Checklist conformite Loi 25 IA -- 27 controles PME Quebec

Section 1 -- Cadre legal

Loi 25 art. 8 + 12 + 17

	Controle	Statut MonIAaMoi
	Politique d'usage IA generative ecrite et signee par la direction	A FAIRE PME
	Liste des outils IA autorises avec base juridique de chaque usage MonIAaMoi : audit_log_loi25 + /transparence/llm-providers	MonIAaMoi NATIVE
	Registre des transferts hors-Quebec (qui, quoi, quand, ou) MonIAaMoi : log_llm_transfer art. 17 instrumente 5 routers	MonIAaMoi NATIVE
	Consentement employe explicite pour usage IA traitant donnees clients	PARTIEL
	Mecanisme de revocation de consentement documente MonIAaMoi : erasure endpoint + audit trace	MonIAaMoi NATIVE
	Verification residence donnees des fournisseurs IA (QC/CA = OK / US = transfer declare) MonIAaMoi : ca-central-1 Beauharnois + transferts declares	MonIAaMoi NATIVE

Section 2 -- Detection Shadow AI

Loi 25 art. 18 (registre traitements)

	Controle	Statut MonIAaMoi
	Inventaire des outils IA reellement utilises par les employes	A FAIRE PME
	Mesure du volume de prompts mensuels par outil	PARTIEL
	Identification des donnees sensibles transferees MonIAaMoi : PII scrubber 5 routers detecte NAS/RAMQ/email/tel	MonIAaMoi NATIVE
	Politique BYOD/BYOAI vs ressources entreprise	A FAIRE PME

Section 3 -- PII et anonymisation

Loi 25 art. 12 (finalite)

	Controle	Statut MonIAaMoi
	Liste des PII collectees (NAS, RAMQ, telephone, courriel, adresse) MonIAaMoi : pii_scrubber_external module + has_pii() check	MonIAaMoi NATIVE
	Mecanisme de scrubbing/anonymisation avant LLM externe MonIAaMoi : 6 routers backend instrumentes (LOT A.3)	MonIAaMoi NATIVE
	Test mensuel de detection PII sur echantillon de prompts	PARTIEL
	Procedure restauration PII dans reponse retournee a l'employe MonIAaMoi : restore_response automatique	MonIAaMoi NATIVE

Section 4 -- Mineurs et populations vulnerables

Loi 25 art. 14

	Controle	Statut MonIAaMoi
	Detection des donnees clients mineurs (moins de 14 ans QC) MonIAaMoi : MinorConsentGate + minor_consent_log immuable	MonIAaMoi NATIVE
	Consentement parental ecrit si traitement donnees mineurs MonIAaMoi : parent_email obligatoire age_band teen/child	MonIAaMoi NATIVE
	Bloquage automatique transfer mineur vers IA US sans consent	PARTIEL

Section 5 -- Decisions automatisees

Loi 25 art. 22 + C-27 federal AIDA

	Controle	Statut MonIAaMoi
	Inventaire des decisions automatisees prises par IA	PARTIEL
	Mecanisme de contestation humaine (NEXUS Guardian Action Approval recommande)	PARTIEL
	Notification aux personnes concernees	A FAIRE PME
	Tracabilite : qui a pris la decision, quand, sur quelles donnees MonIAaMoi : sovereign_ai_journal + hash chain	MonIAaMoi NATIVE

Section 6 -- Droits des personnes

Loi 25 art. 27 + 28.1

	Controle	Statut MonIAaMoi
	Procedure DSAR (Data Subject Access Request) testee MonIAaMoi : GET /api/user/data-export -- export complet < 30j	MonIAaMoi NATIVE
	Capacite d'effacement reelle (pas juste soft-delete) MonIAaMoi : /api/user/erase-me/execute hard cascade	MonIAaMoi NATIVE
	Inclusion des donnees absorbees par modeles tiers	PARTIEL
	Cooldown documents legaux art. 28.1 (7 jours minimum) MonIAaMoi : 7j cooldown configurable	MonIAaMoi NATIVE

