Agent IA téléphonique conforme à la Loi 25 : ce que ça exige vraiment
Agent IA téléphonique et Loi 25 au Québec : les 5 obligations concrètes, les pièges courants et pourquoi l'hébergement provincial change tout. Guide pratique 2026.
Mathias Delage
Co-Fondateur & Responsable technique, Portico Intelligence
Un agent IA téléphonique conforme à la Loi 25 doit satisfaire cinq conditions précises : informer l'appelant qu'il parle à un système automatisé, obtenir un consentement éclairé à l'enregistrement, divulguer toute décision automatisée qui l'affecte, documenter ou éviter tout transfert de données hors Québec, et désigner un responsable de la protection des renseignements personnels. Depuis le 22 septembre 2023, l'ensemble de ces obligations est en vigueur — avec des pénalités pouvant atteindre 25 millions de dollars.
À retenir
- La Loi 25 est en pleine vigueur depuis le 22 septembre 2023 — toutes les obligations s'appliquent, sans délai de grâce.
- Un enregistrement vocal est un renseignement personnel au sens de la loi — et potentiellement une donnée biométrique.
- L'agent IA doit annoncer qu'il est automatisé dès les premières secondes de chaque appel, pas uniquement dans vos conditions d'utilisation.
- Tout traitement de données sur des serveurs hors Québec (y compris les serveurs américains des grands fournisseurs d'IA) déclenche une obligation d'ÉFVP.
- Les pénalités administratives peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.
- Un hébergement entièrement québécois élimine l'obligation d'évaluation liée à la résidence des données.
Pourquoi la Loi 25 s'applique à chaque appel que votre IA reçoit
Voici ce que beaucoup de propriétaires d'entreprise ne voient pas venir : dès qu'un appelant parle à votre agent IA, vous collectez des renseignements personnels. Pas dans un formulaire. Pas dans une fiche client. Dans la conversation elle-même.
La voix est une donnée directement identifiante. Le prénom que l'appelant mentionne, son adresse, sa condition de santé, le problème de plomberie qu'il décrit un vendredi soir — tout cela constitue des renseignements personnels au sens de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Et depuis le 22 septembre 2023, la loi est en vigueur dans son intégralité, y compris les dispositions sur les décisions automatisées et la résidence des données.
La question n'est pas de savoir si la Loi 25 s'applique à vous — elle s'applique à toute organisation qui collecte des renseignements personnels dans le cadre de l'exploitation d'une entreprise au Québec. La vraie question est : est-ce que votre déploiement respecte ses cinq obligations concrètes?
Qu'est-ce qui constitue un renseignement personnel dans un appel téléphonique?
Avant d'entrer dans les obligations, il faut comprendre l'étendue exacte de ce que la loi protège.
Ce que votre agent IA collecte à chaque appel :
- L'enregistrement audio (la voix est une donnée biométrique potentielle)
- La transcription textuelle de la conversation
- Le numéro de téléphone entrant (identifiant direct)
- Tout ce que l'appelant mentionne : nom, adresse, état de santé, urgence du problème, situation financière
- Les métadonnées d'appel : heure, durée, fréquence, numéro appelé
La loi définit les renseignements personnels comme toute information qui permet d'identifier directement ou indirectement une personne physique. La voix d'une personne, le contexte d'une urgence médicale, ou la combinaison d'un numéro et d'une adresse rentrent toutes dans cette définition — telle qu'interprétée par la Commission d'accès à l'information du Québec.
Dans les secteurs les plus touchés — cliniques, entrepreneurs, gestionnaires immobiliers, cabinets professionnels — les appels entrants contiennent systématiquement des informations sensibles. Un patient qui demande un rendez-vous pour une condition chronique, un locataire qui signale une infiltration, un appelant qui décrit une urgence de chauffage : chaque conversation est un dossier ouvert.
Quelles sont les cinq obligations concrètes d'un agent IA téléphonique conforme?
1. Annoncer que l'appelant parle à un système automatisé
C'est l'obligation la plus souvent ignorée — et la plus visible pour l'appelant. La loi exige que toute collecte de renseignements personnels par voie automatisée soit divulguée au moment de la collecte. Pour un agent IA, cela signifie qu'au début de chaque appel, l'appelant doit savoir qu'il parle à un système automatisé.
Pas dans les conditions générales de votre site. Pas dans un courriel de bienvenue. À voix haute, avant même la première question. Une formulation sobre suffit : « Bonjour, vous êtes en communication avec le système automatisé de [Entreprise]. » Ce qui vient ensuite dépend de votre configuration, mais cette divulgation est non négociable.
2. Obtenir le consentement éclairé à l'enregistrement
Le consentement doit être libre, éclairé et donné à des fins précises. La loi interdit le consentement implicite ou fourni en bloc avec d'autres conditions. L'appelant doit comprendre :
- Que l'appel sera enregistré ou transcrit
- Pour quelle raison (amélioration du service, traçabilité des demandes, prise de rendez-vous)
- Qui aura accès à l'enregistrement ou à la transcription
- Combien de temps ces données seront conservées
Un agent qui dit simplement « cet appel peut être enregistré » répond partiellement à cette exigence. Un agent qui explique pourquoi, dans quel but, et donne à l'appelant la possibilité de refuser répond à l'intégralité de l'obligation.
