Où sont stockées vos données d'IA? Un guide gouvernemental

Lorsque votre ministère adopte des outils d'IA, chaque requête, document et conversation devient une donnée stockée quelque part. Si ce « quelque part » est une infrastructure américaine ou contrôlée par des entités américaines, vos données gouvernementales sont soumises au US CLOUD Act — peu importe où vous croyez qu'elles sont stockées. Les lois canadiennes sur la protection de la vie privée ne sont pas des suggestions ; ce sont des exigences légales avec des pénalités pouvant atteindre 25 000 000 $ selon l'article 93 de la Loi 25.

Les organismes gouvernementaux font face à des obligations de conformité uniques qui font de la sélection de fournisseurs d'IA un champ de mines juridique. Voici ce que vous devez savoir sur l'emplacement des données, les exigences de souveraineté et l'exposition réglementaire.

---

La réalité du US CLOUD Act

Le Clarifying Lawful Overseas Use of Data Act (18 USC §2713) donne aux autorités américaines le pouvoir de contraindre toute entreprise américaine à remettre des données, peu importe où elles sont stockées dans le monde. Ce n'est pas théorique — cela a été appliqué dans plus de 120 cas depuis 2018, incluant des demandes pour des données stockées dans des installations canadiennes.

Si votre plateforme d'IA a une société mère américaine, des investisseurs américains, ou traite des données via une infrastructure américaine, vos données gouvernementales sont accessibles aux autorités américaines. Une filiale canadienne ne fournit pas de protection si la société mère est basée aux États-Unis selon 18 USC §2713(a).

Toute donnée traitée par des plateformes d'IA contrôlées par les États-Unis — incluant les communications du gouvernement canadien — peut être soumise à la découverte légale américaine et aux demandes de sécurité nationale selon le CLOUD Act, peu importe l'emplacement physique de stockage. Cela crée des conflits directs avec les principes de souveraineté canadienne et les obligations spécifiques selon le Principe 4.1.3 de PIPEDA.

Cela crée des conflits directs avec les principes de souveraineté canadienne et les exigences spécifiques de la législation sur la protection de la vie privée. Le Commissariat à la protection de la vie privée a noté ces tensions dans plusieurs décisions depuis 2019, soulignant spécifiquement les systèmes d'IA dans son Rapport annuel 2023.

---

Exigences réglementaires canadiennes

Conformité PIPEDA pour les agences fédérales

La Loi sur la protection des renseignements personnels et les documents électroniques exige que les agences fédérales s'assurent que les renseignements personnels reçoivent une protection équivalente lorsqu'ils sont transférés à des tiers selon le Principe 4.1.3. L'Annexe 1, section 4.1.3 traite spécifiquement de la divulgation à des entités étrangères et exige des normes de protection comparables.

Selon le Principe 4.8 de PIPEDA, vous devez aviser les individus si leurs renseignements personnels peuvent être accessibles par des gouvernements étrangers. Pour les systèmes d'IA traitant des données citoyennes, cela crée des obligations de notification selon l'article 8(1) que la plupart des ministères n'ont pas abordées.

Les pénalités administratives pécuniaires selon l'article 20.2 de PIPEDA peuvent atteindre 100 000 $ par violation. Le Commissaire à la protection de la vie privée a rendu 847 décisions en 2023, avec les plaintes liées à la technologie augmentant de 34 % d'une année à l'autre, et les plaintes spécifiques à l'IA augmentant de 127 %.

Exigences de la Loi 25 au Québec

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25) inclut des exigences spécifiques de résidence des données selon l'article 17. Cet article exige un consentement explicite pour les transferts de données hors du Québec, avec des exceptions limitées pour les opérations gouvernementales selon l'article 18.

La structure de pénalités de la Loi 25 selon l'article 93 reflète le GDPR : jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial. La Commission d'accès à l'information du Québec a indiqué que les systèmes d'IA relèvent de la portée complète de la Loi 25, incluant les exigences de consentement selon les articles 8-12 et la minimisation des données selon l'article 10.

Les organismes gouvernementaux utilisant l'IA doivent s'assurer que les fournisseurs respectent les exigences de résidence des données de la Loi 25 selon l'article 17 et peuvent démontrer des protections de la vie privée spécifiques au Québec selon les articles 67-69 — pas seulement des déclarations génériques de conformité canadienne. L'article 67 impose des Évaluations d'impact sur la vie privée pour les systèmes d'IA traitant des renseignements personnels.

