Choisir des outils d'IA pour le gouvernement : un guide canadien

Les agences gouvernementales canadiennes font face à des exigences de conformité uniques lors de la sélection d'outils d'IA. Contrairement à l'adoption du secteur privé, l'approvisionnement d'IA gouvernementale doit naviguer les cadres de sécurité fédéraux, les lois provinciales sur la vie privée et les considérations de souveraineté des données qui ne s'appliquent pas aux organisations commerciales.

La Directive sur la prise de décisions automatisée du Conseil du Trésor (sections 6.1.1 à 6.1.4) et la Politique sur la sécurité du gouvernement créent des obligations spécifiques pour la sélection d'outils d'IA. Ajoutez les exigences provinciales comme la Loi 25 du Québec (sections 93-95), et le paysage de conformité devient assez complexe pour faire dérailler l'approvisionnement sans planification appropriée.

Comprendre le cadre réglementaire

La fondation de l'approvisionnement d'IA gouvernementale repose sur trois cadres centraux. La Directive sur la prise de décisions automatisée du Secrétariat du Conseil du Trésor (section 6.1.1) exige des Évaluations d'impact algorithmique pour tout système d'IA qui pourrait affecter les droits ou bénéfices individuels. Ce n'est pas une consultation optionnelle—c'est une conformité obligatoire avec des exigences spécifiques d'affichage public de 30 jours sous la section 6.2.4 et des exigences de documentation détaillées dans l'Annexe C.

La Politique sur la sécurité du gouvernement (Annexe B, Profil de contrôle de sécurité) établit des profils de contrôle de sécurité qui déterminent où vos données peuvent être traitées. L'information Protégé B—qui inclut la plupart des données opérationnelles gouvernementales—a des exigences strictes de résidence et de gestion sous ITSG-33 Annexe 3A que plusieurs plateformes d'IA commerciales ne peuvent respecter.

Sous la section 6.1.1 de la Directive du Conseil du Trésor sur la prise de décisions automatisée, les agences gouvernementales doivent mener des Évaluations d'impact algorithmique avec un score de 16+ points pour tout système d'IA affectant les droits, bénéfices ou décisions administratives individuels, avec des périodes de consultation publique obligatoires de 30 jours sous la section 6.2.4.

La législation provinciale sur la vie privée ajoute une autre couche. La section 93 de la Loi 25 du Québec exige des Évaluations d'impact sur la vie privée pour le traitement d'IA d'informations personnelles et mandate la transparence algorithmique sous la section 95 pour les systèmes de prise de décision automatisée. Les sections 33.1-33.2 de la FOIPPA de la Colombie-Britannique et d'autres lois provinciales créent des obligations similaires pour leurs juridictions respectives.

---

Préoccupations de résidence et souveraineté des données

La résidence des données ne concerne pas seulement où les serveurs sont localisés—c'est une question de contrôle corporatif et de juridiction légale. La Loi CLOUD américaine (18 USC 2713) permet aux autorités américaines d'exiger la divulgation de données d'entreprises américaines peu importe où ces données sont physiquement stockées. Cela crée des risques de conformité pour les agences gouvernementales canadiennes utilisant des outils d'IA avec des sociétés mères américaines.

Considérez Copilot de Microsoft ou les fonctionnalités d'IA de Google Workspace. Même lorsque le traitement se fait dans des centres de données canadiens, ces entreprises demeurent sujettes à la juridiction légale américaine sous les sections 105(a) et 105(b) de la Loi CLOUD. Pour les agences gouvernementales gérant de l'information Protégée sous ITSG-33, cela crée un écart de conformité inacceptable.

Les directives ITSM.50.062 du Centre de la sécurité des télécommunications sur les services infonuagiques abordent spécifiquement cette préoccupation. Le CST recommande d'évaluer non seulement l'emplacement des données, mais la structure corporative, la nationalité des investisseurs et l'exposition juridictionnelle lors de la sélection de fournisseurs technologiques pour les classifications Protégé B.

Sous la Loi CLOUD américaine 18 USC 2713 sections 105(a) et 105(b), les entreprises américaines doivent divulguer des données aux autorités américaines peu importe l'emplacement de stockage, rendant la résidence des données seule insuffisante—les agences gouvernementales canadiennes doivent aussi évaluer la structure corporative et l'exposition juridictionnelle des fournisseurs d'IA traitant de l'information Protégée.

