Intégration de l'IA · Module 5 · Exigences légales · Articles 18.3, 17, 12

Encadrer un fournisseur d'IA :
les exigences de la Loi 25

Dès qu'un fournisseur d'IA traite vos renseignements personnels, il devient un sous-traitant à encadrer par une entente écrite (art. 18.3) — et, s'il est hors Québec, par une évaluation du transfert (art. 17). Cocher des conditions d'utilisation ne suffit pas.

Contenu informatif. Ne constitue pas un avis juridique.

Ce que vous devez retenir — version dirigeant

  • Un fournisseur d'IA qui traite vos données est un sous-traitant : entente écrite requise (art. 18.3).
  • Les conditions d'utilisation cochées en ligne ne valent pas cette entente.
  • S'il traite hors Québec, ajouter une évaluation du transfert (art. 17).
  • L'entente doit interdire la réutilisation des données (ex. entraînement de modèle).

Le contexte légal

Confier des renseignements personnels à un outil d'IA externe, c'est les communiquer à un tiers qui les traite pour vous. La Loi 25 permet cette communication sans le consentement des personnes — mais à une condition : qu'elle soit encadrée par un contrat écrit garantissant la confidentialité et l'usage limité. C'est l'objet de l'entente de sous-traitance (souvent appelée DPA).

Deux articles se combinent : l'article 18.3 (l'entente elle-même) et, dès que le traitement sort du Québec, l'article 17 (évaluation du transfert).

Ce que ça implique pour votre organisation

  • Sans entente écrite, la communication au fournisseur est un manquement (art. 18.3).
  • Sans clause de non-réutilisation, le fournisseur peut exploiter vos données au-delà de la prestation.
  • Si le traitement est hors Québec sans évaluation, l'article 17 n'est pas respecté.

Ce que ça signifie concrètement pour vous

Si vos équipes utilisent un assistant d'IA sur de vraies données clients sans entente :

  • vous avez communiqué des renseignements à un tiers sans cadre opposable;
  • vous ne pouvez ni limiter l'usage qu'il en fait, ni exiger leur suppression;
  • comme responsable, c'est vous qui répondez de cette communication.

Cocher « j'accepte » n'est pas signer une entente — c'est renoncer au cadre que la loi exige.

Définition : sous-traitant et entente

Un sous-traitant est un tiers qui traite des renseignements personnels pour le compte de l'organisation. L'entente de sous-traitance (DPA) est le contrat écrit qui encadre ce traitement : finalités, confidentialité, sécurité, durée, sort des données à la fin. Elle rend la communication conforme à l'article 18.3.

Cadre juridique applicable

Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25.

Article 18.3 — communication à un sous-traitant

La communication à un mandataire ou prestataire de service est permise sans consentement si elle est nécessaire à l'exécution d'un contrat, et que ce contrat écrit précise les mesures de protection de la confidentialité, l'usage limité à la prestation et la non-conservation des renseignements après son expiration.

Article 17 — transfert hors Québec

Si le fournisseur traite les données hors Québec, l'organisation doit, en plus du contrat, réaliser une évaluation du transfert tenant compte du régime juridique du pays de destination. L'entente encadre la relation; l'évaluation autorise la sortie des données.

Article 12 — limitation de l'usage

Les renseignements ne peuvent servir qu'aux fins pour lesquelles ils ont été recueillis. L'entente doit donc interdire au fournisseur de réutiliser les données — notamment pour entraîner ses propres modèles —, faute de quoi l'organisation perd le contrôle de leur usage.

Normes internationales alignées — ISO/IEC 27001 et 27701

ISO/IEC 27001 (sécurité de l'information) et ISO/IEC 27701 (gestion de la vie privée) structurent les garanties qu'un fournisseur sérieux peut démontrer. Exiger une certification ou des preuves alignées sur ces normes facilite l'évaluation du sous-traitant.

Ce que l'entente doit contenir

  • La description du traitement et des finalités autorisées.
  • Les mesures de sécurité et l'obligation de confidentialité.
  • L'interdiction d'utiliser les données à d'autres fins (dont l'entraînement).
  • L'encadrement de la sous-traitance ultérieure et la localisation du traitement.
  • L'assistance pour les droits des personnes et la notification des incidents.
  • La non-conservation (restitution ou destruction) à la fin du contrat, et un droit de vérification.

Exemples concrets pour une PME

Entente (art. 18.3) → Avant d'utiliser un assistant d'IA sur des courriels clients, on signe l'addendum de traitement des données du fournisseur — pas seulement ses CGU.

Non-réutilisation (art. 12) → On choisit une offre « entreprise » qui s'engage à ne pas entraîner ses modèles sur les données soumises, et on le vérifie au contrat.

Transfert (art. 17) → Le fournisseur traite aux États-Unis : on documente l'évaluation du transfert avant de commencer, en plus de l'entente.