Section 7 -- Audit et conservation

Loi 25 art. 30 + Bitcoin OTS

	Controle	Statut MonIAaMoi
	Journal immuable des actions IA conservees 7 ans MonIAaMoi : audit_log_loi25 + retention 7 ans + Bitcoin OTS	MonIAaMoi NATIVE
	Hash chain ou signature cryptographique MonIAaMoi : sha256 chain + Bitcoin OTS proofs	MonIAaMoi NATIVE
	Purge automatique apres 7 ans documentee MonIAaMoi : cron purge-audit-loi25-yearly + immutable triggers	MonIAaMoi NATIVE
	Acces journal restreint et logge MonIAaMoi : RLS policies + admin_protection_router	MonIAaMoi NATIVE

Section 8 -- Notification breach

Loi 25 art. 3.5 (notification 72h)

	Controle	Statut MonIAaMoi
	Procedure detection breach IA (< 24h)	PARTIEL
	Modele notification CAI prepare	A FAIRE PME
	Modele notification personnes concernees prepare	A FAIRE PME
	Test annuel du plan de notification	A FAIRE PME

Carte de score finale -- votre PME

Nom de l'organisation : ______________________________

Date de l'audit : _______ / _______ / _______

Audit realise par : ______________________________

Rappel revision : _______ / _______ / _______ (1 an max)

Controles conformes (V)_____ / 33

Controles en cours (~)_____ / 33

Controles non conformes (X)_____ / 33

Score conformite_____ %

Cible Loi 25 : 100% conformite obligatoire pour eviter sanctions CAI (jusqu'a 25M$ ou 4% CA). MonIAaMoi instrumente nativement 18/33 controles (55%).

Section 1 -- Cadre legal

Loi 25 art. 8 + 12 + 17

	Controle	Statut MonIAaMoi
	Politique d'usage IA generative ecrite et signee par la direction	A FAIRE PME
	Liste des outils IA autorises avec base juridique de chaque usage MonIAaMoi : audit_log_loi25 + /transparence/llm-providers	MonIAaMoi NATIVE
	Registre des transferts hors-Quebec (qui, quoi, quand, ou) MonIAaMoi : log_llm_transfer art. 17 instrumente 5 routers	MonIAaMoi NATIVE
	Consentement employe explicite pour usage IA traitant donnees clients	PARTIEL
	Mecanisme de revocation de consentement documente MonIAaMoi : erasure endpoint + audit trace	MonIAaMoi NATIVE
	Verification residence donnees des fournisseurs IA (QC/CA = OK / US = transfer declare) MonIAaMoi : ca-central-1 Beauharnois + transferts declares	MonIAaMoi NATIVE

Section 2 -- Detection Shadow AI

Loi 25 art. 18 (registre traitements)

	Controle	Statut MonIAaMoi
	Inventaire des outils IA reellement utilises par les employes	A FAIRE PME
	Mesure du volume de prompts mensuels par outil	PARTIEL
	Identification des donnees sensibles transferees MonIAaMoi : PII scrubber 5 routers detecte NAS/RAMQ/email/tel	MonIAaMoi NATIVE
	Politique BYOD/BYOAI vs ressources entreprise	A FAIRE PME

Section 3 -- PII et anonymisation

Loi 25 art. 12 (finalite)

	Controle	Statut MonIAaMoi
	Liste des PII collectees (NAS, RAMQ, telephone, courriel, adresse) MonIAaMoi : pii_scrubber_external module + has_pii() check	MonIAaMoi NATIVE
	Mecanisme de scrubbing/anonymisation avant LLM externe MonIAaMoi : 6 routers backend instrumentes (LOT A.3)	MonIAaMoi NATIVE
	Test mensuel de detection PII sur echantillon de prompts	PARTIEL
	Procedure restauration PII dans reponse retournee a l'employe MonIAaMoi : restore_response automatique	MonIAaMoi NATIVE

Section 4 -- Mineurs et populations vulnerables

Loi 25 art. 14

	Controle	Statut MonIAaMoi
	Detection des donnees clients mineurs (moins de 14 ans QC) MonIAaMoi : MinorConsentGate + minor_consent_log immuable	MonIAaMoi NATIVE
	Consentement parental ecrit si traitement donnees mineurs MonIAaMoi : parent_email obligatoire age_band teen/child	MonIAaMoi NATIVE
	Bloquage automatique transfer mineur vers IA US sans consent	PARTIEL

