Intégration de l'IA · Module 4 · Exigences légales · Articles 3.3, 12.1
Évaluer un outil d'IA avant adoption :
les exigences de la Loi 25
Avant de déployer une IA qui touchera des renseignements personnels, la Loi 25 demande d'évaluer le projet (EFVP, art. 3.3) et d'encadrer toute décision prise sans humain (art. 12.1). S'ajoute l'enjeu des biais. Évaluer avant, c'est éviter de corriger après.
Contenu informatif. Ne constitue pas un avis juridique.
Ce que vous devez retenir — version dirigeant
- Adopter une IA traitant des renseignements personnels = projet soumis à l'EFVP (art. 3.3).
- Une décision prise sans humain à propos d'une personne déclenche l'article 12.1.
- Les biais et l'inexactitude sont des risques à documenter avant le déploiement.
- L'évaluation se fait avant l'adoption — la corriger après coûte toujours plus cher.
Le contexte légal
Adopter un outil d'IA, ce n'est pas seulement choisir un logiciel : c'est mettre en place un traitement de renseignements personnels. La Loi 25 demande de l'évaluer avant de le lancer, surtout quand il peut influencer des décisions touchant des personnes. Cette évaluation préalable est le cœur de la conformité d'un projet d'IA.
Deux articles la structurent : l'EFVP des projets de systèmes d'information (art. 3.3) et l'encadrement des décisions automatisées (art. 12.1). À cela s'ajoute la maîtrise des risques propres à l'IA — dont les biais.
Ce que ça implique pour votre organisation
- Si l'EFVP n'est pas faite, l'adoption se fait en manquement à l'article 3.3.
- Si une IA décide seule sans que la personne puisse être informée et obtenir une révision, l'article 12.1 n'est pas respecté.
- Si les biais ne sont pas évalués, des décisions inexactes ou discriminatoires passent inaperçues — jusqu'à la plainte.
Ce que ça signifie concrètement pour vous
Si un outil d'IA est déployé sans évaluation préalable :
- vous ne pouvez pas démontrer que les risques pour les personnes ont été pesés;
- une décision défavorable rendue par l'outil expose l'organisation à une contestation fondée;
- corriger un biais après coup suppose souvent de revoir tout le déploiement.
Une EFVP faite après l'incident arrive toujours trop tard pour ce qu'elle devait prévenir.
Définition : EFVP et décision automatisée
L'EFVP (évaluation des facteurs relatifs à la vie privée) est une analyse, faite avant un projet, des risques qu'il fait peser sur la vie privée et des mesures pour les réduire. Une décision automatisée est une décision fondée exclusivement sur un traitement automatisé, sans intervention humaine.
Cadre juridique applicable
Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25.
Article 3.3 — l'EFVP des projets de systèmes d'information
Tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels exige une EFVP. L'adoption d'un outil d'IA qui traitera ces données entre dans cette catégorie : on évalue la sensibilité, les finalités, les risques et les mesures de protection avant le déploiement.
Article 12.1 — les décisions automatisées
Quand une décision est fondée exclusivement sur un traitement automatisé, la personne doit en être informée, pouvoir présenter ses observations et demander une révision par une personne. Si l'IA évaluée peut produire ce type de décision (tri de candidatures, scoring, refus), ces droits doivent être prévus dès l'évaluation.
Les biais — un risque à documenter
Un modèle peut reproduire des biais menant à des décisions inexactes ou discriminatoires. Évaluer un outil, c'est aussi documenter ce risque et prévoir la supervision humaine, la possibilité de correction et le suivi de l'exactitude des résultats.
Normes internationales alignées — ISO/IEC 23894, 42005, 42001
ISO/IEC 23894:2023 structure la gestion des risques propres à l'IA; ISO/IEC 42005:2025 cadre l'évaluation d'impact d'un système d'IA (sept dimensions, dont équité et vie privée); ISO/IEC 42001:2023 en fait un processus de management. Une évaluation intégrée couvre à la fois ces normes et l'EFVP de la Loi 25.
Les obligations avant l'adoption
- Déterminer si le projet déclenche une EFVP (art. 3.3) et la réaliser à la bonne ampleur.
- Vérifier si l'outil peut produire une décision automatisée (art. 12.1) et prévoir les droits associés.
- Documenter les risques de biais et les mesures de supervision.
- Conserver la trace de l'évaluation — c'est elle qui démontre la diligence.
Exemples concrets pour une PME
EFVP (art. 3.3) → Adopter un CRM doté de recommandations IA sur des données clients : une EFVP proportionnée évalue les risques avant la mise en service.
Décision automatisée (art. 12.1) → Un outil qui présélectionne des CV : les candidats doivent pouvoir être informés et demander une révision humaine.
Biais → Un assistant qui rédige des évaluations d'employés : on vérifie qu'il ne reproduit pas de formulations discriminatoires, avec un humain qui valide.