La vraie souveraineté des données exige une infrastructure et des entités corporatives contrôlées par le Canada. Des plateformes comme Augure, qui maintiennent une propriété et infrastructure 100 % canadiennes sans exposition corporative américaine, éliminent entièrement les risques de la Loi CLOUD tout en respectant les exigences de contrôle de sécurité ITSG-33. Ce n'est pas seulement de la conformité théorique—c'est de la gestion de risque pratique pour les opérations gouvernementales sensibles.

---

Classifications et contrôles de sécurité

Les déploiements d'IA gouvernementaux impliquent typiquement de l'information classifiée Protégé A ou B. Le Profil de contrôle de sécurité du Conseil du Trésor (ITSG-33 Annexe 3A) établit des exigences spécifiques pour les systèmes traitant ces classifications, incluant les contrôles d'accès sous AC-2(1), la journalisation d'audit selon AU-2(3) et les capacités de réponse aux incidents respectant IR-4(1).

Les systèmes Protégé A exigent des contrôles de sécurité de base incluant l'authentification multifacteur (IA-2(1)), le chiffrement en transit et au repos (SC-8(1), SC-28(1)), et des évaluations de sécurité selon CA-2(1). Les systèmes Protégé B ajoutent des exigences pour une journalisation améliorée sous AU-3(2), des environnements de traitement ségrégés respectant SC-7(4) et des contrôles d'accès plus stricts sous AC-3(7).

La plupart des plateformes d'IA commerciales sont conçues pour un usage commercial non classifié. Elles manquent l'architecture de sécurité requise pour le traitement d'information Protégée sous ITSG-33. Les agences gouvernementales ont besoin de plateformes construites spécifiquement pour les environnements réglementés, avec des contrôles de sécurité intégrés dans l'architecture système plutôt qu'ajoutés après coup.

Le défi s'étend à l'entraînement et à l'inférence des modèles. Si votre outil d'IA traite des documents gouvernementaux pour construire des bases de connaissances ou répondre à des requêtes, ce traitement doit se faire à l'intérieur des limites de sécurité appropriées selon SA-4(10). Cela élimine plusieurs services d'IA infonuagiques qui traitent des données dans des environnements partagés multi-locataires.

---

Considérations d'approvisionnement et évaluation des fournisseurs

L'approvisionnement gouvernemental suit des processus spécifiques qui ne s'alignent pas bien avec les cycles de vente typiques des fournisseurs d'IA. L'exigence de spécifications techniques détaillées sous les directives SPAC, la documentation de sécurité respectant les standards ITSM et les attestations de conformité signifient que les agences ont besoin de fournisseurs qui comprennent les exigences gouvernementales dès le départ.

Commencez votre évaluation de fournisseurs avec des questions de structure corporative. L'entreprise est-elle de propriété canadienne ? Ont-ils des investisseurs américains ou des sociétés mères sujettes à la juridiction de la Loi CLOUD ? Où est située leur infrastructure technique ? Ce ne sont pas des questions préliminaires—ce sont des facteurs disqualifiants pour plusieurs cas d'usage gouvernementaux impliquant de l'information Protégée.

Demandez de la documentation de conformité spécifique plutôt que des aperçus de sécurité généraux. Vous avez besoin de rapports SOC 2 Type II, de cartographies de contrôles de sécurité vers ITSG-33 et de diagrammes détaillés de flux de données respectant les exigences SA-4(2). Les fournisseurs qui ne peuvent fournir cette documentation ne sont probablement pas appropriés pour un déploiement gouvernemental sous les politiques actuelles du Conseil du Trésor.

L'approvisionnement d'IA gouvernementale sous les directives SPAC exige des fournisseurs qui peuvent fournir des cartographies détaillées de contrôles de sécurité ITSG-33, des attestations SOC 2 Type II et des révisions d'architecture technique respectant les exigences de documentation SA-4(2)—pas seulement des démonstrations de produits et des feuilles de prix.

Considérez le fardeau de conformité total, pas seulement les coûts de déploiement initial. Une plateforme qui exige une évaluation de sécurité extensive sous CA-2(1), une configuration personnalisée ou une surveillance de conformité continue peut être plus dispendieuse que des solutions plus chères avec des fonctionnalités de conformité gouvernementale intégrées.

