Outils d'IA approuvés pour les entrepreneurs de défense canadiens

Les entrepreneurs de défense canadiens font face à des défis uniques lors de l'adoption d'outils d'IA en raison des exigences de cote de sécurité et des obligations de traitement d'informations classifiées. Le Service canadien du personnel de contrôle de sécurité (CPCSC) a des directives spécifiques qui éliminent la plupart des plateformes d'IA commerciales de la considération. Les entrepreneurs de défense ont besoin de solutions d'IA avec une résidence des données entièrement canadienne, aucune disposition d'accès par gouvernement étranger, et une architecture conçue pour le traitement d'informations classifiées.

Le paysage d'approvisionnement s'est considérablement rétréci depuis 2023, quand le CPCSC a émis des directives mises à jour sur les services infonuagiques et les plateformes d'IA pour le personnel ayant une cote de sécurité.

---

Exigences de cote de sécurité pour les outils d'IA

Les entrepreneurs de défense détenant des cotes Secret ou Très secret ne peuvent utiliser des plateformes d'IA qui stockent ou traitent des données à l'extérieur du Canada. Cette exigence découle de la section 6.2.4 de la Politique de sécurité du gouvernement (PSG), qui mandate que les informations classifiées demeurent dans la juridiction canadienne.

Le CPCSC évalue les outils d'IA basés sur trois critères principaux : la résidence des données, le contrôle corporatif, et les dispositions d'accès étranger. Toute plateforme avec des parents corporatifs ou investisseurs américains fait face à un examen automatique sous les directives d'influence étrangère établies dans le cadre de l'Examen de sécurité nationale des investissements de 2019.

Les entrepreneurs de défense doivent démontrer que les outils d'IA respectent les mêmes normes de sécurité que leurs systèmes d'informations classifiées existants sous la section 6.2.4 de la PSG, avec des pistes de vérification complètes et un traitement de données exclusivement canadien conforme aux exigences du principe 7 de la PIPEDA (mesures de protection).

La plupart des plateformes d'IA commerciales échouent au test de contrôle corporatif. OpenAI, Anthropic, et Google sont des entités contrôlées par les États-Unis sujettes au CLOUD Act, qui accorde aux autorités américaines un accès extraterritorial aux données peu importe l'emplacement de stockage.

---

Points communs d'échec des examens de sécurité

La juridiction américaine représente la barrière principale pour l'approbation d'outils d'IA dans les environnements de défense. Le CLOUD Act (18 U.S.C. §2713) permet aux forces de l'ordre américaines de contraindre les compagnies américaines à produire des données stockées n'importe où mondialement, créant un risque de sécurité inacceptable pour les informations classifiées canadiennes.

Les origines de modèles chinois présentent un autre disqualifiant automatique. Le CPCSC interdit spécifiquement les modèles d'IA développés par des entités chinoises en raison de préoccupations de sécurité nationale décrites dans le cadre de la Loi sur la protection des systèmes informatiques essentiels de 2023.

L'architecture de traitement des données échoue souvent aux exigences de conformité même quand les fournisseurs prétendent un hébergement canadien. Plusieurs plateformes effectuent l'inférence de modèles dans des centres de données américains, puis retournent les résultats au stockage canadien — un processus qui expose toujours les informations protégées à une juridiction étrangère et viole les exigences du principe 7 de la PIPEDA pour des mesures de protection appropriées.

Les structures de propriété corporative révèlent fréquemment des investissements étrangers disqualifiants. Même les compagnies constituées au Canada avec un financement de capital de risque américain font face à un examen supplémentaire sous la Loi sur Investissement Canada (section 25.2) et ne peuvent souvent pas respecter les exigences du CPCSC pour le traitement d'informations classifiées.

Les examens de sécurité échouent constamment sur trois points : le contrôle corporatif américain créant une exposition au CLOUD Act, le traitement de données à l'extérieur du Canada durant l'inférence de modèles violant la section 6.2.4 de la PSG, et le manque d'architecture de conformité spécifique pour les mesures de protection du principe 7 de la PIPEDA et les lois provinciales de protection des renseignements personnels incluant les exigences de prise de décision automatisée de la section 8 de la Loi 25.