Erreur stratégique fréquente
Beaucoup d'organisations déploient l'outil d'abord et « verront pour la conformité » si un problème survient.
Résultat : une EFVP rétroactive bâclée, des décisions déjà rendues sans droit de révision, et des biais découverts par une plainte plutôt que par une évaluation.
Évaluer un outil après l'avoir déployé, c'est constater les risques au lieu de les prévenir.
Obligation légale ou bonne pratique?
Obligation légale
- EFVP avant le projet (art. 3.3)
- Information et révision des décisions automatisées (art. 12.1)
- Exactitude des renseignements utilisés
- Trace documentée de l'évaluation
Bonne pratique (recommandée)
- Évaluation intégrée EFVP + ISO 42005
- Gestion des risques selon ISO 23894
- Test des biais avant déploiement
- Humain dans la boucle pour les décisions
La diligence attendue : pouvoir montrer que les risques pour les personnes ont été évalués avant la mise en service.
Risques en cas de non-conformité
Sanctions juridiques
Adoption sans EFVP, décisions automatisées sans droit de révision, biais non évalués : autant de manquements exposant aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), aux ordonnances de la CAI et aux plaintes des personnes touchées.
Coûts opérationnels
Une EFVP à refaire en urgence, un outil à reconfigurer ou à retirer, des décisions à reprendre, et la perte de confiance des personnes affectées par un résultat biaisé.
Une démarche structurée réduit ces coûts — elle ne les crée pas.
Concrètement pour une PME
Une adoption sans évaluation, c'est :
- des décisions déjà rendues qu'il faut justifier après coup;
- une évaluation à reconstruire dans l'urgence d'une plainte;
- un outil parfois à retirer après l'avoir intégré aux processus.
Le coût vient de l'évaluation sautée — pas de l'évaluation elle-même.
Articulation avec la gouvernance de l'IA
L'évaluation préalable relie le cadrage des besoins (module 1), le choix d'hébergement (module 3) et l'entente fournisseur (module 5) en un dossier de décision unique. Elle alimente la politique d'usage (module 6) et fonde la surveillance (module 9), qui maintient l'EFVP à jour dans le temps.
Questions fréquentes
Quand l'EFVP devient-elle obligatoire pour un projet d'IA?
Avant tout projet de système d'information traitant des renseignements personnels (art. 3.3). Adopter un outil d'IA en fait partie : l'EFVP précède l'adoption.
Qu'est-ce qu'une décision automatisée (art. 12.1)?
Une décision prise exclusivement par traitement automatisé, sans humain. La personne doit être informée et pouvoir demander une révision.
Les biais sont-ils un enjeu de conformité?
Oui : ils touchent l'exactitude et les droits des personnes. Ils se documentent et se mitigent dès l'évaluation (logique d'ISO/IEC 23894).
Une PME doit-elle évaluer un simple assistant?
L'ampleur est proportionnée au risque : note brève pour un usage anodin, EFVP structurée pour un usage à fort impact.
Qui doit faire l'évaluation?
L'organisation, sous la supervision du responsable de la protection des renseignements personnels — le fournisseur ne s'y substitue pas.
🎯 Diagnostic rapide
- Avez-vous fait une EFVP avant d'adopter vos outils d'IA traitant des données?
- Un de vos outils peut-il prendre une décision seul à propos d'une personne?
- Avez-vous documenté le risque de biais et la supervision humaine?
Si « non » à une seule, l'adoption s'est probablement faite sans le filet que la loi exige.
À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.
Diagnostic stratégique Loi 25 →Concrètement
- L'obligation d'évaluer existe dès qu'un projet d'IA touche des renseignements personnels.
- Mais sans évaluation écrite avant le déploiement, la diligence ne peut pas être démontrée.
- Ce qui transforme un outil utile en risque juridique le jour d'une décision contestée.
La formation Intégrer l'IA de façon souveraine intègre cette évaluation au parcours : on évalue le projet, les décisions et les biais avant d'adopter, pour déployer en confiance.
En résumé — évaluer un outil d'IA selon la Loi 25
- EFVP obligatoire avant un projet d'IA traitant des renseignements personnels (art. 3.3).
- Décision prise sans humain → information, observations et révision (art. 12.1).
- Les biais se documentent et se mitigent avant le déploiement (ISO 23894, 42005).
- L'évaluation se fait avant l'adoption — et se conserve pour démontrer la diligence.
📘 Version pratique du même sujet
Comment mener concrètement l'évaluation d'un outil d'IA (grille, biais, supervision), démo sur l'électricien : voir le guide.
Guide pratique — Évaluer avant d'adopter →Adopter l'IA en évaluant les risques d'abord
La formation Intégrer l'IA de façon souveraine apprend à évaluer un projet d'IA — EFVP, décisions automatisées, biais — avant de le déployer, en restant conforme à la Loi 25.
← Retour au plan de la formation
Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.