Erreur stratégique fréquente

Beaucoup d'organisations utilisent un service d'IA en se fiant aux seules conditions d'utilisation acceptées en ligne.

Résultat : aucune clause de non-réutilisation, aucune garantie sur la conservation, et une communication de renseignements personnels sans cadre opposable.

Une entente absente ne se voit pas — jusqu'au jour où il faut prouver que les données étaient encadrées.

Obligation légale ou bonne pratique?

Obligation légale

  • Entente écrite avec le sous-traitant (art. 18.3)
  • Usage limité à la prestation (art. 12)
  • Non-conservation après le contrat
  • Évaluation du transfert si hors Québec (art. 17)

Bonne pratique (recommandée)

  • Exiger un addendum DPA dédié
  • Préférer une offre « entreprise » sans entraînement
  • Demander des preuves ISO 27001/27701
  • Tenir un registre des fournisseurs

La diligence attendue : pouvoir produire, pour chaque fournisseur d'IA, l'entente qui encadre vos données.

Risques en cas de non-conformité

Sanctions juridiques

Communiquer des renseignements personnels à un fournisseur sans entente conforme expose aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et aux plaintes — surtout en cas d'incident chez le fournisseur.

Coûts opérationnels

Sans entente : impossibilité d'exiger la suppression des données, dépendance à un fournisseur qui peut les réutiliser, et difficulté à répondre aux demandes d'accès des personnes dont les données sont chez le tiers.

Une démarche structurée réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Un fournisseur d'IA sans entente, c'est :

  • des données clients hors de votre contrôle, possiblement réutilisées;
  • aucune garantie de suppression à la fin de la relation;
  • une responsabilité qui vous revient en cas de fuite chez le tiers.

Le coût vient de l'entente absente — pas de l'entente à signer.

Articulation avec la gouvernance de l'IA

L'entente prolonge le choix d'hébergement (module 3) et l'évaluation du projet (module 4). Le registre des fournisseurs d'IA et de leurs ententes devient une pièce de la politique d'usage (module 6) et un appui direct pour répondre aux droits des personnes.

Questions fréquentes

Les conditions d'utilisation en ligne suffisent-elles comme DPA?

Non : il faut une entente écrite précisant protection, usage limité et non-conservation (art. 18.3), souvent via un addendum DPA dédié.

Quand faut-il un DPA avec un fournisseur d'IA?

Dès qu'il traite des renseignements personnels pour vous. Sans contrat écrit, la communication n'est pas conforme.

Un DPA suffit-il si le fournisseur est à l'étranger?

Non : l'article 17 ajoute l'évaluation du transfert. DPA et évaluation sont tous deux requis.

Que doit contenir une entente conforme à l'article 18.3?

Finalités, sécurité, usage limité, encadrement de la sous-traitance, assistance droits/incidents, non-conservation et droit de vérification.

Le fournisseur peut-il entraîner ses modèles sur nos données?

Pas sans encadrement : c'est une finalité distincte, à interdire ou encadrer au contrat (art. 12).

🎯 Diagnostic rapide

  • Avez-vous une entente écrite avec chaque fournisseur d'IA traitant vos données?
  • Cette entente interdit-elle la réutilisation (entraînement) de vos données?
  • Pour les fournisseurs hors Québec, avez-vous l'évaluation du transfert?

Si « non » à une seule, des renseignements personnels sont probablement chez un tiers sans cadre opposable.

À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.

Diagnostic stratégique Loi 25 →

Concrètement

  • L'obligation d'encadrer le fournisseur naît dès la première donnée qu'on lui confie.
  • Mais sans entente signée, vous ne pouvez ni limiter l'usage ni prouver la diligence.
  • Ce qui transforme un outil pratique en perte de contrôle sur vos données.

La formation Intégrer l'IA de façon souveraine apprend à exiger et à lire les bonnes clauses, pour que chaque fournisseur d'IA soit un sous-traitant encadré, pas une fuite contractuelle.

En résumé — encadrer un fournisseur d'IA selon la Loi 25

  • Fournisseur qui traite vos données = sous-traitant : entente écrite (art. 18.3).
  • Les conditions d'utilisation cochées ne valent pas cette entente.
  • Hors Québec : ajouter l'évaluation du transfert (art. 17).
  • Interdire la réutilisation des données et prévoir leur suppression à la fin (art. 12).

📘 Version pratique du même sujet

Comment vérifier une entente fournisseur (checklist en cinq points), démo sur l'électricien : voir le guide.

Guide pratique — Encadrer les fournisseurs →

Confier vos données à l'IA sans en perdre le contrôle

La formation Intégrer l'IA de façon souveraine apprend à encadrer chaque fournisseur par une entente conforme à la Loi 25 — usage limité, non-réutilisation, suppression.

Planifier la formation

← Retour au plan de la formation

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.