Comment documenter la conformité IA pour le CPCSC

Les organisations fédérales canadiennes déployant des systèmes d'IA doivent maintenir une documentation complète selon les directives du Centre canadien pour la cybersécurité (CPCSC) du Centre de la sécurité des télécommunications. Cette documentation sert un double objectif : démontrer la conformité réglementaire et permettre une intervention rapide en cas d'incident. La Directive du Conseil du Trésor sur la prise de décisions automatisée (sections 6.1.1-6.3.2) exige des évaluations d'impact détaillées, tandis que les cadres de cybersécurité ITSG-33 du CPCSC demandent des dossiers de surveillance continue et des pistes d'audit.

---

Exigences de documentation essentielles

Le CPCSC s'attend à ce que les organisations fédérales maintiennent quatre catégories de documentation de conformité IA. Chaque catégorie répond à des exigences réglementaires spécifiques sous les sections 6.1-6.3 de la Directive du Conseil du Trésor sur la prise de décisions automatisée et les cadres de cybersécurité connexes selon les directives ITSG-33.

La Documentation d'évaluation d'impact forme la base sous la section 6.1.1 de la Directive du Conseil du Trésor. Les organisations doivent documenter les évaluations d'impact algorithmique avant le déploiement du système, incluant les cotes de risque selon les critères de l'Annexe C, les évaluations de biais sous la section 6.1.3, et les protocoles de supervision humaine respectant les exigences de la section 6.2.1. Les systèmes à impact élevé (Niveau 3-4) exigent une documentation renforcée sous la section 6.2.8.

Les Dossiers d'architecture technique détaillent les composants du système, les flux de données et les contrôles de sécurité selon les exigences AC-4 d'ITSG-33. Les directives du CPCSC exigent des diagrammes de réseau montrant les points d'intégration du système d'IA, les confirmations de résidence des données sous la section 8 de la Loi sur la protection des renseignements personnels, et les dépendances aux services tiers documentées selon la section 6.3.3 de la Directive du Conseil du Trésor.

« Les systèmes d'IA fédéraux doivent maintenir une documentation complète de la lignée des données sous la section 4 de la Loi sur la protection des renseignements personnels, depuis les données d'entraînement initiales jusqu'aux résultats de production, avec une attention particulière aux flux de données transfrontaliers interdits sous la section 8(2) sans autorité légale. ITSG-33 du CPCSC exige une approbation documentée pour tout traitement de données transfrontalier. »

Les Journaux de surveillance opérationnelle capturent la performance continue du système et les événements de sécurité selon les exigences AU-6 d'ITSG-33. Les organisations doivent documenter les mesures de précision du modèle contre les seuils de l'Annexe C de la Directive du Conseil du Trésor, les résultats de détection de biais sous la section 6.2.2, et tout comportement système inhabituel. Les cadres du CPCSC exigent des capacités de surveillance en temps réel avec alerte automatisée pour l'activité anormale sous les contrôles SI-4.

La Documentation de réponse aux incidents enregistre toute défaillance du système d'IA, violation de sécurité ou violation de conformité selon la section 6.3.1 de la Directive du Conseil du Trésor. Les organisations fédérales doivent maintenir des chronologies d'incidents détaillées, des actions de remédiation dans les 30 jours, et une documentation des leçons apprises respectant les exigences IR-4 d'ITSG-33.

---

Documentation de résidence et souveraineté des données

Le CPCSC met un accent particulier sur la documentation des contrôles de résidence et souveraineté des données pour les systèmes d'IA sous la section 8 de la Loi sur la protection des renseignements personnels et les exigences de protection des frontières SC-7 d'ITSG-33. Les organisations fédérales doivent maintenir des dossiers clairs de l'endroit où le traitement d'IA se produit et quelles juridictions ont un accès potentiel aux données.

Les Dossiers de traitement géographique doivent identifier l'emplacement physique de tout calcul d'IA selon les exigences de la section 8(2) de la Loi sur la protection des renseignements personnels, incluant l'entraînement, l'inférence et le stockage de données. Les organisations doivent documenter tous les fournisseurs de services infonuagiques, leur présence juridictionnelle, et les lois d'accès étrangères applicables comme le CLOUD Act américain qui pourrait entrer en conflit avec les protections de la Loi sur la protection des renseignements personnels.

La section 8 de la Loi sur la protection des renseignements personnels exige que les institutions fédérales protègent les renseignements personnels contre la divulgation étrangère sauf sous les autorités spécifiques du paragraphe 8(2). Les systèmes d'IA traitant des renseignements personnels doivent documenter la conformité à ces restrictions et toute divulgation autorisée avec l'approbation du Conseil du Trésor sous la section 8(2)(e).

