Intégration de l'IA · Module 9 · Exigences légales · Articles 3.3, 3.5, 12.1

Surveiller l'IA dans la durée :
les exigences de la Loi 25

Une IA n'est pas « conforme une fois pour toutes ». L'évaluation d'impact doit suivre le système réel (art. 3.3), les incidents se gèrent et se consignent (art. 3.5), et les décisions doivent rester exactes. La conformité d'un système d'IA est un entretien, pas un certificat.

Contenu informatif. Ne constitue pas un avis juridique.

Ce que vous devez retenir — version dirigeant

  • L'EFVP doit suivre le système réel : à mettre à jour quand il change (art. 3.3).
  • Tout incident de confidentialité se gère et s'inscrit au registre (art. 3.5).
  • La dérive du modèle introduit des décisions inexactes si on ne la surveille pas.
  • La conformité d'une IA est un entretien continu, pas un état acquis.

Le contexte légal

Un système d'IA évolue : son modèle est mis à jour, ses données changent, ses usages se multiplient. La conformité évaluée au lancement ne reste pas valide automatiquement. La Loi 25 demande donc d'entretenir l'évaluation d'impact (art. 3.3), de gérer les incidents (art. 3.5) et de garder les décisions exactes. Surveiller, c'est maintenir la conformité — pas la cocher une fois.

Ce que ça implique pour votre organisation

  • Si l'EFVP n'est jamais revue, elle ne reflète plus le système et perd sa valeur (art. 3.3).
  • Si un incident n'est ni géré ni consigné, l'organisation manque à l'article 3.5.
  • Si la dérive n'est pas surveillée, des décisions inexactes s'accumulent en silence.

Ce que ça signifie concrètement pour vous

Si l'IA est mise en service puis « oubliée » :

  • le jour d'un incident, vous n'avez ni registre ni procédure pour réagir avec diligence;
  • votre EFVP, figée au lancement, ne prouve plus rien sur le système actuel;
  • une dérive de qualité produit des décisions injustes que personne ne détecte.

Une conformité datée du jour du lancement n'est plus une conformité — c'est un souvenir.

Définition : surveillance, dérive, maintien de l'EFVP

La surveillance est le suivi continu d'un système d'IA en service : qualité, incidents, usages. La dérive est la dégradation de ses résultats quand le contexte change. Le maintien de l'EFVP consiste à mettre à jour l'évaluation d'impact pour qu'elle reflète toujours le système réel.

Cadre juridique applicable

Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25.

Article 3.3 — maintenir l'évaluation d'impact

L'EFVP exigée pour les projets de systèmes d'information n'est pas un document figé : elle doit refléter le système tel qu'il fonctionne. Une mise à jour du modèle, une nouvelle source de données ou un nouvel usage déclenchent sa révision. Sans entretien, l'EFVP devient un document de façade.

Article 3.5 — incidents de confidentialité

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, l'organisation doit prendre des mesures pour en réduire les effets, aviser la Commission d'accès à l'information et les personnes concernées avec diligence, et tenir un registre de tous les incidents — quelle que soit leur gravité. Un incident lié à une IA (fuite via un fournisseur, sortie exposant des données) suit ces règles.

Article 12.1 — exactitude des décisions dans le temps

Le droit à l'explication et à la révision d'une décision automatisée suppose que le système reste compréhensible et exact. La surveillance de la dérive est ce qui permet de continuer à respecter l'article 12.1 après le lancement.

Normes internationales alignées — ISO/IEC 42001 et 42005

ISO/IEC 42001:2023 prévoit la surveillance et l'amélioration continue d'un système d'IA; ISO/IEC 42005:2025 demande un plan de suivi des impacts. Toutes deux traduisent la même idée que l'article 3.3 : l'évaluation et le contrôle se poursuivent pendant toute la vie du système.

Les obligations de surveillance

  • Réviser l'EFVP à chaque changement significatif (art. 3.3).
  • Tenir un registre des incidents et savoir notifier avec diligence (art. 3.5).
  • Surveiller la dérive et l'exactitude des résultats (art. 12.1).
  • Documenter les revues périodiques — c'est la preuve de la diligence continue.

Exemples concrets pour une PME

Maintien EFVP (art. 3.3) → Le fournisseur met à jour son modèle : on revérifie la qualité et on note l'impact dans l'évaluation, au lieu de supposer la continuité.

Incident (art. 3.5) → Un employé colle par erreur un fichier client dans un outil non autorisé : on consigne l'incident au registre et on évalue s'il faut notifier.

Dérive (art. 12.1) → Un outil de tri devient progressivement moins fiable : un suivi régulier le détecte avant que des décisions injustes ne s'accumulent.

