Cinq questions à poser à tout fournisseur d'IA « canadien »

Tous les fournisseurs d'IA « canadiens » ne se valent pas. Lorsque la conformité de votre organisation dépend de la souveraineté des données, vous devez regarder au-delà des allégations marketing et examiner la réalité technique et juridique. Ces cinq questions vous aideront à distinguer la véritable souveraineté de l'IA canadienne des services étrangers reconditionnés avec hébergement local.

Les enjeux sont réels. Sous l'article 91 de la Loi 25, les organisations québécoises font face à des sanctions administratives pécuniaires jusqu'à 4 % du chiffre d'affaires mondial ou 25 millions $ CA pour protection inadéquate des données. Les violations de la LPRPDE sous les articles 20-21 peuvent résulter en ordonnances de la Cour fédérale et dommages à la réputation. Se tromper dans la diligence raisonnable des fournisseurs met votre programme de conformité à risque.

---

Question 1 : Où votre entreprise est-elle constituée et qui sont vos investisseurs ?

Cette question fondamentale révèle plus que la plupart des fournisseurs ne veulent discuter. Plusieurs services d'IA « canadiens » sont des filiales de corporations américaines ou ont des investisseurs américains — les exposant à la juridiction extraterritoriale sous le CLOUD Act américain.

Le CLOUD Act permet aux autorités américaines de contraindre toute entreprise américaine à produire des données, peu importe où elles sont stockées. L'article 2713 étend spécifiquement cette portée aux filiales étrangères et partenariats. Si votre fournisseur d'IA a des maisons mères corporatives américaines ou un investissement américain significatif, vos données canadiennes peuvent être assujetties à la collecte de renseignements étrangers.

« Sous l'article 2713 du CLOUD Act américain, toute filiale canadienne d'une corporation américaine demeure assujettie aux procédures légales américaines peu importe où les données personnelles sont physiquement stockées ou traitées — rendant impossible la véritable souveraineté des données sans structures corporatives contrôlées par le Canada. »

Demandez spécifiquement concernant la structure de propriété du fournisseur. Recherchez des termes comme « corporation canadienne entièrement détenue » ou « aucun investisseur étranger ». Des plateformes comme Augure se structurent explicitement pour éviter ces complications juridictionnelles — constituées au Canada avec propriété et gouvernance exclusivement canadiennes, assurant aucune exposition aux lois extraterritoriales américaines.

Vérifiez les détails de constitution par Corporations Canada ou les registres corporatifs provinciaux. Cette information publique révèle la véritable structure corporative derrière les allégations marketing.

---

Question 2 : Quels contrôles techniques spécifiques avez-vous pour la conformité à la Loi 25 et la LPRPDE ?

La conformité ne concerne pas seulement où les données se trouvent — c'est comment elles sont traitées, conservées et protégées tout au long de leur cycle de vie. L'article 8 de la Loi 25 exige que les organisations mettent en place « des mesures de sécurité propres à assurer la protection des renseignements personnels ».

Les fournisseurs d'IA efficaces intègrent les contrôles de conformité dans leur architecture plutôt que de les adapter ultérieurement. Recherchez des fonctionnalités spécifiques comme :

• Granularité du consentement : Les utilisateurs peuvent-ils contrôler exactement quelles données sont traitées et à quelles fins selon le Principe 1 de la LPRPDE ?
• Minimisation des données : La plateforme collecte-t-elle seulement l'information nécessaire sous l'article 11 de la Loi 25 ?
• Contrôles de rétention : Pouvez-vous établir des politiques de suppression automatique alignées avec les exigences de rétention du Principe 5 de la LPRPDE ?
• Journalisation des accès : Pistes de vérification complètes pour les rapports de conformité sous l'article 27 de la Loi 25 ?

Le Principe 7 de la LPRPDE exige des mesures de sécurité appropriées à la sensibilité de l'information. Demandez comment le fournisseur met en place le chiffrement au repos et en transit, la segmentation réseau, et les contrôles d'accès.

