Qu'est-ce que la souveraineté des données au Canada? (Et pourquoi les outils d'IA américains représentent un risque)

La souveraineté des données au Canada signifie s'assurer que les données canadiennes demeurent sous la juridiction et le contrôle légaux canadiens. Lorsque les organisations canadiennes utilisent des outils d'IA basés aux États-Unis comme ChatGPT ou Claude, elles soumettent des informations sensibles aux lois de surveillance étrangères, incluant le CLOUD Act américain. Cela crée des risques de conformité directs sous le principe 4.7 de la LPRPDE, les articles 17-22 de la Loi 25, et les réglementations sectorielles spécifiques qui exigent des organisations qu'elles protègent les renseignements personnels contre l'accès étranger non autorisé.

Pourquoi la souveraineté des données importe pour la conformité canadienne

Les lois canadiennes sur la protection de la vie privée présument que vous pouvez contrôler qui accède à vos données. Le principe 4.7 de la LPRPDE exige des organisations qu'elles protègent les renseignements personnels avec des « mesures de sécurité appropriées à la sensibilité de l'information ». L'annexe 1, section 4.1.3 rend les organisations responsables des renseignements personnels en leur possession ou sous leur garde, incluant l'information transférée à des tiers.

Lorsque vous téléversez un dossier client sur ChatGPT, ces données voyagent vers des serveurs américains appartenant à OpenAI, une corporation du Delaware. Sous le Clarifying Lawful Overseas Use of Data (CLOUD) Act américain de 2018, les autorités américaines peuvent contraindre OpenAI à produire ces données canadiennes sans vous en aviser ni aviser votre client.

Ce n'est pas théorique. En 2023, le Commissaire à la protection de la vie privée du Canada a enquêté sur plusieurs organisations pour avoir utilisé des outils basés aux États-Unis sans mesures de sécurité adéquates pour les transferts de renseignements personnels.

---

Le problème du CLOUD Act pour les organisations canadiennes

Le CLOUD Act permet aux agences d'application de la loi et de renseignement américaines d'exiger des données d'entreprises américaines peu importe où ces données sont physiquement stockées. Si Microsoft stocke vos données Teams dans des centres de données canadiens, le CLOUD Act s'applique encore parce que Microsoft est une corporation américaine.

Le CLOUD Act crée un conflit légal : le principe 4.7 de la LPRPDE interdit aux organisations de divulguer des renseignements personnels sans consentement, tandis que la loi américaine peut contraindre les entreprises américaines à produire des données canadiennes sans processus légal canadien ou notification aux individus affectés.

Pour les organisations canadiennes réglementées, cela crée une position impossible. Un hôpital québécois utilisant les services d'IA de Microsoft ne peut garantir que les données patients ne seront pas accédées par les autorités américaines sous les demandes du CLOUD Act. Cela viole à la fois les exigences de protection de l'article 17 de la Loi 25 et les obligations de confidentialité des soins de santé sous les lois provinciales sur l'information de santé.

L'insight clé : la souveraineté des données ne concerne pas l'emplacement physique des serveurs. Elle concerne la juridiction légale et le contrôle corporatif.

---

La LPRPDE et les transferts de données transfrontaliers

Le principe 4.1.3 de la LPRPDE rend les organisations responsables des renseignements personnels transférés à des tiers. Les directives du Commissaire à la protection de la vie privée sur les transferts transfrontaliers sous la LPRPDE exigent des organisations qu'elles :

• Évaluent l'environnement légal du pays de destination • Implémentent des mesures de sécurité contractuelles avec les fournisseurs de services • Surveillent la conformité tout au long de la relation • Avisent les individus si la loi étrangère peut exiger la divulgation de leurs renseignements personnels

Les outils d'IA basés aux États-Unis échouent sur plusieurs critères. Les organisations ne peuvent contractuellement empêcher la conformité au CLOUD Act par les fournisseurs américains. Elles ne peuvent surveiller les demandes d'accès du gouvernement américain, qui incluent souvent des ordres de bâillon. Plus important encore, elles ne peuvent fournir un avis significatif concernant l'accès potentiel de surveillance américaine.

Le projet de loi C-27 proposant la Loi sur la protection de la vie privée des consommateurs rend cela explicite avec des pénalités monétaires administratives jusqu'à 25 millions $ ou 5 % des revenus mondiaux sous l'article 93 pour des mesures de sécurité inadéquates de transferts transfrontaliers.

---

La Loi 25 et l'approche plus stricte du Québec

La Loi 25 du Québec adopte une approche plus restrictive aux transferts transfrontaliers. L'article 17 exige un consentement explicite avant de transférer des renseignements personnels hors du Québec, à moins que la juridiction réceptrice ne fournisse une « protection adéquate ».

L'article 22 exige spécifiquement des organisations qu'elles « prennent en compte, notamment, le cadre juridique applicable dans l'État ou le territoire de destination, incluant les lois de surveillance ». Cela adresse directement les préoccupations du CLOUD Act.

L'article 17 de la Loi 25 exige un « consentement explicite » pour les transferts transfrontaliers de renseignements personnels à moins que la destination ne fournisse une protection adéquate. Les lois de surveillance américaines sous le CLOUD Act rendent cette norme presque impossible à atteindre pour tout fournisseur de services basé aux États-Unis.

Pour les organisations québécoises, utiliser des outils d'IA américains sans consentement client explicite crée des violations directes de la Loi 25. L'article 93 exige aussi des évaluations d'impact sur la vie privée pour les systèmes de traitement automatisé présentant des risques significatifs, incluant les systèmes d'IA traitant des renseignements personnels.

