Au Québec, toute organisation privée qui laisse un système d'intelligence artificielle (IA) trancher une décision concernant une personne, sans intervention humaine réelle, doit l'en informer et lui offrir un recours. Cette obligation découle de l'article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), modifiée par la Loi 25, en vigueur depuis le 22 septembre 2023. À trois semaines de l'entrée en application des règles de transparence de l'AI Act européen, le 2 août 2026, ce cadre québécois mérite un rappel : il s'applique déjà, ici, à de nombreux usages courants de l'IA.
Que dit l'article 12.1 de la Loi 25 sur les décisions automatisées
L'article 12.1 vise les décisions fondées « exclusivement » sur un traitement automatisé de renseignements personnels. Le mot est déterminant : la disposition s'active lorsqu'aucune intervention humaine significative n'a lieu avant que la décision ne devienne définitive. Un algorithme qui approuve ou refuse une demande de crédit, un modèle qui filtre des candidatures à l'embauche ou un outil qui module une prime d'assurance à partir de données personnelles entrent dans ce périmètre dès lors que la machine décide seule.
Lorsque c'est le cas, l'organisation doit informer la personne concernée qu'elle fait l'objet d'une telle décision, au plus tard au moment où elle la lui communique. Ce n'est pas une formalité optionnelle : c'est une condition de licéité du traitement.
Quels droits la personne concernée peut-elle exercer
La Loi 25 ne se limite pas à un devoir d'information. Sur demande de la personne visée, l'organisation doit lui donner accès à un ensemble d'éléments et lui ouvrir une voie de contestation. Concrètement, la personne peut obtenir et faire valoir ce qui suit :
- Les renseignements personnels utilisés pour rendre la décision.
- Les raisons ainsi que les principaux facteurs et paramètres ayant mené à la décision.
- Le droit de faire rectifier les renseignements personnels utilisés, s'ils sont inexacts.
- La possibilité de présenter ses observations à un membre du personnel de l'organisation en mesure de réviser la décision.
Ce dernier point est central : la Loi 25 garantit un droit à une révision humaine. Une organisation ne peut pas se retrancher derrière l'opacité d'un modèle pour refuser d'expliquer ou de reconsidérer une décision. L'explicabilité cesse d'être une bonne pratique pour devenir une obligation légale.
Pourquoi ce rappel tombe à point en juillet 2026
Le 2 août 2026, les obligations de transparence de l'AI Act de l'Union européenne (article 50) deviennent applicables : information de l'utilisateur qu'il interagit avec une IA, étiquetage des contenus synthétiques et devoirs afférents. Le calendrier européen concentre l'attention des équipes de conformité, mais il ne doit pas éclipser un fait simple : le Québec dispose déjà, depuis près de trois ans, d'un régime contraignant sur les décisions automatisées.
Pour les entreprises québécoises actives sur le marché européen, la conséquence est une double conformité. L'AI Act impose des devoirs de transparence liés à la mise sur le marché d'un système d'IA, tandis que la Loi 25 impose des devoirs liés au traitement de renseignements personnels et aux décisions qui en découlent. Les deux régimes se superposent sans se substituer l'un à l'autre.
Quelles obligations en amont pour les systèmes d'IA
Avant même de déployer un modèle décisionnel, la Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet d'acquisition, de développement ou de refonte d'un système d'information qui recueille, utilise ou communique des renseignements personnels. Cette évaluation doit être proportionnée à la sensibilité des données, à la finalité du traitement, à la quantité d'informations en cause et à leur mode de diffusion.
Pour un système d'IA, l'EFVP est le moment naturel pour documenter la logique décisionnelle, cerner les risques de biais et prévoir les mesures de transparence exigées par l'article 12.1. Traiter ces deux obligations ensemble, en amont, évite d'avoir à reconstituer a posteriori une explicabilité que le modèle n'a pas été conçu pour fournir.
Que risque une organisation non conforme
La Commission d'accès à l'information (CAI) veille à l'application de la Loi 25 et dispose de pouvoirs d'enquête sur plainte comme de sa propre initiative. Le régime de sanctions est parmi les plus sévères au Canada : les sanctions administratives pécuniaires peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et les amendes pénales jusqu'à 25 M$ ou 4 % de ce chiffre d'affaires, selon la disposition en cause. Au-delà du montant, une décision automatisée mal encadrée expose l'organisation à un risque réputationnel et à des recours individuels.
L'enjeu n'est pas théorique. À mesure que l'IA générative et prédictive s'installe dans le recrutement, le crédit, l'assurance et la relation client, le nombre de décisions susceptibles de tomber sous l'article 12.1 augmente mécaniquement. Le cadre québécois, discret par rapport au bruit médiatique entourant l'AI Act, est celui qui s'applique en premier aux organisations d'ici.
Questions fréquentes
L'article 12.1 s'applique-t-il à toutes les décisions prises avec de l'IA ? Non. Il vise uniquement les décisions fondées exclusivement sur un traitement automatisé de renseignements personnels, c'est-à-dire sans intervention humaine significative. Dès qu'une personne examine réellement le dossier et peut infléchir le résultat avant qu'il ne devienne définitif, la décision n'est plus « exclusivement » automatisée.
Depuis quand cette obligation est-elle en vigueur ? Depuis le 22 septembre 2023, date d'entrée en vigueur de la majeure partie des modifications apportées par la Loi 25 à la LPRPSP, dont l'article 12.1.
Quelle est la différence avec l'AI Act européen ? La Loi 25 encadre le traitement de renseignements personnels et les décisions automatisées au Québec. L'AI Act encadre la mise sur le marché et l'usage de systèmes d'IA dans l'Union européenne, avec une classification par niveau de risque. Une entreprise québécoise active en Europe peut être assujettie aux deux.
Faut-il une évaluation formelle avant de déployer un système décisionnel ? Oui. La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels, proportionnée aux risques du projet.
Qui contrôle le respect de ces règles au Québec ? La Commission d'accès à l'information (CAI), qui peut enquêter, ordonner des mesures correctrices et imposer des sanctions administratives pécuniaires ou recommander des poursuites pénales.
Sources
- Commission d'accès à l'information du Québec, « Principaux changements apportés par la Loi 25 », https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/principaux-changements-loi-25
- Légis Québec, « Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1) », https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1
- Raymond Chabot Grant Thornton, « Loi 25 : l'enjeu des décisions automatisées », https://www.rcgt.com/fr/conseils/avis-d-experts/loi-25-enjeu-decisions-automatisees/
- BLG, « La LPRPSP : guide de conformité pour les organisations », février 2026, https://www.blg.com/fr/insights/2026/02/quebecs-private-sector-act-compliance-guide-for-organizations
- Commission européenne, « AI Act », Shaping Europe's digital future, https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai






