Cloud et IA en langage clair —
où la Loi 25, le RGPD et la LPRPDE convergent

Comprendre les obligations cloud et IA — guide pratique pour les PME québécoises

Le cloud et l'intelligence artificielle ne sont pas en soi interdits par la Loi 25 — mais ils déclenchent des obligations précises qu'une PME québécoise doit comprendre avant tout déploiement. Ce guide structure la réflexion en s'appuyant sur les exigences réelles de la Loi 25, du RGPD et de la LPRPDE.

Préalables conseillés : avant d'aborder cette page, parcourir les fiches EFVP (mécanisme d'évaluation des risques, exigé pour tout projet impliquant des renseignements personnels) et DPA (entente écrite avec chaque sous-traitant). Le présent guide en applique la logique aux outils cloud et d'IA.

Pourquoi le cloud et l'IA sont des cas particuliers

Les outils cloud et l'IA partagent trois caractéristiques qui les distinguent des logiciels installés localement :

• Hébergement externalisé — les données ne sont plus sur les serveurs de l'organisation mais chez un fournisseur tiers, souvent dans plusieurs pays selon les centres de données utilisés.
• Traitement automatisé — les outils d'IA en particulier prennent des décisions ou génèrent des contenus à partir des renseignements personnels qu'ils traitent. Cela soulève des questions de transparence et de droit à l'information sur les décisions automatisées.
• Réutilisation possible des données — selon les conditions d'utilisation, certains outils (souvent les versions grand public) peuvent réutiliser les données pour entraîner leurs modèles ou améliorer leurs services. Pour des renseignements personnels professionnels, c'est rédhibitoire.

Pour la Loi 25, ces caractéristiques activent simultanément trois articles : l'article 3.3 (EFVP préalable), l'article 17 (transferts hors Québec) et l'article 18.3 (sous-traitance encadrée par DPA). Cette combinaison fait du cloud et de l'IA le point où le plus d'obligations convergent.

Où sont hébergées les données — les principaux fournisseurs cloud

Microsoft 365 et Azure :

• Régions canadiennes disponibles (Toronto, Québec) pour les données primaires de la plupart des charges de travail.
• Possibilité contractuelle de garantir la résidence des données au Canada via les clauses « Data Residency Commitments ».
• Microsoft Online Services DPA aligné RGPD couvre largement la Loi 25.
• Pour les outils Microsoft 365 (Teams, OneDrive, SharePoint), les méta-données et les logs peuvent transiter par d'autres régions — à valider dans la documentation.

Google Workspace et Google Cloud :

• Régions canadiennes (Montréal, Toronto) disponibles pour Google Cloud — pour Google Workspace, la résidence des données peut être configurée pour les organisations « Enterprise ».
• Google Cloud Data Processing Addendum aligné RGPD avec engagements explicites sur les sous-processeurs.
• Pour les comptes Google Workspace standard, les données peuvent être traitées dans plusieurs régions sans garantie de localisation.

AWS (Amazon Web Services) :

• Régions canadiennes (Centre du Canada, Calgary) disponibles depuis plusieurs années.
• AWS Data Processing Addendum couvre Loi 25, RGPD et LPRPDE.
• Le client choisit explicitement la région d'hébergement — il assume donc la responsabilité de cette configuration.

OpenAI (ChatGPT) :

• Versions grand public (ChatGPT, ChatGPT Plus) : les conversations peuvent être réutilisées pour entraînement, hébergement principalement aux États-Unis. Inadaptées au traitement de renseignements personnels professionnels.
• Versions « ChatGPT Team » et « ChatGPT Enterprise » : non-réutilisation pour entraînement par défaut, DPA disponible, journalisation des accès, contrôles administrateur. Posture acceptable pour traitement professionnel sous réserve d'EFVP.
• Hébergement principalement aux États-Unis — transfert hors Québec et hors Canada à documenter.

Microsoft Copilot et Google Gemini :

• Versions intégrées aux suites entreprise (Microsoft 365 Copilot, Gemini for Workspace) : profitent du DPA principal et des engagements de la suite, non-réutilisation des données contractuellement encadrée.
• Versions grand public (Copilot dans Windows personnel, Gemini gratuit) : conditions d'utilisation différentes — réutilisation possible des prompts, garanties moindres.
• Toujours préférer la version intégrée à la suite professionnelle existante pour les usages d'entreprise.

Obligations Loi 25 déclenchées par l'usage du cloud et de l'IA

Article 3.3 — EFVP préalable :

Pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services impliquant des renseignements personnels, une évaluation des facteurs relatifs à la vie privée (EFVP) est exigée. Le déploiement d'un nouveau CRM cloud, l'adoption d'un outil d'IA pour traiter les soumissions clients, la migration de données vers Microsoft 365 — tous ces projets sont visés. La fiche EFVP détaille la méthode en six questions.

Article 17 — transferts hors Québec :

Avant de communiquer des renseignements personnels à l'extérieur du Québec, l'organisation doit faire une évaluation des facteurs relatifs à la vie privée et obtenir une garantie de protection équivalente. Concrètement, pour un fournisseur cloud hors Québec, cela signifie :

• Documenter la localisation effective des données (région contractuelle).
• Vérifier la juridiction applicable au fournisseur (USA, UE, Canada hors Québec).
• Obtenir et conserver le DPA du fournisseur.
• Démontrer que les mesures de protection sont équivalentes à celles du Québec.

Article 18.3 — DPA pour les sous-traitants :

Toute communication de renseignements personnels à un mandataire ou prestataire de services doit être encadrée par une entente écrite. Pour les outils cloud et d'IA, c'est le DPA du fournisseur qui remplit cette fonction. La fiche DPA détaille le contenu minimum exigé.

