Le Canada n’a pas de loi fédérale sur l’intelligence artificielle. Le projet LIAD est mort avec la dissolution du Parlement en 2025, et la stratégie nationale renouvelée en est encore à l’étape des consultations. La plupart des organisations ont interprété ce vide comme une permission d’attendre.
C’était une erreur. Pendant qu’Ottawa consultait, trois forces réglementaires ont avancé sans lui.
Le Québec a bougé en premier, et l’application est concrète
L’article 12.1 de la Loi 25 oblige les organisations à informer les personnes lorsqu’une décision les concernant est prise entièrement par un système automatisé. Ça couvre le tri automatisé de candidatures, les modèles de pointage de crédit, la souscription en assurance, les robots conversationnels qui prennent des décisions sur des comptes clients. L’article 3.3 exige une évaluation des facteurs relatifs à la vie privée pour tout traitement qui présente un risque élevé; les systèmes d’IA se qualifient presque systématiquement.
La Commission d’accès à l’information du Québec a signalé une augmentation des vérifications de conformité en 2026. Les sanctions atteignent 25 millions de dollars ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Ce n’est pas théorique. Si votre organisation opère au Québec et utilise l’IA pour prendre des décisions touchant des individus, la CAI peut cogner à votre porte cette année.
La majorité des organisations à qui je parle n’ont pas fait le lien entre leurs déploiements d’IA et leurs obligations sous la Loi 25. Elles ont complété leurs politiques de confidentialité et mécanismes de consentement en 2023-2024, coché la case, et sont passées à autre chose. Les dispositions sur l’IA sont tombées dans un angle mort entre les TI, le juridique et les opérations, là où personne n’en est responsable.
L’Ontario a ajouté une nouvelle exigence en janvier
Depuis le 1er janvier 2026, les offres d’emploi en Ontario doivent divulguer si l’IA est utilisée dans le processus d’embauche. La portée est étroite, mais le signal est large : les provinces n’attendent pas Ottawa. Si vous recrutez dans plusieurs provinces, vos obligations de divulgation varient selon l’endroit où le poste est affiché.
Pour les entreprises qui embauchent à l’échelle nationale, ça crée une asymétrie de conformité facile à manquer et gênante à expliquer. La solution est simple : standardiser vos divulgations au standard provincial le plus exigeant. Mais quelqu’un doit prendre cette décision, et dans la plupart des organisations, personne ne la prend.
L’UE est à quatre mois de l’application du Règlement sur l’IA
Le 2 août 2026, la majorité des dispositions du Règlement européen sur l’IA entrent en vigueur. Les systèmes d’IA à haut risque doivent avoir complété leurs évaluations de conformité, finalisé la documentation technique, apposé le marquage CE et s’être inscrits dans la base de données européenne. Si votre entreprise vend en Europe, traite des données de résidents européens ou a des filiales là-bas, ça s’applique à vous, peu importe où se trouvent vos serveurs.
Les entreprises canadiennes ont un angle mort particulier à ce sujet. Plusieurs traitent la réglementation européenne comme « un problème européen » jusqu’à ce qu’un audit client ou partenaire le fasse remonter. Rendu là, quatre mois, c’est insuffisant pour bâtir un système de gestion de l’IA à partir de zéro.
Ce que ça veut dire concrètement
Les organisations qui vont le plus souffrir sont celles qui opèrent entre les juridictions : embaucher en Ontario, servir des clients au Québec, vendre en Europe. Elles font face à un puzzle de conformité en couches qu’aucune réglementation unique ne couvre proprement.
La bonne nouvelle : ces obligations se chevauchent plus qu’elles ne se contredisent. Les exigences de transparence de la Loi 25, les mandats de divulgation de l’Ontario et les obligations de documentation du Règlement européen pointent tous dans la même direction. Bâtir un système de gestion de l’IA solide une seule fois, ancré dans un cadre comme ISO 42001, permet de répondre à plusieurs exigences réglementaires simultanément plutôt que de courir après chaque juridiction séparément.
La mauvaise nouvelle : la fenêtre de préparation proactive rétrécit. Le Québec vérifie maintenant. La loi ontarienne est en vigueur. L’échéance européenne est en août. Attendre un cadre fédéral qui n’arrivera peut-être pas en 2026 n’est pas une stratégie de conformité.
Mon conseil : identifiez la norme la plus stricte à laquelle vous êtes soumis et construisez en fonction. Pour la plupart des organisations canadiennes ayant un rayonnement international, ça signifie commencer par ISO 42001 comme colonne vertébrale de gouvernance, puis cartographier vos obligations spécifiques sous la Loi 25, les normes d’emploi de l’Ontario et le Règlement européen sur l’IA.
Le gouvernement fédéral finira par rattraper son retard. Quand ce sera le cas, vous serez déjà conforme. Et si ça prend encore deux ans, vous aurez passé ce temps à opérer avec un système qui réduit vos risques aujourd’hui, pas un jour hypothétique.