Intégration de l'IA · Module 3 · Exigences légales · Articles 17, 18.3, 3.3, 10
Hébergement de l'IA et transferts
hors Québec : les exigences de la Loi 25
Dès qu'un outil d'IA traite des renseignements personnels sur des serveurs hors Québec, l'article 17 de la Loi 25 impose une évaluation préalable. C'est ce qui fait du choix d'hébergement une décision de conformité — et de souveraineté — avant d'être une décision technique.
Contenu informatif. Ne constitue pas un avis juridique.
Ce que vous devez retenir — version dirigeant
- IA hébergée hors Québec + renseignements personnels → évaluation de transfert (art. 17).
- L'évaluation tient compte du régime juridique du pays de destination, pas que de l'emplacement.
- Hors Québec = aussi le reste du Canada et l'Europe — pas seulement les États-Unis.
- Une IA locale (traitement au Québec) supprime l'obligation à la source.
Le contexte légal
Faire « tourner » une IA, c'est traiter des données quelque part. Quand ce « quelque part » est hors Québec et que des renseignements personnels sont en jeu, la Loi 25 encadre le transfert avant qu'il ait lieu. Le choix d'hébergement n'est donc pas un détail d'infrastructure : c'est la décision qui détermine à quelles lois vos données seront soumises, et quelles obligations vous portez.
Quatre articles se croisent ici : l'évaluation de transfert (art. 17), l'entente avec le fournisseur (art. 18.3), l'EFVP du projet (art. 3.3) et les mesures de sécurité (art. 10).
Ce que ça implique pour votre organisation
- Si vous envoyez des données à une IA hors Québec sans évaluation, le transfert est un manquement (art. 17).
- Si vous vous fiez à la seule résidence des données, vous ignorez le régime juridique du fournisseur.
- Si rien n'est documenté, vous ne pouvez pas démontrer qu'une protection adéquate a été vérifiée.
Ce que ça signifie concrètement pour vous
Si vos employés collent des dossiers clients dans une IA grand public :
- des renseignements personnels quittent le Québec sans qu'aucune évaluation n'ait été faite;
- ces données tombent sous des lois étrangères qui peuvent en exiger l'accès;
- comme responsable, vous ne pouvez pas démontrer que le transfert était encadré.
Le transfert a déjà eu lieu au premier copier-coller. L'évaluation, elle, n'a jamais été faite.
Définition : transfert hors Québec et protection adéquate
Un transfert hors Québec, c'est toute communication de renseignements personnels à une personne ou un système qui les traitera à l'extérieur du Québec — peu importe le pays. La loi ne l'interdit pas : elle exige d'évaluer au préalable que la protection y sera adéquate, et d'encadrer le transfert par une entente.
Cadre juridique applicable
Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25.
Article 17 — évaluation avant transfert hors Québec
Avant de communiquer un renseignement personnel hors Québec, l'organisation doit réaliser une évaluation considérant la sensibilité, la finalité, les mesures de protection (y compris contractuelles) et le régime juridique applicable au lieu de destination. Le transfert n'est permis que si l'évaluation démontre une protection adéquate, et fait l'objet d'une entente écrite.
Article 18.3 — entente avec le fournisseur
Confier le traitement à un fournisseur d'IA est une communication à un sous-traitant : le contrat doit préciser les mesures de protection, l'usage limité à la prestation et la non-conservation après la fin du service. Détail au module 5 (DPA).
Article 3.3 — EFVP du projet
Adopter un nouvel outil d'IA traitant des renseignements personnels relève d'un projet de système d'information : l'EFVP (art. 3.3) s'applique, et l'évaluation du transfert s'y intègre naturellement.
Article 10 — sécurité raisonnable
Quel que soit l'hébergement, des mesures de sécurité raisonnables sont exigées compte tenu de la sensibilité des données. Garder le traitement au Québec, voire en local, est une mesure de réduction de risque directe.
Souveraineté — au-delà de l'emplacement
Choisir une « région canadienne » chez un fournisseur américain ne suffit pas : une entreprise assujettie au droit américain (Cloud Act, FISA) peut être contrainte de donner accès aux données, même stockées au Canada. La nationalité du fournisseur compte autant que l'emplacement des serveurs — un facteur que l'évaluation de l'article 17 doit peser.
Normes internationales alignées — ISO/IEC 27001 et 42001
ISO/IEC 27001 (sécurité de l'information) structure les mesures attendues par l'article 10; ISO/IEC 42001:2023 (management de l'IA) demande d'évaluer les risques liés au déploiement, dont l'hébergement. S'y aligner outille la même rigueur que la loi attend.
Les obligations liées à l'hébergement
- Identifier, pour chaque usage, où les données seront traitées et par qui.
- Réaliser l'évaluation de transfert (art. 17) avant tout traitement hors Québec.
- Signer une entente conforme avec le fournisseur (art. 18.3).
- Mettre en place des mesures de sécurité proportionnées (art. 10).
- Documenter le choix d'hébergement poste par poste.
Exemples concrets pour une PME
Transfert (art. 17) → Résumer des comptes rendus nominatifs avec une IA hébergée aux États-Unis : évaluation de transfert et entente requises avant le premier envoi.
Souveraineté → Choisir « région Canada » d'un grand fournisseur n'efface pas le Cloud Act : la firme reste assujettie à des demandes d'accès étrangères, à intégrer dans l'évaluation.
