# Évaluation des facteurs relatifs à la vie privée (EFVP)
## PME québécoise — adoption générale d'un agent IA souverain

> Template adapté aux petites et moyennes entreprises québécoises (commerce,
> services professionnels non réglementés, manufacture, restauration, OBNL,
> coopératives) qui adoptent un agent IA souverain pour leurs opérations
> internes.
>
> **Cadre juridique applicable :**
> - Loi 25 (RLRQ c P-39.1) — articles 3.1, 3.3, 8, 12, 17, 28
> - Loi sur la protection des renseignements personnels et les documents
>   électroniques (LPRPDE / PIPEDA) — pour activités fédérales ou
>   inter-provinciales
> - Loi anti-pourriel canadienne (LCAP / CASL) — communications électroniques
>   commerciales

---

## 1. Identification du projet

| Champ | Valeur |
|-------|--------|
| Titre du projet | Adoption d'un agent IA — [Nom de l'entreprise] |
| Système évalué | MonIAaMoi — agents IA souverains hébergés au Canada |
| Secteur d'activité | [À remplir] |
| Responsable du projet | [À remplir : direction générale ou TI] |
| Responsable de la protection des renseignements personnels (obligatoire si > 50 employés ou volume élevé) | [À remplir] |
| Date de l'évaluation | [À remplir] |
| Version | 1.0 |

## 2. Description du projet

### 2.1 Objectif

Permettre aux employés de l'entreprise d'utiliser un agent IA souverain pour :
- Assistance à la rédaction de courriels, devis, propositions commerciales,
  contenus marketing.
- Synthèse de documents internes, comptes rendus de réunion.
- Analyse préliminaire de demandes clients, classification de tickets.
- Pré-remplissage de formulaires et documents standards.
- Assistance à la prise de décision opérationnelle (jamais à la prise de
  décision automatisée au sens art. 12.1 Loi 25).

L'agent **n'a aucun pouvoir d'engagement** envers les clients, fournisseurs ou
employés. Toute production reste sous la responsabilité de l'employé qui
l'utilise.

### 2.2 Contexte

- Effectif : [À remplir]
- Marché desservi : [QC / Canada / international]
- Volume estimé d'interactions agent IA / mois : [à remplir]

## 3. Cadre juridique applicable

- **Loi 25 art. 3.1** — désignation obligatoire d'un RPRP. Pour les
  entreprises de moins de 50 employés, le rôle peut être cumulé avec une
  fonction de direction.
- **Loi 25 art. 8** — information à fournir au moment de la collecte.
- **Loi 25 art. 12** — finalité de la collecte ; consentement renouvelé pour
  toute nouvelle finalité.
- **Loi 25 art. 17** — évaluation requise avant communication hors Québec.
- **PIPEDA / LPRPDE** — applicable si l'entreprise exerce des activités
  commerciales hors Québec ou avec d'autres provinces.
- **LCAP / CASL** — si l'agent IA aide à la rédaction de communications
  électroniques commerciales (courriels marketing), les règles de
  consentement s'appliquent.

## 4. Renseignements personnels visés

### 4.1 Catégories collectées

Cochez selon votre cas :

- [x] Identité de clients : nom, prénom, raison sociale.
- [x] Coordonnées : adresse, courriel, téléphone.
- [ ] Données financières : numéros de carte bancaire (PCI DSS si applicable),
      historique de paiement.
- [ ] Données d'employés : dossier RH, évaluations, paie.
- [ ] Données de connexion / navigation : IP, témoins, pages vues.
- [ ] Communications : courriels, conversations, transcriptions appels.
- [ ] Données sensibles art. 12 al. 2 : à éviter dans une PME générale —
      requiert une EFVP renforcée si présentes.

### 4.2 Volumétrie

| Catégorie | Volume estimé |
|-----------|----------------|
| Clients actifs | [à remplir] |
| Interactions / mois | [à remplir] |
| Conversations agent IA / mois | [à remplir] |

## 5. Cycle de vie

### 5.1 Collecte

- Source : client ou prospect, formulaire web ou contrat signé.
- Information à fournir au moment de la collecte (art. 8) :
  - Nom de l'entreprise et coordonnées du RPRP.
  - Finalité (vente, support, marketing).
  - Catégorie de personnes ayant accès dans l'organisation.
  - Mention de l'utilisation d'un agent IA souverain hébergé au Canada.
  - Droits d'accès, rectification, suppression.
  - Durée de conservation.

### 5.2 Utilisation par l'agent IA

- Mode par défaut : hybride (Anthropic / OpenAI) ou souverain Ollama, au
  choix de l'entreprise. Pour des données client peu sensibles
  (coordonnées, demandes commerciales), le mode hybride est acceptable
  sous réserve d'un DPA signé.
- Aucun entraînement : Syntria AI Inc. s'engage par contrat à ne pas
  utiliser les données pour entraîner ses modèles.
- **Décisions automatisées (art. 12.1 Loi 25) :** si l'agent IA prend une
  décision concernant une personne (ex. attribution automatique d'un score
  de crédit, refus automatique d'une candidature), la personne doit en
  être informée et avoir la possibilité de présenter ses observations.
  **Recommandation : ne pas utiliser l'agent IA pour des décisions
  automatisées sans EFVP spécifique additionnelle.**

### 5.3 Communication à des tiers

| Tiers | Finalité | Cadre |
|-------|----------|-------|
| Comptable externe | Production fiscale | Sous-traitance contractuelle |
| Banque | Paiement | Obligation contractuelle |
| Sous-traitants techniques de la plateforme | Hébergement | Voir section 7 |

### 5.4 Conservation

| Type de donnée | Durée |
|----------------|-------|
| Dossier client | Durée de la relation + 7 ans (preuves comptables) |
| Données prospect non converti | 12 mois maximum |
| Logs et conversations agent IA | Configurable — recommandation 12 mois |
| Sauvegardes | 90 jours glissants |

### 5.5 Destruction

À l'expiration : suppression logique, écrasement cryptographique des clés,
purge des sauvegardes 72 h. Journal d'audit conservé 5 ans.

