Jasett
Commencer gratuitement
Retour au blog
Loi 25 et outils de réunion IA : les questions à poser à votre fournisseur
Loi 25ConformitéQuébec

Loi 25 et outils de réunion IA : les questions à poser à votre fournisseur

12 mai 2026·6 min

Depuis septembre 2023, toutes les dispositions majeures de la Loi 25 sont en vigueur au Québec. En 2026, il n'y a plus de période de grâce, plus de "on s'y mettra plus tard". Les obligations s'appliquent maintenant à toutes les entreprises qui collectent des renseignements personnels, peu importe leur taille.

Ce que beaucoup de gestionnaires ne réalisent pas encore, c'est que ça inclut les outils SaaS qu'ils utilisent au quotidien. Votre assistant de réunion IA, par exemple, enregistre des conversations. Ces conversations contiennent des noms, des voix, des décisions d'affaires, parfois des informations sur des clients ou des employés. Ça, c'est des renseignements personnels au sens de la loi.

Avant d'adopter n'importe quel outil qui touche à vos données, voici les questions à poser. Pas pour faire peur mais pour faire les bons choix.


Ce que dit la Loi 25, concrètement

La Loi 25 - officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — a été adoptée en 2021 et est entrée en vigueur progressivement jusqu'en septembre 2024. Elle s'applique à toute entreprise privée qui recueille, traite ou communique des renseignements personnels, peu importe sa taille ou son secteur d'activité. Les CPA et cabinets comptables québécois (en savoir plus) sont directement visés lorsque leurs réunions de travail touchent aux dossiers clients.

Les principales obligations qui touchent directement le choix de vos outils SaaS :

Hébergement et transfert hors Québec. Avant de confier des renseignements personnels à un fournisseur dont les serveurs sont situés à l'extérieur du Québec, vous devez procéder à une évaluation des facteurs relatifs à la vie privée (EFVP). Cette évaluation doit démontrer que vos données bénéficieront d'une protection adéquate. Ce n'est pas une formalité, c'est une obligation légale documentée!

Désignation d'un responsable. Chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels. Dans une PME, c'est souvent le propriétaire ou le directeur général. Cette personne doit être en mesure de répondre aux questions sur les outils utilisés et les données qu'ils traitent.

Politique de confidentialité accessible. Votre politique de confidentialité doit expliquer quelles données vous collectez, pourquoi, et à qui vous les confiez y compris vos fournisseurs SaaS. Si votre assistant de réunion envoie des données à un tiers, ça doit être documenté et accessible.

Sanctions. En cas de non-conformité, la Commission d'accès à l'information du Québec peut imposer des sanctions allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'entreprise.


Les 5 questions à poser à votre fournisseur d'outils de réunion

1. Où sont hébergées mes données?

C'est la question de base. Les serveurs sont-ils au Canada, aux États-Unis, en Europe? Si vos données quittent le Québec, vous avez des obligations supplémentaires. Un fournisseur sérieux doit être capable de répondre à cette question clairement et par écrit.

2. Qui a accès à mes enregistrements?

Votre fournisseur a-t-il accès au contenu de vos réunions? Est-ce que des sous-traitants y ont accès? Dans quelles circonstances? Les conversations enregistrées en réunion peuvent contenir des informations confidentielles sur vos clients, vos employés ou vos stratégies d'affaires. Les cabinets juridiques doivent porter une attention particulière (voir comment Jasett répond aux exigences Loi 25 pour les avocats). Vous avez le droit de savoir qui peut les consulter.

3. Combien de temps mes données sont-elles conservées?

La Loi 25 exige que les renseignements personnels soient détruits ou anonymisés une fois qu'ils ne sont plus nécessaires à la finalité pour laquelle ils ont été collectés. Est-ce que vos fichiers audio sont supprimés après la transcription? Vos rapports sont-ils conservés indéfiniment ou selon une politique claire?

