C’est tentant. Vraiment.
Un dossier à analyser, des notes de rencontre à structurer, une demande client à trier… et Claude ou ChatGPT qui attendent dans l’onglet d’à côté. On copie-colle, on obtient une réponse en dix secondes, et on passe à la suite.
Sauf que si ces données appartiennent à vos clients, vous venez peut-être de déclencher plusieurs obligations sous la loi 25 sans le savoir.
Cet article est le complément direct de notre guide sur la loi 25. On y explique concrètement ce qui se passe quand vous envoyez des renseignements personnels à un outil IA, et pourquoi le type de forfait que vous utilisez change tout à l’affaire.
⚠️ Comme pour notre guide sur la loi 25, cet article est de la vulgarisation et ne remplace pas un avis juridique. Pour votre situation spécifique, consultez un avocat spécialisé en protection des renseignements personnels au Québec.
Table of Contents
Pourquoi la loi 25 entre en jeu avec l’IA?
Quand vous collez des renseignements personnels de clients dans une fenêtre de clavardage IA, ces données quittent votre environnement. Elles transitent par des serveurs américains.
Et selon l’outil utilisé et le forfait choisi, elles peuvent être conservées pendant des mois, voire des années, ou même servir à entraîner les futurs modèles d’intelligence artificielle.
C’est là que la loi 25 entre en scène.
Tout transfert de renseignements personnels vers un tiers hors Québec déclenche une série d’obligations, peu importe si ce tiers s’appelle Anthropic (Claude), OpenAI (ChatGPT), Grok ou Gemini. Ces compagnies ont leurs serveurs aux États-Unis. 🇺🇲
Ces obligations s’appliquent dès le premier transfert de renseignement personnel :
- réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de transférer quoi que ce soit
- informer les personnes concernées que leurs données pourraient être communiquées à l’extérieur du Québec
- avoir une entente écrite avec le fournisseur qui démontre une protection adéquate des données
- rester responsable de ces données même après leur transfert
Si vous utilisez l’IA pour prendre des décisions automatisées sur vos clients (exemple : pour recruter des candidats à l’emploi, faire un tri des leads…), il y a encore davantage à considérer : transparence sur le processus, droit à la révision humaine, et bien plus.
ChatGPT : le détail qui change tout
La politique d’OpenAI est assez claire une fois qu’on la comprend. Le problème, c’est que beaucoup de gens l’appliquent à l’envers.
Compte gratuit et compte Plus (usage individuel)
Sur un compte ChatGPT gratuit ou Plus, vous êtes soumis aux conditions d’utilisation “consommateur”. Par défaut, OpenAI peut se servir de vos conversations pour améliorer ses modèles.
Vous pouvez désactiver cette option dans les paramètres (Paramètres > Contrôles des données > Améliorer le modèle pour tout le monde), mais ce n’est pas automatique et plusieurs utilisateurs ne le font jamais.
Plus important encore : il n’y a pas de Data Processing Agreement (DPA) disponible sur ces comptes. Autrement dit, aucun contrat entre votre entreprise et OpenAI précisant les conditions de protection de vos données. Sans DPA, impossible de démontrer la “protection adéquate” exigée par la loi 25 pour un transfert hors Québec.
API et forfaits Business / Enterprise
Là, c’est une autre histoire. Les données envoyées via l’API ou les forfaits Business et Enterprise ne sont pas utilisées pour entraîner les modèles par défaut.
La rétention est d’au maximum 30 jours pour l’API. OpenAI peut signer un DPA avec vous, et une option Zero Data Retention est disponible pour les cas admissibles.
C’est dans ces forfaits que vous pouvez construire un argumentaire de conformité avec la loi 25.
Pas avec un compte Plus utilisé à titre personnel pour traiter des dossiers clients.
Claude : même logique, même piège
Anthropic a fait les manchettes à l’automne 2025 avec une mise à jour de ses conditions d’utilisation qui a beaucoup fait réagir.
Compte Pro et Max (usage individuel)
En septembre 2025, Anthropic a modifié ses conditions pour les comptes “consommateurs” (Free, Pro et Max). Si vous consentez à ce que vos données servent à l’entraînement du modèle, la durée de conservation passe de 30 jours à 5 ans. Vous pouvez faire un opt-out manuel dans vos paramètres, mais là encore, c’est à vous d’aller le faire.
Comme pour ChatGPT Plus, il n’y a pas de DPA disponible sur ces comptes. Utiliser Claude Pro ou Max pour traiter des renseignements personnels de clients sans cadre contractuel, c’est très difficile à défendre devant la Commission d’accès à l’information (CAI).