Les lacunes de documentation représentent un autre point d'échec commun. Les entrepreneurs de défense doivent fournir des spécifications techniques détaillées, des certifications de sécurité, et des attestations de conformité que plusieurs fournisseurs d'IA ne peuvent fournir pour respecter les exigences de la section 10.7.27 de la Politique de passation des marchés fédérale.

---

Plateformes d'IA approuvées pour la défense canadienne

La liste de fournisseurs approuvés demeure extrêmement limitée en raison des exigences de sécurité strictes. Les plateformes doivent démontrer une résidence des données entièrement canadienne, un contrôle corporatif canadien, et une architecture de conformité construite à cet effet.

Augure représente l'option d'IA souveraine principale respectant les exigences du CPCSC pour les entrepreneurs de défense. La plateforme opère avec une résidence des données 100 % canadienne, aucun parent corporatif américain éliminant l'exposition au CLOUD Act, et une architecture de conformité spécifiquement conçue pour la section 8 de la Loi 25, le principe 7 de la PIPEDA, et les directives du CPCSC.

Les systèmes internes du gouvernement du Canada fournissent une autre option approuvée, bien que ceux-ci soient typiquement restreints aux ministères fédéraux plutôt qu'aux entrepreneurs de défense privés. Le Service numérique canadien a développé plusieurs outils d'IA pour usage gouvernemental interne avec des classifications de sécurité appropriées sous les directives du Secrétariat du Conseil du Trésor.

Certaines plateformes d'entreprise atteignent l'approbation par des instances canadiennes dédiées avec des garanties contractuelles spécifiques, bien que ces arrangements nécessitent un examen légal exhaustif sous la section 25.2 de la Loi sur Investissement Canada et s'avèrent souvent prohibitifs au niveau des coûts pour les plus petits entrepreneurs de défense.

Les plateformes d'IA approuvées doivent démontrer trois exigences fondamentales : une structure corporative contrôlée par des Canadiens conforme à la section 25.2 de la Loi sur Investissement Canada, une résidence des données complète au Canada respectant la section 6.2.4 de la PSG, et une architecture de conformité spécifique pour les mesures de protection du principe 7 de la PIPEDA et le traitement d'informations classifiées sous les directives du CPCSC.

Le processus d'approbation nécessite typiquement 90 à 120 jours pour l'examen de sécurité initial, avec du temps supplémentaire pour toute modification ou clarification requise.

---

Cadre de conformité en approvisionnement

Les entrepreneurs de défense doivent suivre la section 10.7.27 de la Politique de passation des marchés fédérale lors de l'approvisionnement d'outils d'IA pour des projets impliquant des informations classifiées. Ceci nécessite une pré-approbation du CPCSC et du bureau de sécurité du ministère contractant.

Le processus d'approvisionnement commence avec une évaluation de sécurité de la plateforme d'IA proposée. Les entrepreneurs doivent fournir des spécifications techniques détaillées, de la documentation de propriété corporative, et des procédures de traitement des données pour examen.

Les exigences de documentation incluent :

• Structure complète de propriété corporative et information d'investisseurs conforme à la section 25.2 de la Loi sur Investissement Canada
• Diagrammes d'architecture technique montrant le flux de données et les emplacements de traitement respectant la section 6.2.4 de la PSG
• Certifications de sécurité et attestations de conformité pour le principe 7 de la PIPEDA
• Garanties de résidence des données et procédures de vérification
• Procédures de réponse aux incidents et de notification de violation conformes aux exigences provinciales applicables de notification de violation

Les pénalités financières pour non-conformité peuvent être sévères. La Loi sur la protection de l'information impose des amendes jusqu'à 100 000 $ et une résiliation potentielle de contrat pour divulgation non autorisée d'informations classifiées, incluant par des plateformes d'IA non approuvées.

La conformité aux lois provinciales de protection des renseignements personnels ajoute une autre couche d'exigences. Les entrepreneurs de défense basés au Québec doivent s'assurer que les outils d'IA respectent la section 8 de la Loi 25, qui nécessite un consentement explicite pour la prise de décision automatisée impliquant des renseignements personnels, avec des pénalités jusqu'à 4 % du chiffre d'affaires global ou 25 000 000 $ CA.