La séquence opérationnelle pour une PME : EFVP avant d'engager un fournisseur → DPA signé au moment de la souscription → documentation des transferts dans le registre des traitements.

Articulation avec le RGPD et la LPRPDE

RGPD (Europe) — articles 28, 35, 44-49 :

• Article 28 : exigences de DPA détaillées (équivalent renforcé de l'article 18.3 Loi 25).
• Article 35 : DPIA (Data Protection Impact Assessment) — l'équivalent européen de l'EFVP.
• Articles 44-49 : encadrement des transferts hors UE — clauses contractuelles types (CCT) ou décisions d'adéquation. Le Canada (sauf Québec) est reconnu adéquat ; les transferts vers les États-Unis exigent les CCT depuis l'invalidation du Privacy Shield (2020) puis du Data Privacy Framework partiellement encadré.
• Sanctions : jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial.

LPRPDE (Canada fédéral) — principe 1 (responsabilité) :

• Pas d'article aussi explicite sur le cloud que la Loi 25 ou le RGPD, mais le principe de responsabilité maintenue impose un encadrement contractuel pour les transferts.
• Lignes directrices du Commissariat fédéral sur les transferts transfrontaliers — exigent un degré comparable de protection contractuelle.
• S'applique automatiquement aux activités interprovinciales et aux secteurs sous compétence fédérale.

Stratégie pour PME québécoise :

Une organisation qui structure sa gouvernance cloud et IA sur la base de la Loi 25 et du RGPD couvre simultanément la LPRPDE et largement les lois US d'État. La séquence pratique :

1. EFVP préalable (méthode en 6 questions, satisfait aussi DPIA RGPD et ISO 27701).
2. DPA signé du fournisseur (typiquement aligné RGPD, couvre Loi 25 + LPRPDE).
3. Documentation des transferts (région choisie, juridiction, mesures de protection).
4. Mention dans la politique de confidentialité de l'organisation.
5. Inscription dans le registre des traitements (article 3.2 Loi 25).

Cas particulier de l'intelligence artificielle — risques additionnels

Article 12.1 de la Loi 25 — décision exclusivement automatisée :

• Quand une décision concernant une personne est prise exclusivement par un traitement automatisé, l'organisation doit en informer la personne au plus tard au moment de la décision.
• Sur demande, l'organisation doit fournir les renseignements personnels utilisés, les raisons et les principaux facteurs ayant mené à la décision, ainsi que le droit de faire rectifier les renseignements utilisés.
• Cas typiques : approbation automatique de crédit, scoring de candidatures, recommandation algorithmique de tarif.

ISO/IEC 42005:2025 — Impact Assessment for AI Systems :

• Standard publié en 2024 pour structurer l'évaluation d'impact des systèmes d'IA.
• Couvre les risques propres à l'IA : biais algorithmiques, robustesse face aux données aberrantes, transparence des décisions, supervision humaine, responsabilité.
• Pour un projet d'IA, une EFVP « augmentée » qui couvre à la fois les renseignements personnels (Loi 25) et les risques propres au système (ISO 42005) est la posture cible.

Posture minimale à exiger d'un outil d'IA pour usage professionnel :

1. Version « entreprise » avec non-réutilisation des prompts pour entraînement.
2. DPA signé avec engagement explicite sur la confidentialité des données.
3. Hébergement contractuellement encadré (région choisie, sous-processeurs documentés).
4. Journalisation des accès et possibilité de récupérer les conversations / requêtes pour audit.
5. Politique d'usage interne qui précise quels types de renseignements peuvent être confiés à l'outil et quels usages sont interdits.
6. Formation des employés qui utilisent l'outil — comprendre les limites, les biais possibles, l'obligation de vérification humaine.

Erreurs fréquentes et pièges à éviter

• ❌ Adoption d'outils sans EFVP préalable — le déploiement précède l'évaluation. Quand un incident survient, l'absence d'EFVP démontre l'absence de diligence raisonnable.
• ❌ Usage de versions grand public pour traiter des données professionnelles — ChatGPT gratuit, Copilot personnel, Gemini sans contrat entreprise. Les conditions d'utilisation autorisent typiquement la réutilisation des données.
• ❌ Pas de politique interne d'usage de l'IA — chaque employé décide individuellement de ce qu'il confie à ChatGPT, sans cadre. Risque de fuite de données stratégiques ou de renseignements clients.
• ❌ Transferts non documentés — l'usage de Microsoft 365, Google Workspace ou AWS implique des transferts hors Québec, parfois hors Canada. Si ce n'est pas documenté dans le registre des traitements, l'article 17 n'est pas satisfait.
• ❌ DPA signé mais non lu — beaucoup d'organisations acceptent les DPA standards sans en vérifier les annexes (sous-processeurs, mesures de sécurité). Cela suffit pour la conformité de base mais expose en cas de changement majeur du fournisseur.
• ❌ Confusion entre IA d'aide à la rédaction et IA décisionnelle — une IA qui aide à rédiger des courriels n'a pas le même profil de risque qu'une IA qui prend des décisions automatisées sur des candidatures ou des dossiers clients. L'article 12.1 de la Loi 25 ne s'applique qu'à la seconde, mais une politique interne devrait couvrir les deux.
• ❌ Migration cloud sans ajustement de la politique de confidentialité — quand une organisation passe d'un hébergement local à Microsoft 365 ou AWS, sa politique de confidentialité doit être mise à jour pour mentionner les sous-traitants et les transferts.

L'erreur stratégique sous-jacente : traiter le cloud et l'IA comme des décisions purement techniques. Ce sont des décisions juridiques et organisationnelles au moins autant que techniques — et c'est cette dimension qui est souvent sous-estimée.