La Loi sur l'intelligence artificielle et les données (LIAD) du Canada est morte au feuilleton lorsque le Parlement a été prorogé, et aucun projet de loi de remplacement n'est à l'horizon. Tant que la LIAD existait, les organisations avaient une direction contre laquelle planifier : niveaux de risque, obligations de documentation, échéanciers de conformité. La prorogation a effacé cet horizon de planification du jour au lendemain.
Si votre organisation attendait une clarté fédérale avant de construire sa gouvernance IA, vous venez de découvrir que l'attente est indéfinie. Voici ce qui est réellement applicable maintenant, ce qui arrive de l'extérieur des frontières canadiennes, et ce que vous devriez faire dans tous les cas.
Ce qui est réellement en vigueur maintenant
La Loi 25 du Québec est pleinement en vigueur depuis septembre 2024 et s'applique à toute organisation qui traite des renseignements personnels de résidents du Québec, peu importe où se trouve votre siège social. Si vous traitez des données concernant une personne au Québec, vous y êtes assujetti. Exigences clés :
- Évaluations des facteurs relatifs à la vie privée pour tout système traitant des données personnelles
- Exigences de consentement explicite pour la prise de décision automatisée
- Désignation obligatoire d'un responsable de la protection des renseignements personnels
- Obligations de notification en cas d'atteinte
La Loi ontarienne sur le travail pour les travailleurs (projet de loi 149) a introduit la première disposition canadienne spécifique à l'IA en matière d'emploi : les employeurs utilisant l'IA dans le recrutement doivent le divulguer aux candidats. La LPRPDE régit toujours la protection des renseignements personnels dans le secteur privé fédéral, et le Commissaire à la protection de la vie privée a clairement indiqué que les systèmes d'IA traitant des données personnelles relèvent des exigences existantes.
La pression internationale que vous ne pouvez pas ignorer
Le Règlement européen sur l'IA n'est pas un problème européen. Il classe les systèmes d'IA par niveau de risque et impose des obligations allant de la documentation et la transparence jusqu'à l'interdiction pure et simple pour les catégories à risque le plus élevé. De façon critique, il s'applique à tout système d'IA dont les résultats affectent des personnes au sein de l'UE, peu importe d'où le système opère.
Pour les organisations canadiennes ayant des clients, partenaires ou fournisseurs européens, cela signifie que les demandes de diligence raisonnable concernant vos pratiques de gouvernance IA arrivent, si elles ne sont pas déjà arrivées. Les liens d'affaires profonds du Québec avec l'Europe font de cette catégorie un ensemble particulièrement vaste.
La norme ISO/IEC 42001 devient rapidement la référence reconnue pour démontrer des pratiques d'IA responsables, tout comme la norme ISO 27001 est devenue l'attente de base en matière de sécurité de l'information. Les équipes d'approvisionnement européennes la demandent de plus en plus dans le cadre des évaluations de fournisseurs.
Ce que vous devriez faire maintenant
Ne traitez pas le vide fédéral comme une permission d'attendre. Les organisations qui construisent leur gouvernance maintenant auront la structure pour s'adapter lorsque la législation canadienne arrivera. Celles qui attendent feront face à des délais de conformité comprimés contre des échéances auxquelles elles ne sont pas préparées.
Commencez ici :
- Effectuez des évaluations des facteurs relatifs à la vie privée sur chaque système d'IA qui touche des données personnelles
- Construisez un véritable inventaire de vos systèmes d'IA, documentant ce que chacun fait, quelles données il traite, quelles décisions il éclaire ou prend, et qui est responsable de son comportement
- Classez les systèmes par risque : un chatbot répondant à des questions sur les produits et un modèle filtrant des candidatures exigent des niveaux de surveillance fondamentalement différents
- Si vous avez un lien avec l'Europe, commencez dès maintenant à cartographier vos systèmes d'IA selon les catégories de risque du Règlement européen sur l'IA
- Cessez de traiter la gouvernance comme quelque chose qu'on construit après l'arrivée de la loi, et commencez à la traiter comme la discipline opérationnelle qu'elle est réellement
Les organisations qui construisent leur gouvernance aujourd'hui s'adapteront en douceur lorsque la législation rattrapera son retard. Celles qui traitent le vide réglementaire comme un feu vert découvriront, trop tard, que l'absence d'une loi fédérale n'a jamais signifié l'absence d'obligation.