Pour le traitement d'IA bilingue, cela signifie que les modèles doivent comprendre le contexte juridique québécois, pas seulement la traduction linguistique. L'article 25 de la Loi 25 exige que l'information soit accessible en français, ce qui s'applique aux interfaces et réponses d'IA.

Variations provinciales

L'article 30.1 de la Personal Information Protection Act de la Colombie-Britannique exige une notification avant d'utiliser des services basés aux États-Unis. Cela s'applique aux plateformes d'IA avec tout composant d'infrastructure ou connexions corporatives américaines.

La Personal Information Protection Act de l'Alberta a des exigences de divulgation similaires selon l'article 19(1)(i), couvrant spécifiquement « la divulgation à des gouvernements hors du Canada ».

L'article 42 de la Loi sur l'accès à l'information et la protection de la vie privée de l'Ontario restreint la divulgation de renseignements personnels hors du Canada sans autorisation statutaire. Les gouvernements municipaux font face à des obligations supplémentaires selon les Lois municipales sur l'accès à l'information et la protection de la vie privée, avec l'article 32 gouvernant les transferts de données transfrontaliers.

---

Étapes de vérification d'infrastructure

Confirmer l'emplacement de traitement des données

Demandez une confirmation écrite que tout traitement de données se produit à l'intérieur des frontières canadiennes selon la Norme CSA 20.1. « Données stockées au Canada » n'est pas suffisant — l'emplacement de traitement importe pour l'exposition au CLOUD Act selon 18 USC §2713.

Demandez spécifiquement à propos de :

• L'emplacement de l'infrastructure d'entraînement de modèle et la catégorisation CST
• Les installations de traitement de requêtes et génération de réponses
• Les emplacements de sauvegarde et récupération de désastre selon la Directive du Conseil du Trésor
• Les points d'accès administratif et les niveaux d'autorisation du personnel

Vérifier la structure corporative

Vérifiez que le fournisseur d'IA n'a aucune société mère américaine, filiales avec opérations américaines, ou investisseurs américains. L'implication de capital-investissement crée souvent un contrôle américain indirect qui déclenche les obligations du CLOUD Act selon 18 USC §2713(h).

Examinez l'enregistrement corporatif du fournisseur selon Corporations Canada, la documentation d'investisseur, et tout dépôt SEC. L'incorporation canadienne seule ne garantit pas la souveraineté si les structures de propriété créent un lien américain selon l'article 2713(a).

Auditer la documentation de conformité

Exigez que les fournisseurs fournissent des attestations de conformité spécifiques pour la législation applicable :

• Certification de conformité au Principe 4.1.3 de PIPEDA
• Conformité aux articles 17 et 67 de la Loi 25 pour les opérations québécoises
• Conformité à l'article 30.1 (CB) ou à l'article 19 (Alberta) des lois provinciales sur la protection de la vie privée selon le cas
• Rapports SOC 2 Type II d'auditeurs canadiens avec supervision CST

---

Mise en œuvre pratique de la souveraineté

Considérations d'approvisionnement

Les politiques d'approvisionnement fédéral selon la Directive du Conseil du Trésor sur les services et le numérique exigent la résidence de données canadienne pour les systèmes Protégé B. Les outils d'IA devraient respecter les mêmes normes selon la Norme sur la catégorisation de sécurité.

Incluez des exigences de souveraineté spécifiques dans le langage de demande de propositions :

• Résidence de données canadienne obligatoire selon les directives CST
• Aucune société mère ou investisseur américain selon l'analyse du CLOUD Act
• Immunité explicite au CLOUD Act selon 18 USC §2713
• Juridiction légale canadienne selon la Loi sur les Cours fédérales

Cadres d'évaluation des risques

Les directives ITSP.50.104 du Centre de la sécurité des télécommunications s'appliquent aux systèmes d'IA. Les systèmes Protégé B et Protégé C exigent des mesures de protection renforcées qui excluent l'utilisation d'infrastructure américaine selon les normes CST.

Documentez votre évaluation des risques de souveraineté selon la Politique du Conseil du Trésor sur la sécurité du gouvernement. L'IA n'est pas exemptée des exigences de sécurité établies selon le Profil de contrôle de sécurité.

