ServicesÀ proposProjetsBlogContact
English version(514) 567-5763info@vpourdesign.com
Blog · Conformité · Intelligence artificielle

Loi 25 et intelligence artificielle : ce que ça change pour votre entreprise

Loi 25 et intelligence artificielle au Québec
Article 06
Mai 2026

Par Vincent Lavoie

06

Depuis quelques semaines, la conversation est partout : la Commission des droits de la personne du Québec rappelle les balises éthiques de l'IA, et La Presse titrait le 1ermai 2026 que « votre recours à l'IA au boulot pourrait être illégal ». La question n'est plus de savoir si la Loi 25 s'applique à l'intelligence artificielle — elle s'applique déjà.

La bonne nouvelle : la Loi 25 n'interdit pas l'IA. Elle exige qu'on l'utilise correctement. Chez V pour Design, on travaille avec l'IA depuis longtemps, et notre cadre de travail a été bâti pour respecter ces obligations sans freiner la livraison. Voici ce que ça veut dire concrètement pour vous.

Le rappel rapide

La Loi 25 (anciennement projet de loi 64) modernise les règles québécoises sur la protection des renseignements personnels. En vigueur progressivement depuis 2022, elle impose à toute organisation qui traite des données de personnes au Québec un cadre clair : consentement, transparence, évaluations d'impact, transferts contrôlés. L'IA n'est pas exclue — elle est explicitement visée quand elle traite des renseignements personnels.

La Loi 25 n'est pas un obstacle à l'IA. C'est un standard de métier — et un avantage pour les entreprises qui le respectent.

Ce que la Loi 25 exige quand l'IA entre en jeu

Cinq obligations reviennent constamment dans les projets web, marketing et automatisation. Voici comment elles se traduisent chez nous.

ExigenceCe que dit la loiCe qu'on fait
Évaluation des facteurs vie privée (EFVP)Obligatoire avant tout projet utilisant l'IA, le profilage ou un transfert de données hors Québec.Réalisée systématiquement avant chaque mandat impliquant des données client.
Consentement expliciteExigé pour la collecte, l'usage et la communication de renseignements personnels.Mécanismes de consentement intégrés dès la conception (formulaires, cookies, infolettres).
Transparence sur les décisions automatiséesL'utilisateur doit savoir quand une décision le concernant est prise par un algorithme.Aucune décision client automatisée sans information claire et possibilité de révision humaine.
Information sur les transferts hors QuébecArticle 17 : informer les personnes concernées et évaluer les protections offertes.Cartographie complète des outils utilisés, juridiction par juridiction, documentée par mandat.
Responsable de la protection des renseignements personnelsToute organisation doit en désigner un.Rôle assumé chez V pour Design pour ses propres opérations et accompagnement client.

Le vrai risque : le « Shadow AI »

Selon des données récentes citées par La Presse et la Cloud Security Alliance, près de 82 %des employés utilisent l'IA au travail sans en parler à leur employeur. Une présentation générée dans ChatGPT à partir de notes client. Un courriel reformulé dans un outil gratuit. Un fichier client chargé dans Gemini pour gagner du temps.

C'est ce qu'on appelle le Shadow AI. Et c'est là que la majorité des entorses à la Loi 25 se produisent — pas par mauvaise foi, mais par habitude.

82%
d'employés utilisent l'IA

Souvent sans en informer leur employeur ni leurs clients (Cloud Security Alliance, 2026).

93%
y entrent des données de l'entreprise

Selon une étude Kiteworks citée dans la presse en 2026.

25M$
d'amende potentielle

Plafond pénal prévu par la Loi 25, ou 4 % du chiffre d'affaires mondial.

* Sources : La Presse, Commission d'accès à l'information du Québec, Cloud Security Alliance.

Notre cadre de travail : pourquoi vous pouvez nous confier vos données

V pour Design n'est pas une agence qui « découvre » l'IA cette année. On l'intègre à nos processus depuis plusieurs années, dans un cadre conçu pour respecter la Loi 25 dès la conception. Concrètement :

  • Ententes signées avant tout début de mandat. Mandat écrit, clauses de confidentialité, et clauses spécifiques sur l'usage de l'IA. Aucune donnée client n'est traitée sans contrat.
  • Outils d'IA professionnels uniquement. Pas de comptes gratuits, pas de prompts publics. Les services utilisés offrent des ententes de traitement des données et des engagements de non-utilisation pour l'entraînement.
  • Aucun renseignement personnel identifiable dans un prompt. Les données sensibles sont anonymisées ou traitées dans des environnements isolés. C'est une règle interne, pas une suggestion.
  • Documentation des transferts hors Québec. Quand un outil traite des données à l'extérieur de la province, on le sait, on l'évalue, et on l'explique au client.
  • Révision humaine systématique. L'IA propose, on décide. Aucun livrable client n'est mis en ligne sans relecture humaine.

