Le lancement par le Canada de sa stratégie en matière d’intelligence artificielle, IA pour tous, marque un tournant majeur dans la politique fédérale et éclaire la manière dont le gouvernement entend encadrer l’IA dans un avenir proche.
Le plus intéressant dans cette stratégie, c’est ce qu’elle n’est pas : comme annoncé, elle ne ressuscite pas la Loi sur l’intelligence artificielle et les données (LIAD), ce projet de loi omnibus sur l’IA bloqué au Parlement avant d’être abandonné à la suite du changement de gouvernement survenu plus tôt cette année.
Plutôt que de revenir à un régime législatif centralisé et fondé sur les risques, le gouvernement fédéral a choisi une autre voie : un modèle de gouvernance décentralisée qui combine une réforme législative ciblée, des investissements publics, une infrastructure souveraine et le maintien des cadres juridiques existants – protection de la vie privée et des consommateurs, droits de la personne et réglementation sectorielle – comme principaux outils de gestion des risques liés à l’IA.
Pour les entreprises canadiennes, ce choix emporte des conséquences concrètes immédiates. La gouvernance de l’IA ne va pas se mettre en pause pendant qu’Ottawa prépare une nouvelle loi. Des obligations légales existent déjà : protection de la vie privée, droits de la personne, protection du consommateur et réglementations sectorielles particulières. Ce que la stratégie apporte, c’est une clarification de ce que ces cadres juridiques engloberont, ainsi que des priorités économiques et sectorielles qui définiront comment les organismes de réglementation, les bailleurs de fonds et les acheteurs aborderont l’IA au cours des prochaines années.
Nouveauté : Quatre objectifs concrets de l’IA pour tous
La stratégie IA pour tous s’articule autour de six piliers, mais, pour les entreprises canadiennes, quatre éléments opérationnels ont une importance immédiate.
L’adoption comme objectif de politique principal
La stratégie fixe des objectifs nationaux précis : 200 milliards de dollars de croissance économique supplémentaire, 250 000 nouveaux emplois liés à l’IA sur cinq ans et une augmentation du taux d’adoption de l’IA, qui passerait d’environ 12 % à 60 % d’ici 2034.
Ces chiffres sont indicatifs et non contraignants sur le plan juridique, et doivent être considérés comme tels. Ce qui importe pour les entreprises, ce ne sont pas les chiffres eux-mêmes, mais leur signification : l’adoption à grande échelle est devenue une politique prioritaire du gouvernement, et les décisions de financement, les critères d’attribution des marchés publics et les orientations réglementaires refléteront de plus en plus cet état de fait.
Par la même occasion, cette stratégie donne au gouvernement un rôle d’utilisateur actif des systèmes d’IA, et non plus seulement d’organisme de réglementation. Les mécanismes de déploiement et d’approvisionnement dans le secteur public fixent des exigences claires en matière d’IA fiable et conforme, ce qui implique que les entreprises à la recherche de contrats publics seront probablement soumises à des exigences de gouvernance avant même l’entrée en vigueur d’une loi.
Un déploiement axé sur certains secteurs d’activité
La stratégie cible des secteurs prioritaires pour une adoption accélérée de l’IA : la santé et les sciences de la vie, l’énergie et les ressources naturelles, les transports, l’agriculture et la fabrication. Pour les entreprises de ces domaines, le déploiement de l’IA se fera de plus en plus dans le cadre d’initiatives fédérales structurées, de programmes de financement ciblés et de partenariats public-privé, et non plus uniquement par le biais de cycles d’innovation à l’interne.
Cette stratégie laisse également entrevoir un rôle plus actif pour l’État en tant qu’utilisateur et acheteur de systèmes d’IA, le déploiement dans le secteur public contribuant à définir les attentes en matière d’IA fiable et conforme. Les répercussions juridiques sont réelles, car les programmes financés par les pouvoirs publics prévoient généralement des conditions relatives à la gouvernance des données, à l’interopérabilité, aux règles de passation des marchés et à la responsabilité.
Les entreprises des secteurs prioritaires devraient examiner attentivement ces conditions avant de tenir pour acquis le soutien fédéral à l’adoption. Le secteur de la santé a déjà montré l’exemple avec des initiatives comme VITAL, qui utilise des modèles de données fédérés intégrant des exigences de gouvernance qui lui sont propres directement dans son architecture de déploiement de l’IA.
Une politique d’infrastructure souveraine
L’un des éléments les plus structurants de la stratégie est son approche de l’infrastructure de l’IA comme enjeu de politique nationale. S’appuyant sur la Stratégie canadienne sur la capacité de calcul souveraine pour l’IA, le gouvernement fédéral investit dans une infrastructure nationale de calcul informatique de pointe, dans les centres de données et dans l’élargissement de l’accès aux ressources de calcul, indiquant ainsi aux entreprises qu’elles doivent prendre au sérieux le lieu où leurs systèmes d’IA sont construits, entraînés et hébergés.
Pour les entreprises, il s’ensuit que les décisions relatives aux fournisseurs de services infonuagiques, à la résidence des données et aux flux de données transfrontaliers ne relèvent plus uniquement de considérations techniques ou commerciales. Elles s’inscrivent de plus en plus dans une dimension stratégique et, dans certains cas, réglementaire. Les entreprises dont les systèmes d’IA dépendent fortement d’infrastructures sous contrôle étranger ou d’accords sur les données difficilement compatibles avec les exigences canadiennes en matière de gouvernance devraient y voir un risque majeur, en particulier dans les secteurs réglementés ou dans le cadre de marchés publics.