---

Stratégies d'implémentation pratiques

Commencez avec une classification claire de vos cas d'usage prévus sous les catégories d'information ITSG-33. Le traitement de documents, la recherche de politiques et les applications de service aux citoyens ont chacun des profils de risque et des exigences de conformité différents. Cette classification guide votre sélection de contrôles de sécurité et vos critères d'évaluation de fournisseurs.

Développez des procédures spécifiques de gestion des données avant le déploiement. Comment vous assurerez-vous que l'information Protégée n'entraîne pas par inadvertance des modèles d'IA commerciaux en violation de SA-4(10) ? Quelles pistes d'audit avez-vous besoin pour la prise de décision automatisée sous AU-2(3) ? Ces contrôles opérationnels sont aussi importants que les fonctionnalités de sécurité techniques.

Planifiez les évaluations d'impact tôt dans le processus d'approvisionnement. L'Évaluation d'impact algorithmique requise sous la section 6.1.1 de la Directive sur la prise de décisions automatisée peut prendre 4 à 6 semaines à compléter incluant les périodes de consultation publique et peut identifier des exigences qui affectent la sélection de fournisseurs. Ne traitez pas cela comme un exercice de conformité post-approvisionnement.

Considérez commencer avec des applications à risque plus faible pour bâtir l'expertise organisationnelle. La gestion de documents, la recherche interne et l'analyse de politiques fournissent des capacités d'IA précieuses tout en maintenant des limites de risque appropriées sous les classifications Protégé A. Le succès avec ces applications construit la fondation pour des déploiements plus complexes.

---

Considérations spécifiques au Québec

Les agences gouvernementales québécoises font face à des exigences additionnelles sous les sections 93-95 de la Loi 25 et les initiatives de transformation numérique de la province. La Commission d'accès à l'information du Québec a émis des directives spécifiques exigeant des Évaluations d'impact sur la vie privée pour les systèmes d'IA qui vont au-delà des exigences fédérales, avec des pénalités jusqu'à 25 000 000 $ sous la section 162.

Les exigences de consentement de la Loi 25 sous la section 14 pour le traitement par IA créent des défis particuliers pour les applications gouvernementales. Bien que les agences gouvernementales aient souvent l'autorité légale de traiter l'information personnelle, les systèmes d'IA peuvent exiger des mesures de protection de la vie privée additionnelles sous la section 95 ou des procédures de notification aux citoyens pour la prise de décision automatisée.

La préférence de la province pour les solutions technologiques québécoises, détaillée dans la stratégie gouvernementale numérique, crée des avantages d'approvisionnement pour les plateformes d'IA canadiennes. Ce n'est pas seulement une question de support linguistique—c'est de supporter la capacité technologique domestique et maintenir le contrôle réglementaire sous juridiction provinciale.

Des plateformes comme Augure adressent spécifiquement les exigences réglementaires québécoises avec des fonctionnalités de conformité à la Loi 25 intégrées incluant des modèles d'Évaluation d'impact sur la vie privée de la section 93 et des capacités de traitement en français optimisées pour les contextes légaux et réglementaires canadiens.

---

Aller de l'avant avec confiance

L'adoption d'IA gouvernementale n'exige pas de compromettre les standards de conformité. La clé est de sélectionner des plateformes conçues pour les environnements réglementés dès le départ, plutôt que d'essayer d'adapter des outils commerciaux pour l'usage gouvernemental sous les exigences ITSG-33.

Concentrez-vous sur les fournisseurs qui comprennent les exigences réglementaires canadiennes et peuvent fournir de la documentation de conformité détaillée respectant les standards du Conseil du Trésor. Le processus d'approvisionnement initial peut prendre plus de temps, mais une sélection de fournisseur appropriée élimine les maux de tête de conformité continus et réduit le risque opérationnel à long terme.

Votre organisation a besoin de capacités d'IA qui respectent autant les exigences opérationnelles que les obligations réglementaires. Évaluez les plateformes construites spécifiquement pour l'usage gouvernemental canadien à augureai.ca pour voir comment une architecture de conformité appropriée supporte autant la sécurité que la fonctionnalité.