations au déploiement

  • Identifier les usages produisant une décision exclusivement automatisée (art. 12.1).
  • Mettre en place une supervision humaine effective (examen, contestation, correction).
  • Prévoir l'information, les observations et le droit de révision des personnes.
  • Définir le périmètre de l'outil et sécuriser le déploiement (art. 10).
  • Journaliser les actions, surtout pour les agents qui agissent.

Exemples concrets pour une PME

« Exclusivement » (art. 12.1) → Un outil qui refuse seul une demande client = décision exclusivement automatisée. Un employé qui révise réellement chaque refus = supervision effective.

Information et révision → Si une décision défavorable est rendue par l'IA, la personne est informée et peut demander un réexamen par un humain.

Périmètre d'un agent (art. 10) → Un assistant qui peut envoyer des courriels au nom de l'entreprise : actions sensibles soumises à validation, journal des envois, arrêt possible.

Erreur stratégique fréquente

Beaucoup d'organisations ajoutent une « validation humaine » qui consiste à cliquer « OK » sur tout ce que produit l'IA.

Résultat : une supervision de façade. Aux yeux de la loi, la décision reste exclusivement automatisée — avec toutes ses obligations, mais sans le filet qu'elles supposent.

Une supervision qui ne peut rien changer n'est pas une supervision — c'est une signature.

Obligation légale ou bonne pratique?

Obligation légale

  • Information sur la décision automatisée (art. 12.1)
  • Droit aux observations et à la révision
  • Explication des facteurs déterminants
  • Mesures de sécurité raisonnables (art. 10)

Bonne pratique (recommandée)

  • Humain dans la boucle, avec vrai pouvoir
  • Déploiement progressif et périmètre restreint
  • Journalisation des actions des agents
  • Arrêt d'urgence prévu

La diligence attendue : pouvoir montrer qu'un humain peut comprendre, contester et corriger les décisions de l'IA.

Risques en cas de non-conformité

Sanctions juridiques

Une décision exclusivement automatisée rendue sans information ni droit de révision est un manquement à l'article 12.1, exposant aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et aux plaintes des personnes touchées.

Coûts opérationnels

Des décisions à reprendre, un outil à reconfigurer en urgence, et le risque qu'un agent mal borné pose une action dommageable (envoi erroné, engagement non autorisé) qu'il faut ensuite réparer.

Une démarche structurée réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Un déploiement sans supervision réelle, c'est :

  • des décisions contestables qu'il faut justifier après coup;
  • une obligation d'expliquer ce que personne n'a regardé;
  • des actions d'agents que vous découvrez une fois posées.

Le coût vient de la supervision absente — pas de la supervision à mettre en place.

Articulation avec la gouvernance de l'IA

Le déploiement applique l'évaluation (module 4) et la politique d'usage (module 6) sur le terrain. Les règles de supervision et le périmètre des agents alimentent ensuite la surveillance continue (module 9), qui vérifie qu'ils tiennent dans le temps.

Questions fréquentes

Le mot « exclusivement » change-t-il tout?

Oui : il vise les décisions sans humain. Une supervision effective fait sortir le traitement du régime le plus strict de l'article 12.1.

Quelles obligations pour une décision exclusivement automatisée?

Informer la personne, permettre ses observations, donner un droit de révision par un humain, et expliquer les facteurs déterminants.

Une supervision « pour la forme » suffit-elle?

Non : si l'humain entérine sans pouvoir examiner ni modifier, la décision reste exclusivement automatisée.

Faut-il sécuriser le déploiement au-delà des décisions?

Oui (art. 10) : accès, périmètre, journalisation, et limites renforcées pour les agents qui agissent.

Comment déployer un agent qui agit?

Périmètre restreint, validation humaine des actions sensibles, journal et arrêt d'urgence. Plus il agit, plus on resserre.

🎯 Diagnostic rapide

  • Un de vos outils prend-il une décision seul à propos d'une personne?
  • La supervision humaine peut-elle réellement contester et corriger?
  • Le périmètre de vos agents d'IA est-il borné et journalisé?

Si « non » à une seule, l'IA décide probablement plus que vous ne le pensez — et sous votre responsabilité.

À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.

Diagnostic stratégique Loi 25 →

Concrètement

  • L'obligation d'encadrer les décisions automatisées s'active dès la mise en service.
  • Mais sans supervision effective ni périmètre, elle n'est ni respectée ni démontrable.
  • Ce qui transforme un déploiement utile en décisions contestables et actions non maîtrisées.

La formation Intégrer l'IA de façon souveraine apprend à déployer progressivement, avec un humain dans la boucle et un périmètre clair, pour mettre l'IA en service sans perdre le contrôle.

En résumé — déployer l'IA avec supervision selon la Loi 25

  • L'article 12.1 vise les décisions prises exclusivement sans humain.
  • Décision automatisée → information, observations, révision, explication des facteurs.
  • Une supervision effective change le régime; une supervision de façade ne change rien.
  • Sécuriser le déploiement et borner le périmètre des agents (art. 10).

📘 Version pratique du même sujet

Comment mettre l'IA en service progressivement, définir le périmètre et superviser les agents, démo sur l'électricien : voir le guide.

Guide pratique — Déployer avec supervision →

Mettre l'IA en service sans perdre le contrôle des décisions

La formation Intégrer l'IA de façon souveraine apprend à déployer l'IA avec un humain dans la boucle et un périmètre clair, en respectant l'article 12.1 de la Loi 25.

Planifier la formation

← Retour au plan de la formation

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.