Erreur stratégique fréquente

Beaucoup d'organisations considèrent la conformité comme atteinte une fois le système lancé et l'EFVP signée.

Résultat : aucun registre d'incidents prêt le jour où il en faut un, une EFVP périmée, et une dérive de qualité découverte par une plainte plutôt que par un suivi.

Un système d'IA conforme au lancement mais jamais surveillé devient non conforme sans que personne ne le voie.

Obligation légale ou bonne pratique?

Obligation légale

  • Maintien de l'EFVP (art. 3.3)
  • Registre des incidents et notification (art. 3.5)
  • Exactitude continue des décisions (art. 12.1)
  • Traces des revues

Bonne pratique (recommandée)

  • Calendrier de revue proportionné au risque
  • Détection de dérive et seuils d'alerte
  • Procédure d'incident testée
  • Amélioration continue (ISO 42001)

La diligence attendue : pouvoir montrer que le système est suivi, et l'évaluation tenue à jour, après le lancement.

Risques en cas de non-conformité

Sanctions juridiques

Un incident mal géré ou non consigné (art. 3.5), une EFVP périmée ou des décisions devenues inexactes exposent aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et aux plaintes.

Coûts opérationnels

Un incident découvert tard coûte plus cher à contenir; une dérive non détectée propage des erreurs dans les décisions; et une EFVP à reconstruire en urgence mobilise l'organisation au pire moment.

Une démarche structurée réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Une IA déployée puis oubliée, c'est :

  • aucune procédure prête le jour d'un incident;
  • une évaluation d'impact qui ne décrit plus la réalité;
  • des décisions de moins en moins fiables, sans alerte.

Le coût vient de la surveillance absente — pas du suivi à mettre en place.

Articulation avec la gouvernance de l'IA

La surveillance referme la boucle du parcours : elle alimente la mise à jour de l'évaluation (module 4), confirme que le déploiement (module 7) et la qualité (module 8) tiennent, et fait évoluer la politique d'usage (module 6). C'est ce qui transforme une conformité ponctuelle en conformité durable.

Questions fréquentes

La conformité s'arrête-t-elle au déploiement?

Non : l'EFVP doit suivre le système réel (art. 3.3). La surveillance maintient la conformité dans le temps.

Que faire si un incident touche une IA?

Réduire les effets, aviser la Commission et les personnes avec diligence si risque de préjudice sérieux, et consigner au registre (art. 3.5).

Faut-il consigner même les petits incidents?

Oui : le registre couvre tous les incidents; la notification ne vise que ceux à risque sérieux.

Qu'est-ce que la dérive d'un modèle?

La dégradation progressive de sa qualité; non surveillée, elle introduit des décisions inexactes.

À quelle fréquence revoir l'EFVP?

À chaque changement significatif, et selon un rythme proportionné au risque pour les usages stables.

🎯 Diagnostic rapide

  • Votre EFVP est-elle revue quand le modèle ou les usages changent?
  • Avez-vous un registre des incidents et une procédure de notification?
  • Surveillez-vous la dérive de qualité des outils en service?

Si « non » à une seule, la conformité de vos systèmes d'IA s'arrête probablement au jour du lancement.

À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.

Diagnostic stratégique Loi 25 →

Concrètement

  • Les obligations de maintien, d'incident et d'exactitude sont continues, pas ponctuelles.
  • Mais sans surveillance ni registre, elles ne sont ni respectées ni démontrables.
  • Ce qui transforme un système conforme au départ en risque qui grandit en silence.

La formation Intégrer l'IA de façon souveraine apprend à mettre en place une surveillance proportionnée — revue d'EFVP, registre d'incidents, suivi de dérive — pour que la conformité d'un système d'IA dure aussi longtemps que son usage.

En résumé — surveiller l'IA dans la durée selon la Loi 25

  • L'EFVP doit suivre le système réel et être revue à chaque changement (art. 3.3).
  • Les incidents se gèrent, se notifient avec diligence et se consignent au registre (art. 3.5).
  • La dérive se surveille pour garder les décisions exactes (art. 12.1).
  • La conformité d'une IA est un entretien continu, pas un certificat ponctuel.

📘 Version pratique du même sujet

Comment mettre en place une surveillance simple (revue, registre, détection de dérive), démo sur l'électricien : voir le guide.

Guide pratique — Surveiller dans la durée →

Garder vos systèmes d'IA conformes dans le temps

La formation Intégrer l'IA de façon souveraine apprend à surveiller l'IA en service — EFVP maintenue, incidents gérés, dérive détectée — pour une conformité qui dure, pas qui se périme.

Planifier la formation

← Retour au plan de la formation

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.