## 6. Communication hors Québec ou hors Canada

| Critère | Évaluation |
|---------|------------|
| Hébergement principal | Canada — Supabase ca-central-1, Cloud Run northamerica-northeast1 |
| Modèles LLM en mode hybride | États-Unis (Anthropic, OpenAI) — clauses no-training contractuelles |
| Risque CLOUD Act | Évalué moyen pour des données peu sensibles. Pour des données financières détaillées, recommandation de basculer en mode souverain. |
| Décision art. 17 Loi 25 | Approuvée pour des opérations standards en mode hybride. À réévaluer si extension à des données sensibles. |

## 7. Sous-traitants

| Sous-traitant | Pays | Service | DPA |
|---------------|------|---------|-----|
| Syntria AI Inc. | Canada (QC) | Plateforme MonIAaMoi | Oui |
| Supabase Inc. | Canada (Toronto) | PostgreSQL + RLS | Oui |
| Google Cloud | Canada (Montréal) | Compute API | Oui |
| Vercel Inc. | États-Unis (Edge global) | Distribution actifs statiques | Sans objet (aucun renseignement personnel transite) |
| Anthropic / OpenAI | États-Unis | Modèles LLM (mode hybride) | Oui |
| Ollama | Local | Mode souverain | Sans objet |
| Stripe Inc. | Canada / États-Unis | Paiement (si applicable) | Oui |

## 8. Mesures de sécurité

### 8.1 Techniques

- Chiffrement AES-256-GCM au repos.
- TLS 1.3 en transit.
- MFA obligatoire pour les administrateurs.
- Row-Level Security : un employé ne voit que les dossiers de son équipe ou
  qu'il a la permission de consulter.
- Journal d'audit hash-chain immuable.
- Détection PII en temps réel — alerte sur l'envoi de NAS, numéro de carte
  bancaire ou identifiant médical en mode hybride.

### 8.2 Organisationnelles

- Politique interne « Usage de l'IA en milieu de travail » signée par
  chaque employé.
- Formation initiale (1 h minimum) + recyclage annuel.
- Procédure d'incident — notification CAI sous le délai prévu par l'art. 3.5
  Loi 25 si risque de préjudice sérieux.
- Registre des incidents conservé 5 ans.

## 9. Analyse des risques

| Risque | Probabilité | Impact | Atténuation |
|--------|-------------|--------|-------------|
| Fuite via prompt mal cadré (employé colle un courriel client confidentiel) | Moyenne | Moyen à élevé | Détection PII + politique + formation |
| Hallucination produite et envoyée au client sans relecture | Élevée sans politique | Moyen | Politique de relecture obligatoire avant envoi externe |
| Compromission Supabase | Faible | Élevé | Chiffrement applicatif, RLS, sauvegardes chiffrées hors-site |
| Demande gouvernementale étrangère | Faible à moyenne | Moyen | Sous-traitants principaux au Canada, mode souverain disponible |
| Décision automatisée non encadrée (refus prospect, refus candidature) | Moyenne sans politique | Élevé | Politique interne interdisant la prise de décision automatisée par l'agent IA |
| Non-respect du droit d'accès / suppression | Faible | Élevé | Procédure documentée, formation RPRP |

## 10. Conclusion et recommandations

### 10.1 Verdict

L'adoption de MonIAaMoi est **compatible avec la Loi 25** sous réserve des
conditions suivantes.

### 10.2 Conditions d'approbation

1. Désignation d'un RPRP interne (cumulable avec une fonction de direction
   pour les entreprises de moins de 50 employés).
2. Politique interne « Usage de l'IA » signée par chaque employé avant
   l'octroi des accès.
3. Information aux clients dans la politique de confidentialité de
   l'utilisation d'un agent IA souverain.
4. Procédure documentée de gestion des demandes d'accès, de rectification
   et de suppression (art. 28 Loi 25).
5. Mode souverain Ollama disponible pour les données plus sensibles
   (financières, RH).
6. Réévaluation EFVP annuelle ou lors de tout changement majeur (ajout d'une
   nouvelle catégorie de données, intégration avec un nouveau sous-traitant,
   passage à des décisions automatisées).

### 10.3 Approbations

| Rôle | Nom | Date |
|------|-----|------|
| Direction générale | | |
| Responsable de la protection des renseignements personnels | | |
| Direction TI (si applicable) | | |

---

> **Avertissement :** Ce template est un guide générique fourni par
> Syntria AI Inc. à titre éducatif. Il ne constitue pas un avis juridique.
> Pour les projets impliquant des données sensibles ou des décisions
> automatisées, consultez un avocat spécialisé en protection des
> renseignements personnels.