« L'article 25 de la Loi 25 donne aux résidents du Québec des droits explicites à la portabilité des données — votre fournisseur d'IA doit fournir des ensembles de données complets dans des formats structurés et couramment utilisés, faisant du verrouillage fournisseur une violation de conformité si les capacités d'exportation de données sont inadéquates. »

Les politiques de confidentialité génériques ne sont pas suffisantes. Vous avez besoin de documentation technique montrant comment les exigences de protection de la vie privée canadiennes sont mises en œuvre dans le code et l'infrastructure.

---

Question 3 : Pouvez-vous fournir une preuve de résidence des données 100 % canadienne ?

La résidence des données va au-delà du simple stockage de fichiers sur des serveurs canadiens. Dans les applications d'IA, « données » inclut les ensembles de données d'entraînement, les poids de modèles, les journaux d'inférence, les interactions utilisateur, et les métadonnées. Tous ces composants doivent demeurer dans la juridiction canadienne.

Plusieurs fournisseurs d'IA utilisent des réseaux de distribution de contenu (CDN) ou l'équilibrage de charge qui achemine le trafic par des centres de données étrangers. D'autres s'appuient sur l'infrastructure d'entraînement de modèles basée aux États-Unis, signifiant que vos invites sensibles pourraient être traitées à l'extérieur du Canada même si les résultats sont stockés domestiquement.

Demandez des diagrammes détaillés de flux de données montrant :

• Où l'entraînement de modèles survient
• Le routage géographique des requêtes utilisateur
• L'emplacement des systèmes de sauvegarde et récupération d'urgence
• Les intégrations tierces qui pourraient traiter des données canadiennes à l'étranger

Le Centre canadien pour la cybersécurité (CCC) recommande de maintenir un « contrôle canadien de bout en bout » sur le traitement de données sensibles. Cela signifie infrastructure canadienne exploitée par des entités canadiennes sous la loi canadienne.

« La véritable souveraineté des données sous la LPRPDE et la Loi 25 exige que tout traitement, stockage et transmission de renseignements personnels canadiens surviennent dans la juridiction légale canadienne sous contrôle corporatif canadien — le traitement de données étranger crée des lacunes de conformité qu'aucune mesure de sauvegarde contractuelle ne peut entièrement combler. »

Des plateformes comme Augure architecturent spécifiquement leur infrastructure pour assurer une résidence complète des données canadiennes — de l'inférence de modèles au stockage de mémoire persistante, tout traitement demeure dans les frontières canadiennes sous autorité légale canadienne.

---

Question 4 : Comment gérez-vous l'entraînement de modèles et quelles sources de données utilisez-vous ?

L'entraînement de modèles d'IA présente des défis uniques de souveraineté. Plusieurs services d'IA canadiens s'appuient sur des modèles entraînés par des entreprises étrangères utilisant des ensembles de données de provenance inconnue. Cela crée des risques potentiels de conformité et une dépendance sur l'infrastructure technique étrangère.

Les grands modèles de langage entraînés sur des données extraites du web peuvent contenir des renseignements personnels collectés sans consentement, violant le Principe 1 de la LPRPDE. Demandez aux fournisseurs concernant leurs sources de données d'entraînement et s'ils ont mené des évaluations d'impact sur la vie privée (ÉIVP) comme exigé sous l'article 93 de la Loi 25.

Questions clés pour la gouvernance des modèles :

• Le modèle a-t-il été entraîné utilisant des données canadiennes sans consentement explicite ?
• Le fournisseur peut-il garantir que les données d'entraînement n'incluent pas de renseignements personnels de résidents canadiens ?
• Quelle relation continue existe avec les développeurs de modèles étrangers ?
• Comment les mises à jour et améliorations de modèles sont-elles gérées ?

Certains fournisseurs licencient des modèles d'OpenAI, Google, ou d'autres entreprises américaines, créant des dépendances continues qui pourraient compromettre la souveraineté. D'autres entraînent des modèles domestiquement utilisant des ensembles de données soigneusement organisés avec provenance claire.

La Commission d'accès à l'information du Québec (CAI) a indiqué que les organisations utilisant des modèles d'IA entraînés sur des données personnelles sans consentement peuvent violer les principes fondamentaux de la Loi 25 sous les articles 12-14, peu importe où l'entraînement a eu lieu.