3. Divulguer les décisions automatisées qui affectent l'appelant
C'est l'obligation que peu de fournisseurs d'IA anticipent. L'article 12.1 de la LPRPSP, tel que modifié par la Loi 25, impose à toute organisation qui rend une décision fondée exclusivement sur un traitement automatisé d'en informer la personne concernée — et de lui offrir la possibilité de demander une révision humaine.
Pour un agent IA téléphonique, cette obligation se déclenche dès que l'agent prend une décision fonctionnelle : triage de l'urgence, priorisation d'un appel, qualification automatique d'une demande de service. Si l'appelant est redirigé ou écarté selon une logique automatisée, il a le droit de le savoir et de demander qu'un humain révise la décision.
4. Gérer — ou éviter — les transferts de données hors Québec
Si vos données vocales ou vos transcriptions transitent par des serveurs hors Québec — centres de données américains d'AWS, d'OpenAI, de Microsoft Azure, de Twilio via des routages américains — vous êtes en situation de transfert de renseignements personnels hors du Québec. Deux obligations s'activent :
- Conduire une Évaluation des facteurs relatifs à la vie privée (ÉFVP) avant le transfert
- Garantir contractuellement que le destinataire offre une protection équivalente à la loi québécoise
Une ÉFVP n'est pas un formulaire à remplir rapidement. C'est une analyse documentée des risques de confidentialité, des mesures d'atténuation et des mécanismes de surveillance en place. Pour une PME qui utilise un agent IA hébergé aux États-Unis sans ÉFVP réalisée, cette exigence est active — et la Commission d'accès à l'information peut en vérifier l'existence sur simple demande.
Un hébergement entièrement québécois supprime cette obligation. Les données ne quittent pas la province, aucune ÉFVP liée à la résidence des données n'est requise.
5. Nommer un responsable et documenter vos pratiques
La Loi 25 exige que toute organisation désigne un responsable de la protection des renseignements personnels et que cette information soit publiquement accessible. La politique de confidentialité doit être disponible en langage clair, et mentionner explicitement les systèmes automatisés utilisés dans la collecte.
Ce n'est pas une obligation réservée aux grandes entreprises. Elle s'applique dès qu'il y a collecte de renseignements personnels — ce que votre téléphone fait à chaque appel entrant.
Où la plupart des agents IA échouent à la conformité
| Critère de conformité | Solution IA typique, serveurs hors Québec | Solution conforme, hébergée au Québec |
|---|---|---|
| Divulgation d'automatisation à l'appel | Souvent absente | Obligatoire, dès les premières secondes |
| Consentement à l'enregistrement | Implicite ou absent | Explicite, avec finalité et durée |
| Décisions automatisées divulguées | Rarement configuré | Intégré aux workflows de triage |
| Résidence des données | Serveurs US (AWS us-east, OpenAI, Azure) | Serveurs québécois uniquement |
| ÉFVP requise | Oui — souvent absente | Non — données restent en province |
| Politique de confidentialité adaptée | Générique | Spécifique aux systèmes vocaux |
| Mécanisme d'accès, rectification, suppression | Aucun | Documenté et fonctionnel |
Pourquoi l'hébergement au Québec change l'équation de conformité
L'architecture d'hébergement est le levier le plus direct sur votre niveau de conformité — et le plus souvent ignoré lors de l'achat d'une solution IA.
Quand les transcriptions d'appels, les enregistrements audio et les métadonnées restent sur des serveurs québécois, le chapitre de la résidence des données se referme proprement : aucun transfert hors Québec, aucune ÉFVP à produire sur ce point, aucune clause contractuelle à négocier avec un fournisseur américain. La donnée reste sous la juridiction du Québec — là où la CAI peut en vérifier le traitement.
L'hébergement québécois apporte également une position commerciale claire. Vos clients, patients ou locataires savent que leurs informations ne quittent pas la province. Dans des secteurs où la confiance est centrale — santé, droit, rénovation, gestion immobilière — c'est un argument que vous pouvez mettre de l'avant directement.
Une clinique spécialisée au Québec qui a voulu déployer un agent IA pour gérer ses appels entrants a dû, avant le lancement, désigner un responsable de la protection des renseignements personnels, conduire une ÉFVP complète parce que le premier fournisseur hébergeait aux États-Unis, et reconfigurer entièrement l'architecture pour que les transcriptions restent en province. Ces étapes ont retardé le déploiement de plusieurs semaines et représenté des coûts non anticipés. Avec un hébergement québécois dès le départ, l'ÉFVP liée à la résidence des données n'aurait pas été requise.
Quelles sanctions la CAI peut-elle réellement imposer?
La Commission d'accès à l'information du Québec dispose depuis 2023 de pouvoirs d'enquête, d'ordonnance et de sanctions monétaires substantiels.