La Documentation d'évaluation des fournisseurs devient critique lors de l'utilisation de services d'IA tiers sous la section 6.3.3 de la Directive du Conseil du Trésor. Les organisations doivent documenter les évaluations de diligence raisonnable, les protections contractuelles de la vie privée respectant les normes de la Loi sur la protection des renseignements personnels, et la surveillance continue de conformité pour les fournisseurs externes selon le Principe 7 de PIPEDA où existent des relations commerciales.

« ITSG-33 SC-7 du CPCSC exige que les organisations fédérales maintiennent des évaluations détaillées des fournisseurs pour tout fournisseur de services d'IA, avec un examen particulier des structures de propriété étrangère et des exigences d'accès gouvernemental potentielles qui pourraient violer les protections de la section 8 de la Loi sur la protection des renseignements personnels. Les plateformes souveraines canadiennes éliminent ces fardeaux de documentation de conformité. »

Augure répond à ces exigences grâce à son architecture souveraine, maintenant tout traitement d'IA à l'intérieur des frontières canadiennes sans sociétés mères américaines ou obligations d'accès étrangères. Les organisations utilisant l'infrastructure canadienne d'Augure peuvent documenter une conformité simplifiée de résidence des données sous la section 8 de la Loi sur la protection des renseignements personnels.

---

Exigences de piste d'audit

Les systèmes d'IA fédéraux doivent maintenir des pistes d'audit complètes permettant la révision réglementaire et l'investigation d'incidents selon les contrôles AU-2 à AU-12 d'ITSG-33. Les cadres du CPCSC exigent que ces pistes soutiennent à la fois la supervision opérationnelle et la vérification de conformité de la Directive du Conseil du Trésor.

Les Journaux d'audit de décision doivent capturer suffisamment de détails pour reconstruire les décisions pilotées par l'IA affectant les individus sous la section 6.2.3 de la Directive du Conseil du Trésor. Les organisations doivent documenter les capacités d'explication respectant les exigences de la section 6.2.4 et démontrer l'implémentation de supervision humaine selon les normes de la section 6.2.1.

La Documentation de performance du modèle suit la précision du système d'IA contre les seuils d'impact de l'Annexe C de la Directive du Conseil du Trésor, les mesures de biais sous la section 6.2.2, et la dégradation de performance exigeant une révision du système selon la section 6.2.8. Les organisations doivent documenter des procédures régulières de validation du modèle et des actions correctives lorsque la performance tombe sous les seuils établis dans les 30 jours selon la section 6.3.1.

Les Dossiers de contrôle d'accès documentent qui a accédé aux systèmes d'IA selon les exigences AC-2 d'ITSG-33, quand l'accès s'est produit, et quelles actions ont été effectuées. Les cadres de cybersécurité du CPCSC exigent une journalisation détaillée de l'accès administratif, des mises à jour de modèles, et des changements de configuration respectant les normes de contenu d'audit AU-3.

Les Journaux de traitement des données suivent le traitement des renseignements personnels à travers les systèmes d'IA sous les exigences de collecte de la section 4 de la Loi sur la protection des renseignements personnels. Les organisations doivent documenter les objectifs de collecte de données, les activités de traitement, les périodes de rétention selon les normes de Fichier de renseignements personnels du Conseil du Trésor, et les procédures de suppression sous la section 12(2) de la Loi sur la protection des renseignements personnels.

« Les pistes d'audit d'IA efficaces doivent être inviolables selon les exigences AU-9 d'ITSG-33, régulièrement sauvegardées sous les normes CP-9, et accessibles aux réviseurs autorisés dans les 24 heures des demandes de conformité du Commissaire à la vie privée ou du Secrétariat du Conseil du Trésor sous les autorités d'audit respectives. »

---

Intégration avec les cadres de conformité existants

La documentation de conformité IA doit s'intégrer avec les programmes de conformité fédéraux plus larges incluant les obligations de la Loi sur la protection des renseignements personnels, les exigences de PIPEDA pour les activités commerciales sous juridiction fédérale, le signalement d'incidents de cybersécurité selon les directives du CPCSC, et le signalement du Cadre de responsabilisation de gestion du Conseil du Trésor.

L'Intégration d'évaluation d'impact sur la vie privée exige que les organisations mettent à jour les ÉFVP existantes lors du déploiement de systèmes d'IA traitant des renseignements personnels sous les exigences de la Politique d'ÉFVP du Conseil du Trésor. Les directives du Commissaire à la vie privée s'attendent à des évaluations détaillées des risques de vie privée spécifiques à l'IA abordant les impacts de prise de décisions automatisée dans le cadre de la documentation d'ÉFVP standard.

Le Signalement d'événements de cybersécurité sous les exigences IR-6 d'ITSG-33 du CPCSC doit inclure les incidents liés à l'IA. Les organisations doivent documenter comment les compromissions de système d'IA sont détectées, signalées dans les délais prescrits, et remédiées respectant les normes de gestion d'événements de cybersécurité du Conseil du Trésor.

