Loi 25 et intelligence artificielle en 2026 : votre clinique est-elle exposée sans le savoir ?

Le 1er mai 2026, La Presse titrait : « Votre recours à l'IA au boulot pourrait être illégal. » L'article a généré des milliers de partages — et des dizaines de questions de propriétaires de cliniques québécoises qui utilisent ChatGPT, Notion AI ou d'autres outils IA au quotidien pour rédiger des notes, résumer des dossiers ou répondre à des patients.

La question est légitime. Et la réponse est plus inconfortable qu'on ne le croit.

Ce que la Loi 25 dit sur l'IA — en termes clairs

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) n'a pas été rédigée pour l'intelligence artificielle. Mais elle s'y applique pleinement, via deux mécanismes que peu de cliniques ont anticipés.

L'article 17 : le transfert de données hors Québec

Dès que vous soumettez une information à un outil IA hébergé à l'extérieur du Québec — un contexte clinique, un nom de patient, un numéro de dossier — vous effectuez un transfert de renseignements personnels vers un pays tiers.

L'article 17 de la Loi 25 l'encadre strictement : ce transfert n'est autorisé qu'après une Évaluation des facteurs relatifs à la vie privée (EFVP) et si le niveau de protection offert par le pays destinataire est jugé équivalent à celui du Québec.

ChatGPT est hébergé aux États-Unis. Copilot de Microsoft, Gemini de Google — idem. La grande majorité des cliniques qui utilisent ces outils n'ont jamais réalisé d'EFVP. Techniquement, chaque requête envoyée avec des données patients constitue une infraction potentielle.

Les articles 12.1 et 14 : la transparence sur les décisions automatisées

Si votre logiciel de gestion de clinique utilise de l'IA pour prioriser des rendez-vous, suggérer des rappels personnalisés ou générer automatiquement des communications, la Loi 25 exige que vous en informiez explicitement vos patients — et que vous obteniez leur consentement éclairé avant que le système traite leurs données.

Ce n'est pas une interprétation contestable. C'est ce que la Commission d'accès à l'information (CAI) a précisé dans ses orientations publiées en 2025 sur l'IA et la prise de décision automatisée.

Les 3 situations à risque les plus fréquentes dans une clinique

Situation 1 — Rédiger des notes ou résumés avec ChatGPT

Vous dictez ou copiez-collez un contexte clinique dans ChatGPT pour rédiger une note plus rapidement. Ce faisant, vous transmettez des renseignements personnels — potentiellement des données de santé, classées comme renseignements sensibles sous la Loi 25 — à un serveur américain soumis au Cloud Act.

Sans EFVP documentée : exposition directe à l'article 17. Sans mention dans votre politique de confidentialité : violation supplémentaire de l'obligation de transparence.

Situation 2 — Utiliser un CRM ou logiciel SaaS avec des fonctions IA intégrées

Les logiciels de gestion de clinique modernes intègrent souvent de l'IA : relances automatisées, scoring de patients, personnalisation des communications. Si votre logiciel est hébergé aux États-Unis et utilise vos données patients pour ces fonctions, les mêmes obligations s'appliquent.

Le fait que vous n'ayez pas activé la fonction « intentionnellement » ne constitue pas une défense devant la CAI. Ce qui compte, c'est le traitement effectif des données.

Situation 3 — Chatbot sur votre site web

Un assistant virtuel sur votre site qui répond aux questions des patients, collecte leur nom et leur motif de consultation, et envoie ces données vers un service tiers peut violer simultanément trois obligations de la Loi 25 : bannière de consentement insuffisante, absence d'EFVP pour le transfert transfrontalier, et politique de confidentialité muette sur l'IA.

Ce que fait la CAI en 2026 : le basculement vers l'application active

Depuis son adoption en 2021, la CAI avait adopté une posture principalement éducative. Ce cycle est terminé. En 2026, trois signaux marquent le changement de régime.

Les ressources d'inspection ont été renforcées. La CAI peut inspecter une organisation de sa propre initiative, sans plainte préalable. Elle analyse activement des sites web et des pratiques numériques — particulièrement dans le secteur de la santé.