Pour les violations les plus graves — transfert de données sans ÉFVP, collecte sans consentement, absence totale de responsable désigné — les pénalités administratives peuvent atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Des sanctions pénales de même ordre de grandeur s'appliquent en parallèle pour les violations commises avec négligence grossière ou intention délibérée.
Les infractions moins graves restent dans la fourchette de 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Ces montants sont délibérément calibrés pour être dissuasifs à toute échelle d'entreprise — pas seulement pour les grandes organisations.
La CAI publie ses décisions d'enquête. Les ordonnances ont déjà visé des organisations sans politique de confidentialité à jour, sans responsable désigné, ou qui avaient transféré des données hors Québec sans ÉFVP. La taille de l'entreprise n'est pas un facteur atténuant inscrit dans la loi.
Liste de contrôle avant de déployer un agent IA téléphonique
Avant d'activer la première ligne :
- Divulgation automatisée : l'agent annonce-t-il qu'il est un système automatisé dès le début de chaque appel?
- Consentement à l'enregistrement : la finalité, la durée de conservation et les accès aux données sont-ils explicités à l'appelant?
- Décisions automatisées : l'agent prend-il des décisions de triage ou de qualification? Si oui, l'appelant en est-il informé avec possibilité de révision humaine?
- Résidence des données : où sont hébergés les enregistrements, les transcriptions et les métadonnées d'appel?
- ÉFVP : si des données sortent du Québec, une évaluation a-t-elle été conduite et documentée avant le déploiement?
- Responsable désigné : qui dans votre organisation est responsable de la protection des renseignements personnels, et cette information est-elle publiquement accessible?
- Politique de confidentialité : est-elle à jour, accessible, et mentionne-t-elle explicitement vos systèmes vocaux automatisés?
- Mécanisme d'accès, rectification, suppression : comment un appelant peut-il demander l'accès à ses données ou leur suppression?
Ce n'est pas une liste administrative à compléter une fois. C'est la configuration de base d'un déploiement qui tient la route — et qui peut être présentée à la CAI si elle enquête.
La conformité est une architecture, pas un certificat
Un agent IA déployé sur une infrastructure non québécoise, sans ÉFVP, sans divulgation vocale d'automatisation, n'est pas « à peu près conforme ». Il est en violation active de plusieurs obligations de la Loi 25 — même si personne ne lui a encore posé de questions à ce sujet.
La bonne configuration — hébergement québécois, divulgations vocales intégrées, workflows documentés, responsable désigné — n'est pas un surcoût. C'est la différence entre un agent déployable et un agent qui crée un risque légal à chaque appel reçu.
« Un agent IA sans le bon workflow en dessous, c'est juste un répondeur automatique plus cher. » Le même principe s'applique à la conformité : la technologie seule ne suffit pas — c'est la façon dont elle est configurée, hébergée et documentée qui détermine si votre déploiement tient la route.
Si vous voulez évaluer la conformité Loi 25 de votre déploiement téléphonique actuel — ou d'un projet en cours — l'équipe de Portico Intelligence peut passer en revue votre configuration avec vous, sans engagement.
Sources
- Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), L.R.Q., c. P-39.1 — Legisquebec
- Commission d'accès à l'information du Québec — Obligations Loi 25 pour les entreprises
- CAI — Décisions automatisées : ce que la Loi 25 exige
- CAI — Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Foire aux questions
- Un agent IA téléphonique doit-il annoncer qu'il est un système automatisé?
- Oui. La Loi 25 exige que toute collecte de renseignements personnels par voie automatisée soit divulguée au moment de la collecte. Pour un agent IA téléphonique, cela signifie informer l'appelant dès le début de l'appel qu'il parle à un système automatisé — pas dans les conditions générales de votre site.
- Les enregistrements d'appels sont-ils des renseignements personnels au sens de la Loi 25?
- Oui. Un enregistrement audio contient la voix de la personne — potentiellement une donnée biométrique — et souvent son nom, son adresse, ses informations médicales ou financières. La Loi 25 considère tout cela comme des renseignements personnels soumis à l'ensemble de ses obligations.
- Que se passe-t-il si les données vocales sont hébergées sur des serveurs américains?
- Tout transfert de renseignements personnels hors Québec exige une Évaluation des facteurs relatifs à la vie privée (ÉFVP) préalable, des mesures contractuelles garantissant une protection équivalente, et une divulgation à la personne concernée. Un hébergement québécois élimine cette obligation.
- Quelles sont les sanctions pour non-conformité à la Loi 25?
- La Commission d'accès à l'information peut imposer des pénalités administratives allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Des sanctions pénales s'appliquent en parallèle pour les violations commises par négligence grossière ou intention délibérée.
- Comment savoir si mon fournisseur d'agent IA est conforme à la Loi 25?
- Trois questions essentielles : Où sont hébergées les données vocales et les transcriptions? L'agent divulgue-t-il qu'il est automatisé dès le début de chaque appel? Existe-t-il un mécanisme pour répondre aux demandes d'accès et de suppression? Un fournisseur qui héberge au Québec et documente ses pratiques simplifie considérablement votre côté de la conformité.
Dernière mise à jour: 6 juillet 2026