Le Signalement du Cadre de responsabilisation de gestion peut exiger des mesures et indicateurs de conformité spécifiques à l'IA sous les attentes du Secrétariat du Conseil du Trésor. Les organisations devraient aligner la documentation d'IA avec les processus existants de mesure de performance et de gestion des risques respectant les domaines de gestion essentiels du CRG.

---

Considérations spécifiques au Québec

Les organisations fédérales opérant des systèmes d'IA affectant les résidents du Québec doivent aborder les exigences de la Loi 25 même dans la juridiction fédérale, particulièrement pour les activités commerciales ou les programmes partagés provincial-fédéral.

La Documentation interjuridictionnelle doit aborder les exigences d'Évaluation d'impact sur la vie privée de la section 93 de la Loi 25 pour les systèmes d'IA traitant les renseignements personnels des résidents du Québec. Les organisations doivent documenter la conformité avec les exigences fédérales de la Loi sur la protection des renseignements personnels et les normes provinciales de la Loi 25 où applicable.

La Documentation de consentement et transparence doit respecter les exigences de consentement des sections 14-16 de la Loi 25 et les obligations de transparence des sections 8-13 où les résidents du Québec sont affectés. Les organisations fédérales doivent documenter comment les systèmes d'IA se conforment aux normes de consentement renforcées de la Loi 25, même lorsque la Loi sur la protection des renseignements personnels fournit différentes autorités fédérales.

---

Modèles de documentation pratiques

Les organisations fédérales bénéficient de modèles de documentation standardisés abordant les exigences communes du CPCSC et les obligations de la Directive du Conseil du Trésor. Ces modèles assurent une documentation de conformité cohérente à travers les ministères et agences.

Le Modèle de profil de système d'IA devrait inclure l'objectif du système, l'architecture technique selon les normes de documentation ITSG-33, les sources de données respectant les exigences de collecte de la Loi sur la protection des renseignements personnels, la logique de décision abordant la section 6.2.4 de la Directive du Conseil du Trésor, les procédures de supervision humaine selon la section 6.2.1, et les mesures de performance contre les seuils de l'Annexe C. Les organisations doivent mettre à jour ces profils chaque fois que les composants du système changent selon la section 6.3.1.

Les Rapports de conformité mensuels peuvent résumer la performance du système d'IA contre les seuils du Conseil du Trésor, les incidents de conformité sous la section 6.3.1, et les activités de remédiation. Le signalement régulier démontre une supervision continue sous la section 6.2.8 et aide à identifier les problèmes de conformité systémiques exigeant une notification au Secrétariat du Conseil du Trésor.

La Liste de vérification d'évaluation de fournisseur devrait aborder la résidence des données selon la section 8 de la Loi sur la protection des renseignements personnels, les structures de propriété étrangère, les exigences d'accès gouvernemental entrant en conflit avec la loi canadienne, les contrôles de sécurité respectant les normes ITSG-33, et les certifications de conformité. Les organisations doivent réévaluer les fournisseurs annuellement ou lorsque les termes contractuels changent selon les politiques de passation de marchés du Conseil du Trésor.

---

Rétention et accès de la documentation

Les directives du CPCSC exigent que les organisations fédérales maintiennent la documentation de conformité IA pour des périodes de rétention spécifiques sous la Politique de gestion de l'information du Conseil du Trésor et assurent l'accès autorisé pour la révision réglementaire par le Commissaire à la vie privée, le Secrétariat du Conseil du Trésor, et les fonctions d'audit ministérielles.

Les Exigences de rétention suivent les normes de la Directive sur la tenue de documents du Conseil du Trésor : rétention de sept ans pour les évaluations d'impact et rapports de conformité, avec les journaux d'audit maintenus selon les exigences AU-11 d'ITSG-33 (typiquement 1-3 ans selon la classification du système). Les organisations doivent maintenir la documentation en formats accessibles pendant les périodes de rétention.

Les Contrôles d'accès doivent équilibrer la transparence de conformité avec la sécurité opérationnelle selon les exigences AC-3 d'ITSG-33. Les systèmes de documentation devraient soutenir l'accès basé sur les rôles avec journalisation d'audit complète des activités de réviseur respectant les normes d'audit AU-2.

Les organisations fédérales peuvent établir des programmes de documentation IA conformes en implémentant une tenue de dossiers systématique respectant les normes du Conseil du Trésor et du CPCSC, des révisions de conformité régulières selon les délais réglementaires, et des procédures d'escalade claires pour les violations de conformité. Les organisations cherchant une documentation de conformité simplifiée peuvent explorer la plateforme d'IA souveraine canadienne d'Augure à augureai.ca, qui élimine les préoccupations de résidence de données étrangères tout en maintenant une conformité réglementaire canadienne complète.