API et forfaits commerciaux (Claude for Work, Team, Enterprise)
Les clients commerciaux sont explicitement exclus des changements de septembre 2025. Leurs données ne servent pas à l’entraînement.
Depuis ces mises à jour, la rétention a aussi été réduite à 7 jours (contre 30 jours auparavant). Une option Zero Data Retention est disponible pour les clients Enterprise admissibles, et vous pouvez signer un DPA avec Anthropic.
En un coup d’oeil
| ChatGPT gratuit / Plus | ChatGPT API / Business / Enterprise | Claude Pro / Max | Claude API / Commercial | |
|---|---|---|---|---|
| Entraînement par défaut | Oui | Non | Oui | Non |
| Rétention | 30 jours | 30 jours max (ou ZDR) | 30 j (opt-out) / 5 ans (opt-in) | 7 jours (ou ZDR) |
| DPA disponible | Non | Oui | Non | Oui |
| Défendable sous loi 25 | Très difficile | Oui, avec conformité | Très difficile | Oui, avec conformité |
Ce que vous devez faire, peu importe l’outil
Même avec l’API ou un forfait commercial, signer un abonnement plus cher ne suffit pas. Voici ce qui doit être en place avant de traiter des renseignements clients avec un outil IA.
Réaliser une ÉFVP
C’est l’étape qui précède tout le reste. Avant d’envoyer des renseignements personnels à un outil IA tiers, vous devez documenter une évaluation des facteurs relatifs à la vie privée. On explique la démarche dans notre guide sur la loi 25.
Signer un DPA avec votre fournisseur
Ce document formalise la relation contractuelle avec l’outil IA. Il doit exister avant tout transfert de données. Sur un compte consommateur, ce document n’existe tout simplement pas, peu importe ce que vous faites dans vos paramètres.
Mettre à jour votre politique de confidentialité
Elle doit mentionner les tiers à qui vous communiquez des renseignements personnels, dont les fournisseurs d’IA, et préciser que des transferts hors Québec peuvent survenir.
Anonymiser ce que vous pouvez
Avant d’envoyer quoi que ce soit à un outil IA, posez-vous la question : est-ce que l’IA a vraiment besoin de savoir que c’est Marie Tremblay? La plupart du temps, retirer les noms, adresses courriel et détails identifiants suffit pour obtenir la réponse cherchée, sans transférer de données personnelles. C’est la mesure la moins coûteuse à mettre en place, et souvent la plus efficace.
Nommer votre RPRP
Si ce n’est pas encore fait, désignez votre responsable de la protection des renseignements personnels. C’est obligatoire depuis 2022. C’est cette personne qui doit encadrer l’usage des outils IA dans votre organisation et veiller à ce que les bonnes pratiques soient respectées.
L’IA, oui. Mais pas n’importe comment.
Utiliser l’IA pour traiter des données clients plus rapidement, c’est tout à fait réaliste. Ça peut même faire une vraie différence dans votre quotidien. Mais ça demande de choisir le bon outil, avec le bon forfait, et d’avoir fait le travail de conformité en amont.
Glisser des informations clients dans Claude Max ou ChatGPT Plus? C’est un risque réel que beaucoup prennent sans s’en rendre compte.
L’API ou un forfait commercial, avec un DPA signé, une ÉFVP documentée et une politique de confidentialité à jour? Là, vous avez une base solide pour avancer.
Si vous n’êtes pas certain de votre situation actuelle, on peut regarder ça ensemble.
La mise en conformité avec la loi 25, c’est l’une de nos spécialités au Collectif WEB.
Sources de l’article
- Anthropic, Updates to Consumer Terms and Privacy Policy, août 2025
- Anthropic Privacy Center, How long do you store my data?
- OpenAI, Enterprise Privacy, mis à jour janvier 2026
- Commission d’accès à l’information du Québec
- Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Simplified Summary
Quand vous utilisez ChatGPT ou Claude pour votre travail, faites attention à ce que vous y écrivez. Si vous avez un compte gratuit ou personnel (comme ChatGPT Plus ou Claude Max), vos données peuvent être utilisées par ces compagnies pour améliorer leur IA. Il n'y a pas de contrat de protection entre eux et votre entreprise. Ce n'est pas conforme à la loi 25 du Québec si vous y mettez des informations personnelles de vos clients. Si vous utilisez leur version professionnelle ou leur API, c'est mieux. Vos données ne servent pas à l'entraînement par défaut, et vous pouvez signer un contrat de protection. Mais il y a quand même des étapes à suivre avant d'envoyer des données clients. La règle la plus simple : avant d'envoyer quoi que ce soit à un outil IA, retirez les noms, courriels et tout ce qui permet d'identifier une personne. Souvent, ce n'est pas nécessaire pour obtenir la réponse que vous cherchez.