IA locale (art. 10) → Faire tourner un modèle sur un serveur au Québec pour les dossiers sensibles : rien ne sort, pas de transfert à évaluer, sécurité maîtrisée.
Erreur stratégique fréquente
Beaucoup d'organisations choisissent un outil d'IA pour ses fonctions, sans jamais se demander où il traite les données.
Résultat : des renseignements personnels transférés hors Québec en continu, sans évaluation ni entente — un manquement permanent, invisible jusqu'à la plainte.
Un outil « pratique » dont on ignore où vivent les données est un transfert non évalué qui s'ignore.
Obligation légale ou bonne pratique?
Obligation légale
- EFVP avant transfert hors Québec (art. 17)
- Entente écrite avec le fournisseur (art. 18.3)
- Protection adéquate démontrée
- Mesures de sécurité raisonnables (art. 10)
Bonne pratique (recommandée)
- Traiter le sensible en local (rien ne sort)
- Réserver le cloud encadré au peu sensible
- À valeur égale, préférer un hébergement au Québec
- Documenter le choix poste par poste
La diligence attendue : pouvoir montrer que chaque flux de données hors Québec a été évalué et encadré.
Risques en cas de non-conformité
Sanctions juridiques
Un transfert sans évaluation ni encadrement est un manquement direct à l'article 17, exposant aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et aux plaintes.
Coûts opérationnels et souveraineté
Au-delà des sanctions : des données soumises à des lois étrangères sans l'avoir choisi, la difficulté de récupérer ou supprimer ce qui a été envoyé, et la perte de confiance des clients si la circulation de leurs données est découverte après coup.
Une démarche structurée réduit ces coûts — elle ne les crée pas.
Concrètement pour une PME
Un hébergement choisi sans réflexe Loi 25, c'est :
- des transferts hors Québec à évaluer rétroactivement, dossier par dossier;
- des données hors de portée juridique de l'organisation;
- une exposition que le dirigeant porte personnellement.
Pour le sensible, l'IA locale ne coûte pas plus cher que la conformité — elle la rend inutile en supprimant le transfert.
Articulation avec la gouvernance de l'IA
Le choix d'hébergement conditionne l'entente fournisseur (module 5), l'EFVP (module 4) et la politique d'usage (module 6). Une cartographie « quel usage → quel hébergement → quelles données » devient la colonne vertébrale de la conformité d'un projet d'IA.
Questions fréquentes
Utiliser une IA américaine viole-t-il la Loi 25?
Pas en soi, mais ça déclenche l'article 17 : évaluation préalable du transfert, encadrement contractuel et mesures de protection. Sans cela, c'est un manquement.
L'hébergement en Europe ou au Canada règle-t-il le problème?
L'article 17 vise tout transfert hors Québec, Canada et Europe inclus. Seul un traitement qui reste au Québec y échappe.
Choisir une région canadienne chez un fournisseur américain suffit-il?
Non : le Cloud Act et la FISA peuvent contraindre une firme américaine à donner accès aux données même hébergées au Canada. La nationalité du fournisseur compte.
L'IA locale supprime-t-elle l'obligation?
Oui pour l'article 17 (pas de transfert), mais la sécurité (art. 10), la minimisation (art. 5) et l'EFVP (art. 3.3) demeurent.
Faut-il une entente écrite avec le fournisseur?
Oui (art. 18.3) dès qu'il traite des renseignements personnels — c'est l'objet du module 5.
🎯 Diagnostic rapide
- Savez-vous, pour chaque usage d'IA, où les données sont traitées?
- Avez-vous fait l'évaluation de transfert pour les usages hors Québec?
- Vos usages sensibles passent-ils par une option qui garde les données au Québec?
Si « non » à une seule, des renseignements personnels circulent probablement hors Québec sans évaluation.
À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.
Diagnostic stratégique Loi 25 →Concrètement
- L'obligation d'évaluer un transfert existe dès qu'une donnée personnelle sort du Québec, qu'on l'ait remarqué ou non.
- Mais sans cartographie des hébergements, ces transferts restent invisibles — jusqu'à la plainte.
- Ce qui transforme un choix d'outil en exposition juridique et de souveraineté.
La formation Intégrer l'IA de façon souveraine apprend à choisir l'hébergement poste par poste — local pour le sensible, cloud encadré pour le reste — pour que chaque flux soit maîtrisé.
En résumé — hébergement de l'IA selon la Loi 25
- Tout traitement par une IA hors Québec exige une évaluation préalable (art. 17).
- La nationalité du fournisseur compte autant que l'emplacement (Cloud Act, FISA).
- Entente conforme (art. 18.3) et sécurité raisonnable (art. 10) dans tous les cas.
- L'IA locale supprime le transfert — donc l'obligation — à la source.
📘 Version pratique du même sujet
L'approche hybride poste par poste (cloud encadré / local), classer la sensibilité, démo sur l'électricien : voir le guide.
Guide pratique — Modèles et hébergement →Garder le contrôle de vos données quand vous adoptez l'IA
La formation Intégrer l'IA de façon souveraine apprend à choisir l'hébergement de chaque usage en restant conforme à la Loi 25 — du cloud encadré à l'IA locale.
← Retour au plan de la formation
Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.