Retour au blog
Loi 2528 mars 20268 min

Loi 25 et IA : ce que les commerçants du Québec doivent savoir

Depuis septembre 2023, la Loi 25 encadre la collecte de renseignements personnels au Québec. Avec un assistant IA qui prend les appels, qu'est-ce qu'on doit respecter concrètement ?

Par Yassine Bourzik

La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur depuis septembre 2023. Elle s'applique à toutes les entreprises du Québec, quelle que soit leur taille — y compris votre salon, votre restaurant ou votre commerce de service.

Avec l'arrivée des assistants IA qui enregistrent, transcrivent et analysent les conversations avec vos clients, plusieurs commerçants se demandent : « est-ce que j'ai le droit ? ». La réponse courte : oui, à condition de respecter quelques règles claires.

Ce qui suit n'est pas un avis juridique, mais une synthèse pratique basée sur les textes officiels et notre expérience terrain avec les commerces de Montréal. Pour un cas complexe, consultez un avocat spécialisé.

Les 5 règles qui comptent vraiment

1. Informer avant de collecter

Quand votre IA vocale répond à un appel, elle collecte des renseignements personnels : nom, téléphone, parfois adresse, motif de visite, disponibilités. La Loi 25 exige que la personne soit informée au moment de la collecte — pas après.

En pratique, on ajoute au début de chaque appel une phrase courte du type : « Bonjour, je suis l'assistante virtuelle du salon X. Cet appel est traité par une intelligence artificielle et peut être enregistré pour améliorer notre service. Comment puis-je vous aider ? ». Ça coche trois cases : identification IA, finalité, consentement implicite par poursuite de la conversation.

2. Consentement au traitement

Le consentement doit être « manifeste, libre, éclairé et donné à des fins spécifiques ». Pour un appel où le client vous contacte volontairement pour prendre rendez-vous, le consentement est inféré dès qu'il continue la conversation après la phrase d'ouverture.

Attention : si votre IA appelle des prospects (outbound), les règles sont plus strictes. Là, vous devez avoir un consentement explicite préalable, sinon vous êtes en zone grise.

3. Limiter la collecte à l'essentiel

Principe fondamental : ne collectez que ce qui est nécessaire à la finalité annoncée. Si c'est pour réserver un rendez-vous chez le coiffeur, vous n'avez pas besoin de l'âge, du revenu ou du statut marital du client.

On configure systématiquement nos assistants pour ne demander que : nom, téléphone, service souhaité, créneau préféré. C'est tout.

4. Hébergement et transfert hors-Québec

La Loi 25 exige une évaluation préalable avant de transférer des renseignements personnels à l'extérieur du Québec. Si votre IA est hébergée aux États-Unis, vous devez faire cette évaluation et avoir des garanties contractuelles.

Chez FleuveIA, on héberge les données sensibles (logs d'appels, transcriptions, informations clients) au Canada. Les modèles de langage (LLM) peuvent passer par des fournisseurs américains, mais les données personnelles sont anonymisées ou pseudonymisées avant traitement quand c'est pertinent.

5. Durée de conservation et droit à l'effacement

Les données ne peuvent être conservées indéfiniment. Vous devez définir une durée de conservation et supprimer ensuite. Pour les enregistrements d'appels, 90 jours est une bonne référence — sauf si vous avez une raison précise (litige, rappel client).

Le client a aussi le droit de demander l'accès, la rectification ou l'effacement de ses données. Votre politique de confidentialité doit indiquer comment exercer ces droits.

Ce que vous devez mettre en place

Checklist Loi 25 pour un commerce qui utilise l'IA

Une politique de confidentialité accessible (site web + sur demande)
Un responsable de la protection des renseignements personnels nommé (même si c'est vous)
Une phrase d'ouverture IA sur tous les appels entrants
Un registre des incidents de confidentialité
Une évaluation des facteurs relatifs à la vie privée (EFVP) si transfert hors-Québec
Une durée de conservation claire pour chaque type de donnée

Les sanctions en cas de manquement

Les amendes peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial. Pour un commerce local, en pratique, les sanctions sont plus souvent des ordres de conformité ou des amendes administratives plus modestes. Mais la plainte d'un client auprès de la Commission d'accès à l'information (CAI) peut déclencher une enquête — et du temps perdu dont personne n'a besoin.

Notre approche chez FleuveIA

On a conçu notre service pour être conforme Loi 25 par défaut :

  • Phrase d'ouverture IA configurée automatiquement sur chaque appel
  • Hébergement des données d'appel au Canada
  • Durée de conservation configurable (par défaut 90 jours)
  • Politique de confidentialité clé en main pour votre site
  • Procédure documentée pour les demandes d'accès ou d'effacement
  • Chiffrement en transit et au repos

C'est inclus dans tous les forfaits. Vous n'avez pas à devenir juriste pour utiliser un assistant IA conforme.

Vous voulez voir comment on configure un assistant conforme Loi 25 pour votre commerce ? Réservez un appel découverte.

Parler à un expert

À lire aussi

Automatisation

7 tâches que vous faites tous les jours sans savoir qu'elles peuvent se faire toutes seules

Vous ne vous rendez même plus compte que vous les faites. Mais mises bout à bout, elles vous coûtent une journée de travail par semaine. Voici 7 tâches à déléguer — à un système, pas à quelqu'un.

Automatisation

Comment ne plus jamais oublier de relancer un devis

Vous envoyez un devis, puis plus rien. Vous ne relancez pas parce que vous ne voulez pas insister. Résultat : vous signez 40% des devis au lieu de 65%. Voici le système que nos clients utilisent.

Prêt à donner un assistant IA à votre commerce ?

Essai gratuit de 14 jours. Aucun engagement.

Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.