« On utilise un serveur canadien, donc on est conforme. » C’est la phrase qu’on entend le plus souvent quand on parle d’IA et de Loi 25. C’est aussi la plus fausse.
La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) ne se limite pas à la résidence des données. Elle change la façon dont vous devez gérer chaque projet IA qui touche à du renseignement personnel. Voici les quatre angles morts.
1. Le consentement explicite
Si votre solution IA traite des renseignements personnels (courriels clients, dossiers médicaux, transcriptions d’appels), vous devez obtenir un consentement clair, libre et éclairé pour cet usage spécifique. Un consentement général à votre politique de confidentialité ne couvre pas l’IA. Il faut nommer la chose : « Nous utilisons un modèle de langue pour catégoriser vos demandes. »
2. L’évaluation des facteurs relatifs à la vie privée
Pour tout projet à risque élevé (et la plupart des projets IA y tombent), une EFVP est exigée AVANT le déploiement. Ce n’est pas une formalité : c’est une analyse documentée des risques, des mesures de mitigation et des décisions prises. Si vous êtes audité et que cette analyse n’existe pas, c’est un problème.
3. Le droit à l’effacement vs les modèles entraînés
Si vous entraînez ou affinez un modèle avec des données clients, et qu’un client demande l’effacement de ses données, vous devez aussi retirer l’influence de ses données du modèle. En pratique, ça veut souvent dire réentraîner. Mieux vaut concevoir avec cette contrainte dès le départ.
4. Le rôle du RPRP
Le Responsable de la protection des renseignements personnels n’est pas juste un titre sur un organigramme. Il doit être consulté sur les projets IA, et son nom doit apparaître publiquement (typiquement dans votre politique de confidentialité).
Ce qu’il faut faire
Avant de lancer un projet IA qui touche aux renseignements personnels : cartographier les données traitées, conduire une EFVP, mettre à jour les avis de consentement, documenter la chaîne décisionnelle, et impliquer le RPRP. C’est moins lourd qu’il n’y paraît si c’est fait dès la phase de diagnostic. C’est ingérable si c’est ajouté à la fin.