Risqué vs conforme : la différence concrète

Les mêmes outils d'IA peuvent être une bombe juridique ou un actif stratégique. Tout dépend du cadre. Voici les quatre situations qu'on rencontre le plus souvent.

SituationRisquéConforme — notre approche
Outils d'IA grand public (gratuits, comptes personnels)Données envoyées hors Québec sans contrat, sans EFVP, sans consentement.Outils professionnels avec entente de traitement, journalisation et clauses de confidentialité.
Génération de contenu avec données clients réellesRenseignements personnels copiés-collés dans un prompt public.Données anonymisées ou environnements isolés, jamais d'informations identifiables dans un prompt.
Automatisation marketing (segmentation, scoring)Décisions automatisées sans encadrement ni information aux personnes concernées.Règles documentées, supervision humaine, droit de révision communiqué.
Sous-traitance d'agence ou pigistesAucune entente écrite, aucune clause sur l'IA ou la confidentialité.Entente de mandat signée, clauses IA spécifiques, NDA si requis.

Continuer à livrer, sans risque juridique

La Loi 25 n'a pas ralenti notre cadence. Au contraire : elle a clarifié nos processus et rassuré nos clients. Voici les types de mandats qu'on continue de livrer pleinement, en respectant la loi :

  • Sites web et refontes : conception assistée par IA, optimisation SEO, structure de contenu — sans jamais exposer les données client.
  • Marketing numérique : production publicitaire, infolettres, segmentation — avec consentement clair et mécanismes de retrait fonctionnels.
  • Automatisation : intégration de chatbots, formulaires intelligents, scoring — toujours encadrés par une supervision humaine.
  • Production de contenu : textes, visuels, vidéos — avec un workflow qui respecte les droits des personnes et la propriété intellectuelle.

Autrement dit : on n'a rien arrêté. On a simplement structuré ce qu'on faisait déjà pour que la Loi 25 devienne un argument de vente plutôt qu'une zone grise.

Questions fréquentes

Les questions qu'on reçoit le plus souvent en ce moment, et nos réponses directes.

01Est-ce que la Loi 25 interdit l'intelligence artificielle au Québec?+

Non. La Loi 25 n'interdit pas l'IA. Elle encadre l'usage des renseignements personnels — y compris quand ces renseignements transitent par un système d'intelligence artificielle. Une entreprise qui structure ses processus correctement peut continuer à utiliser l'IA et même en tirer un avantage concurrentiel.

02Mon agence utilise ChatGPT pour rédiger mes textes — est-ce légal?+

Ça dépend de ce qui est envoyé dans le prompt. Si l'agence utilise un compte gratuit et y copie-colle des données clients identifiables, il y a un problème. Chez V pour Design, les prompts ne contiennent jamais de renseignements personnels identifiables, et les outils d'IA professionnels que nous utilisons sont sous entente écrite.

03Qu'est-ce qu'une évaluation des facteurs vie privée (EFVP)?+

C'est un exercice obligatoire prévu à la Loi 25 : avant de lancer un projet impliquant des renseignements personnels — surtout en IA — l'organisation documente les risques, les mesures de protection et les options envisagées. C'est devenu un standard de marché, pas juste une obligation légale.

04Qu'est-ce que le « Shadow AI » et pourquoi c'est un enjeu?+

Le Shadow AI, c'est l'usage clandestin de l'IA par les employés — sans que l'employeur ou les TI le sachent. Selon plusieurs études, plus de 80 % des employés y ont recours. Le risque : des données confidentielles transitent par des outils non contractés. Une bonne politique interne et des outils approuvés règlent une grande partie du problème.

05Combien peuvent atteindre les sanctions sous la Loi 25?+

Les amendes administratives peuvent atteindre 10 millions $ ou 2 % du chiffre d'affaires mondial. Les sanctions pénales montent jusqu'à 25 millions $ ou 4 % du chiffre d'affaires. C'est sérieux, mais ça vise d'abord les organisations qui n'ont rien mis en place.

Prochaines étapes

Vous utilisez déjà l'IA dans votre entreprise, ou vous voulez l'intégrer correctement ? On peut vous accompagner sur trois fronts : cartographier vos usages actuels, mettre en place un cadre conforme à la Loi 25, et continuer à livrer des résultats web et marketing au même rythme.

Vous voulez utiliser l'IA dans votre entreprise — sans entorse à la Loi 25 ?

On commence par une discussion gratuite. On regarde vos outils actuels, on identifie les zones à risque, et on vous propose un cadre simple, signé, qui vous permet de continuer à livrer sans inquiétude juridique.

Réserver une discussion confidentielle →

Avis : cet article est de nature informative et ne constitue pas un avis juridique. Pour une analyse formelle de votre conformité à la Loi 25, consultez un conseiller juridique spécialisé.

← Retour au blog