4. Que se passe-t-il en cas d'incident de confidentialité?

Si vos données sont compromises, qui vous avertit? Dans quel délai? La Loi 25 exige que les incidents présentant un risque sérieux de préjudice soient signalés à la Commission d'accès à l'information et aux personnes concernées. Votre fournisseur a-t-il un processus en place pour ça?

5. Puis-je récupérer ou faire supprimer mes données?

Depuis septembre 2024, toute personne peut demander à recevoir ses renseignements personnels dans un format structuré, ou en exiger le transfert ou la suppression. Votre fournisseur doit être en mesure de répondre à ces demandes. Si ce n'est pas prévu dans les conditions d'utilisation, c'est un signal d'alarme.


Ce que ça signifie pour les outils de réunion IA en particulier

Un assistant de réunion IA est un outil particulièrement sensible sous l'angle de la Loi 25. Il enregistre des voix, ce sont des données biométriques. Il capture des noms et des rôles, ce sont des renseignements personnels. Il peut contenir des informations sur des clients, des partenaires ou des employés qui n'ont pas nécessairement consenti à être enregistrés. Les milieux de santé où des renseignements sensibles peuvent être évoqués (documentation pour les cliniques) doivent être encore plus vigilants.

Ce n'est pas une raison de ne pas utiliser ces outils mais c'est une raison de bien les choisir.

Les questions à vous poser avant d'adopter un assistant de réunion :

  • Est-ce que les participants à mes réunions sont informés que la réunion est enregistrée?
  • Est-ce que mon fournisseur héberge mes données au Canada?
  • Est-ce que les fichiers audio bruts sont supprimés après traitement?
  • Est-ce que les conditions d'utilisation mentionnent explicitement la conformité aux lois canadiennes et québécoises sur la protection des données?

Une précision importante : même lorsqu'un fournisseur héberge ses données principales au Canada, certains sous-traitants techniques (transcription, intelligence artificielle, courriels) peuvent traiter des données sur des serveurs américains. La Loi 25 permet ces transferts à condition qu'une évaluation des facteurs relatifs à la vie privée (EFVP) ait été réalisée et que des ententes de confidentialité encadrent chaque sous-traitant.

C'est exactement l'approche de Jasett : hébergement principal au Canada, sous-traitants américains encadrés par des ententes contractuelles et une EFVP documentée, fichiers audio supprimés immédiatement après transcription.


La bonne approche : choisir des outils qui ont pensé à ça dès le départ

Il y a une différence entre un outil qui a été adapté après coup pour "sembler" conforme, et un outil qui a été conçu dès le début avec ces contraintes en tête.

Jasett a été construit pour le Québec: pas traduit, pas adapté. Les données sont hébergées au Canada. Les fichiers audio sont supprimés immédiatement après la transcription. La politique de confidentialité est accessible et rédigée en langage clair. Les organismes sans but lucratif y trouvent une réponse claire pour leurs bailleurs de fonds et leurs conseils d'administration.

Ce n'est pas un argument de vente ajouté en fin de parcours. C'est une décision d'architecture prise au départ, parce qu'on savait dès le début pour qui on bâtissait cet outil.


Pour aller plus loin

Si vous voulez vous assurer que votre entreprise est conforme à la Loi 25 dans son ensemble — pas seulement pour vos outils de réunion — la Commission d'accès à l'information du Québec publie des guides pratiques et est disponible pour accompagner les organisations dans leur démarche. Le site officiel est cai.gouv.qc.ca.

Ce n'est pas un dossier à remettre à plus tard. Les obligations sont en vigueur. Les sanctions sont réelles. Et les bons fournisseurs ont déjà les réponses à vos questions.

Essayez Jasett gratuitement — 3 réunions offertes, sans carte de crédit.

Continuer à lire

Par secteur

Trouvez le guide pour votre secteur

Conformité Loi 25 expliquée pour votre domaine d'activité.

Ou commencer gratuitement →