Section 5 -- Decisions automatisees

Loi 25 art. 22 + C-27 federal AIDA

	Controle	Statut MonIAaMoi
	Inventaire des decisions automatisees prises par IA	PARTIEL
	Mecanisme de contestation humaine (NEXUS Guardian Action Approval recommande)	PARTIEL
	Notification aux personnes concernees	A FAIRE PME
	Tracabilite : qui a pris la decision, quand, sur quelles donnees MonIAaMoi : sovereign_ai_journal + hash chain	MonIAaMoi NATIVE

Section 6 -- Droits des personnes

Loi 25 art. 27 + 28.1

	Controle	Statut MonIAaMoi
	Procedure DSAR (Data Subject Access Request) testee MonIAaMoi : GET /api/user/data-export -- export complet < 30j	MonIAaMoi NATIVE
	Capacite d'effacement reelle (pas juste soft-delete) MonIAaMoi : /api/user/erase-me/execute hard cascade	MonIAaMoi NATIVE
	Inclusion des donnees absorbees par modeles tiers	PARTIEL
	Cooldown documents legaux art. 28.1 (7 jours minimum) MonIAaMoi : 7j cooldown configurable	MonIAaMoi NATIVE

Section 7 -- Audit et conservation

Loi 25 art. 30 + Bitcoin OTS

	Controle	Statut MonIAaMoi
	Journal immuable des actions IA conservees 7 ans MonIAaMoi : audit_log_loi25 + retention 7 ans + Bitcoin OTS	MonIAaMoi NATIVE
	Hash chain ou signature cryptographique MonIAaMoi : sha256 chain + Bitcoin OTS proofs	MonIAaMoi NATIVE
	Purge automatique apres 7 ans documentee MonIAaMoi : cron purge-audit-loi25-yearly + immutable triggers	MonIAaMoi NATIVE
	Acces journal restreint et logge MonIAaMoi : RLS policies + admin_protection_router	MonIAaMoi NATIVE

Section 8 -- Notification breach

Loi 25 art. 3.5 (notification 72h)

	Controle	Statut MonIAaMoi
	Procedure detection breach IA (< 24h)	PARTIEL
	Modele notification CAI prepare	A FAIRE PME
	Modele notification personnes concernees prepare	A FAIRE PME
	Test annuel du plan de notification	A FAIRE PME

Carte de score finale -- votre PME

Nom de l'organisation : ______________________________

Date de l'audit : _______ / _______ / _______

Audit realise par : ______________________________

Rappel revision : _______ / _______ / _______ (1 an max)

Controles conformes (V)_____ / 33

Controles en cours (~)_____ / 33

Controles non conformes (X)_____ / 33

Score conformite_____ %

Cible Loi 25 : 100% conformite obligatoire pour eviter sanctions CAI (jusqu'a 25M$ ou 4% CA). MonIAaMoi instrumente nativement 18/33 controles (55%).

Checklist conformite Loi 25 IA generative

Comment utiliser cette checklist

Section 1 -- Cadre legal

Section 2 -- Detection Shadow AI

Section 3 -- PII et anonymisation

Section 4 -- Mineurs et populations vulnerables

Section 5 -- Decisions automatisees

Section 6 -- Droits des personnes

Section 7 -- Audit et conservation

Section 8 -- Notification breach

Carte de score finale -- votre PME

Audit conformite gratuit MonIAaMoi

Checklist conformite Loi 25 IA generative

Comment utiliser cette checklist

Section 1 -- Cadre legal

Section 2 -- Detection Shadow AI

Section 3 -- PII et anonymisation

Section 4 -- Mineurs et populations vulnerables

Section 5 -- Decisions automatisees

Section 6 -- Droits des personnes

Section 7 -- Audit et conservation

Section 8 -- Notification breach

Carte de score finale -- votre PME

Audit conformite gratuit MonIAaMoi