Les pénalités québécoises sous l'article 87 de la Loi 25 atteignent 10 millions $ pour les entreprises du secteur privé et 25 millions $ pour certaines violations. La Commission d'accès à l'information du Québec a indiqué que les lois de surveillance américaines empêchent la conclusion de « protection adéquate » qui exempterait les transferts des exigences de consentement.

---

Les risques sectoriels spécifiques composent le problème

Les institutions financières font face à des contraintes additionnelles sous la Ligne directrice B-10 du BSIF sur l'impartition. Les institutions financières sous réglementation fédérale doivent maintenir le contrôle opérationnel sur les services et données critiques, incluant la capacité d'empêcher l'accès non autorisé.

Les organisations de soins de santé doivent se conformer aux lois provinciales sur l'information de santé. L'article 60.1 de la Health Information Act de l'Alberta, l'article 37.1 de la Personal Health Information Protection Act de l'Ontario, et l'article 30.1 de la Personal Information Protection Act de la Colombie-Britannique incluent des restrictions spécifiques sur les transferts transfrontaliers d'information de santé.

Les cabinets d'avocats font face aux exigences de confidentialité des Barreaux. La règle 3.3-1 du Code de déontologie modèle de la Fédération des ordres professionnels de juristes du Canada exige des avocats qu'ils maintiennent la confidentialité client, ce qui peut entrer en conflit avec l'accès de surveillance américain sous le CLOUD Act.

---

Le coût de conformité des outils d'IA américains

Au-delà des pénalités réglementaires, utiliser des outils d'IA américains crée des coûts de conformité continus :

Évaluations d'impact sur la vie privée : L'article 93 de la Loi 25 exige une analyse détaillée pour les systèmes d'IA, incluant les risques du CLOUD Act et les mesures de sécurité de transferts transfrontaliers.

Notification des clients : Le principe 4.1.3 de la LPRPDE et l'article 25 de la Loi 25 peuvent exiger des organisations qu'elles avisent les clients de l'accès potentiel du gouvernement américain à leurs renseignements personnels.

Maintenance de piste d'audit : Les organisations doivent documenter tous les renseignements personnels transférés aux fournisseurs américains et implémenter des systèmes de surveillance pour la conformité avec le principe 4.9 de la LPRPDE.

Gestion des risques légaux : Les conseillers juridiques généraux doivent évaluer si l'accès de surveillance américain pourrait compromettre le privilège avocat-client sous les règles des Barreaux provinciaux.

Une enquête de 2024 par l'Association canadienne des professionnels de la protection de la vie privée a trouvé que les organisations ont dépensé en moyenne 40 heures de révision légale par déploiement de service infonuagique américain pour adresser les exigences de transferts transfrontaliers.

---

Ce que la souveraineté des données canadienne exige réellement

La vraie souveraineté des données exige trois éléments : infrastructure canadienne, contrôle corporatif canadien, et juridiction légale canadienne.

L'infrastructure canadienne signifie des serveurs situés au Canada, mais cela seul n'est pas suffisant. Si une entreprise américaine opère des serveurs canadiens, le CLOUD Act s'applique encore.

Le contrôle corporatif canadien signifie que le fournisseur de services est constitué au Canada sans entreprise mère américaine ou actionnaires contrôlants. Cela empêche la juridiction du CLOUD Act sur l'entité corporative.

La juridiction légale canadienne signifie que les demandes d'accès aux données doivent passer par les tribunaux canadiens sous le Code criminel, la Loi sur la protection des renseignements personnels, ou la législation provinciale. Cela préserve les droits de l'article 8 de la Charte contre les fouilles et saisies abusives.

La souveraineté des données exige que les gouvernements étrangers ne puissent accéder aux données canadiennes sans suivre le processus légal canadien. L'emplacement physique des serveurs est sans importance si le fournisseur de services relève de la juridiction légale étrangère par propriété ou contrôle corporatif.

Des plateformes comme Augure fournissent les trois éléments : infrastructure canadienne, constitution canadienne sans propriété américaine, et juridiction légale exclusivement canadienne. Lorsque les forces de l'ordre ont besoin d'accès aux données sur des plateformes contrôlées canadiennes, elles doivent obtenir des mandats appropriés sous la loi canadienne.

---

Un chemin pratique vers la conformité

Les organisations canadiennes n'ont pas besoin d'abandonner les capacités d'IA pour atteindre la conformité. Elles doivent choisir des outils construits pour les exigences légales canadiennes.

Augure opère entièrement dans la juridiction légale canadienne sans exposition corporative américaine ou vulnérabilité au CLOUD Act. La plateforme inclut des fonctionnalités de protection de la vie privée dès la conception qui s'alignent avec les principes de la LPRPDE, les exigences de la Loi 25, et les obligations sectorielles spécifiques. Les organisations peuvent accéder aux capacités d'IA sans risques de transferts transfrontaliers parce que les données ne quittent jamais le contrôle légal canadien.

Le calcul de conformité est simple : l'IA contrôlée canadienne élimine les évaluations de transferts transfrontaliers sous le principe 4.1.3 de la LPRPDE, réduit la complexité des évaluations d'impact sur la vie privée de l'article 93 de la Loi 25, et retire les risques d'accès de surveillance américain qui créent une exposition légale continue.

Pour les organisations canadiennes réglementées, la souveraineté des données n'est pas optionnelle—c'est une exigence légale sous la LPRPDE, la Loi 25, et la législation sectorielle spécifique qui détermine si l'adoption d'IA crée un avantage concurrentiel ou une responsabilité réglementaire.

Prêt à explorer des outils d'IA construits pour les exigences de conformité canadiennes? Apprenez-en plus sur les options d'IA souveraine à augureai.ca.