---

Question 5 : Qu'arrive-t-il aux données lorsque notre contrat se termine ?

Les droits de portabilité et suppression des données sont des exigences fondamentales sous le Principe 9 de la LPRPDE et l'article 25 de la Loi 25, mais plusieurs organisations négligent ces dispositions lors de la sélection de fournisseurs. L'article 25 de la Loi 25 donne aux individus des droits explicites à la portabilité des données, que votre fournisseur d'IA doit supporter.

Les ententes de fournisseurs efficaces spécifient :

• Formats d'exportation : Exportation complète de données dans des formats structurés et lisibles par machine selon l'article 25 de la Loi 25
• Échéanciers de suppression : Destruction certifiée de toutes copies de données dans des délais spécifiés sous le Principe 5 de la LPRPDE
• Procédures de vérification : Confirmation indépendante que la suppression est complète
• Gestion des sauvegardes : Comment les copies archivées ou de sauvegarde sont identifiées et détruites

Le Principe 5 de la LPRPDE exige que les renseignements personnels soient conservés seulement aussi longtemps que nécessaire pour les fins identifiées. Les politiques de rétention de votre fournisseur d'IA doivent s'aligner avec vos propres exigences de gouvernance des données, non leur commodité d'affaires.

« Sous l'article 12 de la Loi 25, les organisations québécoises demeurent entièrement responsables de protéger les renseignements personnels même lorsque traités par des fournisseurs tiers — les pratiques de données des fournisseurs deviennent une responsabilité directe de conformité, faisant de la sélection de fournisseurs une décision critique de gouvernance. »

Demandez des échantillons d'accords de traitement de données (ATD) qui spécifient ces termes. Les politiques de confidentialité génériques ne créent pas d'obligations exécutoires pour la gestion de données après la fin de contrat.

Considérez les fournisseurs qui fournissent un contrôle granulaire sur la rétention et suppression de données plutôt que d'exiger que vous fassiez confiance à leurs processus internes. Les organisations utilisant Augure peuvent contrôler les politiques de rétention directement par l'interface de la plateforme, maintenant le contrôle de conformité plutôt que de le déléguer à la discrétion du fournisseur.

---

Documentation et vérification

La diligence raisonnable des fournisseurs exige de la documentation, pas seulement des assurances verbales. Demandez des copies de :

• Documents d'enregistrement corporatif montrant la juridiction et propriété
• Évaluations d'impact sur la vie privée pour leurs systèmes d'IA selon l'article 93 de la Loi 25
• Diagrammes d'architecture technique montrant les flux de données
• Échantillons d'accords de traitement de données
• Rapports d'audit de conformité ou certifications

Vérifiez les allégations par des sources indépendantes où possible. Les registres corporatifs, dépôts réglementaires, et évaluations de sécurité tierces fournissent une validation objective des représentations du fournisseur.

Rappelez-vous que la conformité du fournisseur devient votre conformité sous l'article 4.1.3 de la LPRPDE et l'article 12 de la Loi 25. La Commission d'accès à l'information du Québec tient les organisations responsables des pratiques de données de leurs fournisseurs. Choisissez des fournisseurs dont l'architecture de conformité supporte vos obligations plutôt que de les compliquer.

---

Faire le choix souverain

La souveraineté de l'IA canadienne ne concerne pas seulement la conformité réglementaire — c'est maintenir le contrôle sur l'information la plus sensible de votre organisation. Les bonnes questions de fournisseur vous aident à identifier des plateformes construites pour les exigences canadiennes plutôt que des services étrangers adaptés pour le marketing canadien.

Lors de l'évaluation de fournisseurs d'IA, priorisez ceux qui peuvent démontrer une véritable souveraineté canadienne par structure corporative, architecture technique, et conception de conformité. Les données de votre organisation méritent une protection canadienne sous la loi canadienne.

Découvrez comment Augure fournit une souveraineté complète d'IA pour les organisations canadiennes à augureai.ca.