Les évaluations de risques gouvernementales doivent explicitement traiter l'exposition au CLOUD Act lors de l'évaluation des fournisseurs d'IA selon la Directive du Conseil du Trésor sur la gestion de la sécurité — traitant les systèmes d'IA avec les mêmes exigences de souveraineté que les autres infrastructures Protégé B selon les normes de catégorisation CST.

Formation et sensibilisation

Le personnel doit comprendre que les conversations d'IA ne sont pas éphémères. Chaque requête crée des dossiers soumis à l'article 3 de la Loi sur la protection des renseignements personnels et à l'article 4 de la Loi sur l'accès à l'information.

Développez une formation spécifique à l'IA sur la protection de la vie privée couvrant :

• L'identification de renseignements personnels selon l'article 3 de la Loi sur la protection des renseignements personnels
• Les politiques d'utilisation appropriée selon les codes de valeurs et d'éthique du Conseil du Trésor
• La réponse aux incidents selon le Règlement sur les atteintes à la vie privée DORS/2018-150
• Les exigences de documentation selon la Directive sur la tenue de documents

---

Surveillance continue de la conformité

Audits réguliers des fournisseurs

Établissez des examens trimestriels du statut de conformité des fournisseurs d'IA selon l'article 4.2.3 de la Directive du Conseil du Trésor sur les services et le numérique. Les structures corporatives changent, et la conformité de souveraineté n'est pas une vérification unique selon les normes CST.

Surveillez pour :

• Les changements dans la propriété corporative déclenchant l'exposition au CLOUD Act
• Les nouveaux emplacements de traitement de données hors de la juridiction canadienne
• Les mises à jour des politiques de confidentialité affectant la conformité au Principe 4.1.3 de PIPEDA
• Les renouvellements de certification de conformité selon les lois provinciales applicables

Suivi d'utilisation interne

Implémentez des systèmes de journalisation respectant les exigences de la Directive du Conseil du Trésor sur les pratiques relatives à la protection de la vie privée. Cela soutient à la fois l'audit de conformité selon l'article 72 de la Loi sur la protection des renseignements personnels et la réponse aux incidents si des atteintes à la vie privée se produisent.

Documentez les processus de prise de décision assistés par IA selon les exigences de la Loi sur les tribunaux administratifs pour la responsabilisation et les procédures d'appel. Les citoyens ont des droits selon l'article 41 de la Loi sur la protection des renseignements personnels de comprendre comment l'IA a influencé les décisions gouvernementales les affectant.

---

Alternatives d'IA souveraine

Les organismes canadiens ont besoin de plateformes d'IA construites spécifiquement pour les exigences réglementaires canadiennes. Des plateformes comme Augure fournissent une résidence de données 100 % canadienne sous supervision CST, aucune société mère américaine pour éviter l'exposition au CLOUD Act, et des modèles entraînés sur des contextes juridiques canadiens incluant les exigences de l'article 17 de la Loi 25 et la conformité au Principe 4.1.3 de PIPEDA.

La vraie souveraineté signifie plus que l'emplacement des données — elle exige une propriété canadienne selon la Loi sur Investissement Canada, une infrastructure canadienne respectant les normes CST, et une juridiction légale canadienne selon la Loi sur les Cours fédérales. Ce ne sont pas des fonctionnalités haut de gamme ; ce sont des exigences de conformité de base pour l'utilisation d'IA gouvernementale selon les politiques du Conseil du Trésor.

La souveraineté d'IA canadienne exige une indépendance complète de la juridiction légale américaine selon 18 USC §2713. Cela signifie une propriété canadienne, une infrastructure contrôlée par le Canada, et des cadres juridiques canadiens — pas seulement des déclarations de résidence de données qui peuvent être outrepassées par les obligations de sociétés mères.

Vérifiez le statut de souveraineté de votre fournisseur d'IA actuel avant votre prochain audit de conformité selon la Directive du Conseil du Trésor sur les services et le numérique. Si vous ne pouvez pas confirmer une résidence et propriété de données 100 % canadienne, vous créez probablement une exposition réglementaire qui pourrait coûter à votre organisation jusqu'à 25 000 000 $ en pénalités de la Loi 25 selon l'article 93.

Pour une vérification détaillée de souveraineté et des alternatives d'IA canadienne construites spécifiquement pour les exigences de conformité gouvernementale, des organismes comme Augure démontrent comment une infrastructure canadienne appropriée protège à la fois votre organisation et les citoyens que vous servez tout en respectant toutes les obligations réglementaires fédérales et provinciales.