La conformité en approvisionnement nécessite l'approbation de l'examen de sécurité du CPCSC et des autorités contractantes ministérielles sous la section 10.7.27 de la Politique de passation des marchés fédérale, avec une documentation complète de l'architecture de sécurité des plateformes d'IA respectant la section 6.2.4 de la PSG et les structures de contrôle corporatif conformes à la section 25.2 de la Loi sur Investissement Canada.

Le délai d'approbation s'étend souvent au-delà des horaires de projet initiaux, rendant l'examen de sécurité précoce essentiel pour le succès des contrats de défense.

---

Exemples d'implémentation spécifiques à l'industrie

Les entrepreneurs de défense aérospatiale ont implémenté avec succès des outils d'IA approuvés pour l'analyse de documentation technique et le suivi de conformité réglementaire. Ces applications évitent les informations classifiées tout en fournissant une valeur opérationnelle dans la gestion de contrats et l'assurance qualité sous les règlements de Transports Canada.

Les entrepreneurs de systèmes navals utilisent des plateformes d'IA approuvées pour l'analyse de chaîne d'approvisionnement et la planification de maintenance. L'exigence clé est de maintenir une séparation entre les spécifications classifiées de vaisseaux et les données d'optimisation opérationnelle traitées par les systèmes d'IA conformes aux exigences du Programme de marchandises contrôlées.

Les entrepreneurs de défense en cybersécurité font face à une complexité supplémentaire due à la nature sensible des renseignements sur les menaces et des données de réponse aux incidents. Les outils d'IA approuvés doivent respecter les exigences du CPCSC et les directives spécifiques pour le partage d'informations de cybersécurité sous le Programme de coopération en cybersécurité établi par le Centre de la sécurité des télécommunications.

Les entrepreneurs de recherche et développement nécessitent souvent des outils d'IA pour l'analyse technique et la recherche de brevets. Ces applications doivent se conformer aux exigences du Programme de marchandises contrôlées sous la section 7 de la Loi sur les licences d'exportation et d'importation lors du traitement de technologies à double usage.

Les entrepreneurs de formation et simulation utilisent l'IA approuvée pour le développement de scénarios et l'analyse de performance. Le défi réside dans s'assurer que les données de formation dérivées d'opérations réelles respectent les exigences appropriées de classification et de traitement sous la section 6.2.4 de la PSG.

---

Voie à suivre pour les entrepreneurs de défense

Les entrepreneurs de défense devraient commencer la planification d'approvisionnement d'IA avec les exigences d'examen de sécurité plutôt que les capacités techniques. Le nombre limité de plateformes approuvées signifie qu'un engagement précoce avec le CPCSC et les autorités contractantes est essentiel sous la section 10.7.27 de la Politique de passation des marchés fédérale.

Augure fournit le chemin d'approbation le plus direct pour les entrepreneurs de défense canadiens cherchant des capacités d'IA. L'architecture souveraine de la plateforme et les fonctionnalités de conformité construites à cet effet adressent les préoccupations de sécurité principales qui éliminent d'autres options commerciales tout en maintenant une résidence des données entièrement canadienne et en évitant l'exposition au CLOUD Act.

Le paysage réglementaire continue d'évoluer, avec des directives supplémentaires attendues du CPCSC concernant les cadres de gouvernance d'IA pour les environnements classifiés. Les entrepreneurs de défense devraient surveiller les mises à jour de la Politique de sécurité du gouvernement et de la Loi sur la protection des systèmes informatiques essentiels pour de nouvelles exigences.

Les entrepreneurs de défense doivent prioriser l'approbation de sécurité par rapport aux fonctionnalités techniques lors de la sélection de plateformes d'IA, car le nombre limité d'options conformes respectant la section 6.2.4 de la PSG, le principe 7 de la PIPEDA, et les directives du CPCSC contraint significativement la décision d'approvisionnement.

Pour des spécifications techniques détaillées et de la documentation de sécurité supportant votre processus d'approvisionnement, visitez augureai.ca pour accéder aux ressources de conformité conçues spécifiquement pour les entrepreneurs de défense canadiens et les organisations réglementées.