La Loi 25 du Québec, en vigueur depuis septembre 2023, encadre la collecte et le traitement de renseignements personnels. Pour une entreprise qui déploie une IA conversationnelle (réceptionniste, chatbot, agent vocal), six obligations méritent une attention particulière.
1. Désigner une personne responsable
Toute entreprise qui collecte des renseignements personnels doit désigner une personne responsable de la protection des renseignements personnels. Son nom et ses coordonnées doivent être publiés sur le site web. Chez Boréal, c'est notre directeur des opérations, joignable à privacy@borealtech.solutions.
2. Politique de confidentialité accessible
Une politique en français, claire, indiquant : ce qui est collecté, pourquoi, combien de temps c'est conservé, à qui c'est partagé. Pour une IA conversationnelle, ça inclut les transcriptions d'appels, les enregistrements audio le cas échéant, les métadonnées (heure, durée, numéro entrant).
3. Consentement éclairé
Le consentement doit être libre, éclairé et donné à des fins spécifiques. Concrètement : un message d'introduction (« Cet appel peut être analysé pour améliorer le service ») au début de l'appel, ou une politique liée dans le SMS de confirmation.
4. Évaluation des facteurs relatifs à la vie privée (EFVP)
Pour tout nouveau projet impliquant des renseignements personnels, une EFVP doit être effectuée. Pour Luna, on accompagne nos clients dans cette évaluation : la documentation est livrée avec le setup.
5. Hébergement et transferts
Les renseignements peuvent être hébergés hors Québec, mais des mesures équivalentes de protection doivent être démontrées. Luna : hébergement primaire au Canada, transcriptions chiffrées AES-256, aucun transfert vers les États-Unis ou des juridictions sans accord de protection.
6. Droits de la personne concernée
Tout client peut demander : accès à ses données, rectification, retrait de son consentement, portabilité (depuis septembre 2024). Le délai de réponse maximum est de 30 jours. Luna offre une interface admin où ces requêtes se traitent en quelques clics.
Sanctions
Les amendes prévues sont substantielles : jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial, selon le plus élevé. Pour une PME, ça reste rare, mais la Commission d'accès à l'information du Québec a déjà émis des décisions publiques en 2024-2025.
En pratique : les obligations Loi 25 sont raisonnables et bien documentées. Choisir un partenaire (comme Boréal) qui les a déjà internalisées simplifie énormément la mise en conformité.