Le secteur santé est une priorité déclarée. La nature sensible des données — antécédents médicaux, santé mentale, historique de rendez-vous — justifie cette priorisation explicite. Pour comprendre comment fonctionne une inspection, consultez notre guide sur comment préparer votre site à une inspection de la CAI.

Les premières sanctions commencent à tomber. Les amendes administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les sanctions pénales vont jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial — le plus élevé des deux s'applique.

La directive IA publique du Québec : un signal pour le privé

Le 5 juin 2026, les organismes publics québécois avaient une date limite pour se conformer à la nouvelle directive du gouvernement sur l'utilisation de l'IA. Cette directive impose des règles strictes sur le traitement de données citoyennes par des systèmes automatisés.

Ce calendrier envoie un signal clair aux acteurs privés : la tolérance éducative prend fin. Les cliniques et PME qui n'ont pas encore documenté leur utilisation des outils IA se retrouvent dans une zone grise de plus en plus exposée à mesure que la CAI monte en régime d'application.

5 actions concrètes pour réduire votre exposition

Ces actions ne remplacent pas un avis juridique, mais elles permettent de documenter votre démarche de conformité — ce que la CAI considère comme un facteur atténuant déterminant en cas d'inspection.

1. Inventoriez vos outils IA

Listez tous les outils qui touchent à des données de patients ou d'employés : logiciels de gestion de clinique, outils de rédaction assistée, chatbots sur votre site, fonctions IA intégrées dans vos SaaS. Pour chacun, identifiez l'hébergeur et la localisation des serveurs.

2. Demandez les accords de traitement des données à vos fournisseurs

Les éditeurs sérieux (Microsoft, Google, Anthropic) proposent des Data Processing Agreements qui précisent comment ils gèrent les informations soumises. Certains, comme Jane App pour les cliniques, ont publié des guides de conformité spécifiques à la Loi 25. Signez ces accords et conservez-les dans votre dossier de conformité.

3. Réalisez une EFVP pour les outils à risque élevé

Si un outil transfère des données de santé hors Québec, une Évaluation des facteurs relatifs à la vie privée est techniquement obligatoire. Elle documente les risques identifiés, les mesures de mitigation adoptées, et démontre votre diligence raisonnée en cas d'inspection. Pour en savoir plus sur vos obligations spécifiques en tant que clinique, consultez notre guide Loi 25 pour les cliniques de santé.

4. Mettez à jour votre politique de confidentialité

Elle doit mentionner explicitement l'utilisation d'outils IA, les catégories de données concernées, et les destinations de transfert. Une politique générique rédigée avant 2024 ne couvre pas ces réalités. Pour les 8 éléments obligatoires, consultez notre guide sur comment rédiger une politique de confidentialité conforme à la Loi 25.

5. Informez vos patients

Si des outils IA traitent leurs données, la transparence est une obligation légale, pas une option. Un paragraphe dans votre politique de confidentialité et une mention sur les formulaires concernés constituent un minimum. Pour les fonctions de décision automatisée (art. 14), une information proactive est requise avant le traitement.

L'angle souvent négligé : votre site web reste le premier point de vérification

La CAI commence toujours par ce qui est public et accessible : votre site web. Bannière de consentement absente, Google Analytics sans consentement préalable, politique de confidentialité muette sur l'IA — ces signaux déclenchent des vérifications plus approfondies.

Avant d'attaquer les questions d'IA, assurez-vous que votre site passe les vérifications de base. C'est mesurable, rapide, et c'est ce que la CAI regarde en premier.

Ce qu'il faut retenir

La Loi 25 et l'IA ne sont pas deux sujets distincts. Chaque clinique qui utilise un outil IA avec des données patients opère déjà dans le périmètre de la loi — souvent sans le savoir, parfois sans documentation.

En 2026, l'ignorance n'est plus un facteur atténuant. La CAI a publié ses orientations, les délais sont passés, et les inspections sont actives dans le secteur de la santé.

La question n'est plus « est-ce que la Loi 25 s'applique à moi ? » mais « est-ce que je peux démontrer que j'ai fait les efforts nécessaires ? »

Sources : Augure AI — Loi 25 et IA 2026 · La Presse, 1er mai 2026 · Directive IA publique Québec · Commission d'accès à l'information du Québec · Grant Thornton — Décisions automatisées