La confiance grâce à une gouvernance décentralisée
L’approche adoptée par cette stratégie en matière de risques et de responsabilité liés à l’IA mérite une attention particulière, précisément parce qu’elle ne prend pas la forme d’une loi unique. Au contraire, le gouvernement fédéral prévoit d’intervenir davantage par l’entremise des multiples voies juridiques à sa disposition : modernisation de la législation sur la protection de la vie privée, réglementation de la sécurité en ligne, mesures visant les hypertrucages et la tarification basée sur la surveillance, ainsi qu’un mandat élargi pour l’Institut canadien de la sécurité de l’intelligence artificielle.
On notera en particulier le programme canadien de certification en IA de confiance, qui visera à aider les Canadiennes et Canadiens à repérer les produits d’IA fiables sur le marché. La portée juridique de ce mécanisme dépendra entièrement de sa conception : s’il s’agit d’une certification volontaire ou véritablement obligatoire, s’il crée des règles d’exonération, et s’il conditionne l’accès aux marchés publics ou l’octroi de licences dans certains secteurs. Il est recommandé aux entreprises de suivre de près cette évolution : les régimes de certification qui sont au départ volontaires deviennent souvent des exigences minimales dans les marchés publics réglementés et les contextes de déploiement à haut risque.
Concrètement, les systèmes d’IA s’inscrivent désormais dans un modèle de conformité décentralisé, qui réunit la protection de la vie privée et des consommateurs, la cybersécurité et la surveillance sectorielle. L’absence d’une loi unique sur l’IA ne réduit pas la complexité de la conformité; à bien des égards, elle l’accroît, car les entreprises doivent suivre et concilier simultanément des obligations relevant de cadres réglementaires différents.
Pris ensemble, ces quatre éléments reflètent une orientation politique cohérente, bien qu’exigeante : accélérer l’adoption, ancrer l’infrastructure et les données sur le territoire national, et intégrer les exigences en matière de responsabilité dans de multiples cadres juridiques et réglementaires. Pour les entreprises, il en résulte un contexte plus interventionniste que le laisserait supposer l’absence d’une loi omnibus. Le fardeau de la conformité n’a pas été reporté; il a été redistribué.
Contexte mondial : un paysage réglementaire de l’IA fragmenté
La stratégie canadienne IA pour tous doit être située dans un contexte mondial non seulement fragmenté, mais surtout marqué par des divergences croissantes, les grandes puissances adoptant aujourd’hui des approches de gouvernance de l’IA fondamentalement différentes.
L’IA dans l’UE
L’Union européenne demeure le cadre réglementaire étranger ayant le plus d’incidence sur les entreprises canadiennes. La loi européenne sur l’IA constitue un cadre complet, fondé sur les risques et à la portée explicitement extraterritoriale : les entreprises canadiennes qui développent ou déploient des systèmes d’IA ayant des répercussions sur des citoyens de l’UE peuvent être concernées, où que se trouve leur siège social ou le lieu d’hébergement de leurs systèmes.
Pour de nombreuses entreprises canadiennes, la conformité aux normes de l’UE n’est pas un enjeu futur, mais bien une obligation légale actuelle nécessitant une attention immédiate, notamment en matière d’évaluations de conformité, d’exigences de transparence et, dans certains cas, de restrictions d’utilisation indépendantes de la législation canadienne.
Toutefois, en raison d’un modèle sectoriel reposant sur les organismes de réglementation existants plutôt que sur une loi unique, le Royaume-Uni est actuellement le pays qui se rapproche le plus du Canada.
L’IA aux États-Unis
La situation aux États-Unis est tout autre, et elle a connu un tournant décisif le 2 juin 2026, lorsque le président Trump a signé un décret visant à « promouvoir l’innovation et la sécurité dans le domaine de l’intelligence artificielle de pointe ».
Ce texte ordonne aux organismes fédéraux d’encadrer le déploiement sécurisé des modèles d’IA de pointe, notamment au moyen d’un processus volontaire par lequel les développeurs peuvent accorder au gouvernement un accès anticipé à ces modèles jusqu’à 30 jours avant leur lancement à grande échelle. Le décret vise à consolider les cyberdéfenses du pays sans pour autant contraindre les entreprises d’IA à partager des informations sur leurs systèmes les plus récents. Une version antérieure exigeait une période d’examen gouvernemental de 90 jours avant la sortie d’un modèle, délai réduit à 30 jours dans la version définitive à la suite d’un intense lobbyisme du secteur, qui craignait des dommages concurrentiels.
Les conséquences concrètes pour les entreprises canadiennes sont considérables. Les États-Unis adoptent désormais ouvertement une approche axée sur la déréglementation et l’innovation en matière d’IA, avec des mécanismes de contrôle volontaires plutôt qu’obligatoires. Les entreprises canadiennes en concurrence ou collaborant avec des entités américaines devront composer avec une asymétrie structurelle : un contexte plus permissif au sud de la frontière, un environnement plus normatif dans l’Union européenne, un cadre décentralisé en pleine évolution au Canada. Cette asymétrie engendre à la fois une pression concurrentielle, les entreprises américaines pouvant agir plus rapidement et avec moins de contraintes liées à la gouvernance, et une complexité accrue en matière de conformité pour les entreprises canadiennes présentes dans les trois régions.
La stratégie canadienne IA pour tous face au contexte mondial
Pour les entreprises canadiennes, la conséquence stratégique de cette fragmentation est évidente : la conformité ne peut se limiter aux seules exigences nationales.
- Pour les entreprises présentes sur le marché européen, les obligations prévues par la loi européenne sur l’IA devraient constituer un seuil minimal de conformité, et non une question à traiter ultérieurement.
- Les entreprises canadiennes actives sur le marché américain devraient suivre de près la manière dont le décret du 2 juin se traduit dans la pratique, et notamment vérifier si l’examen volontaire précédant le déploiement devient une condition tacite d’accès aux marchés publics ou aux partenariats fédéraux.
- Toutes les entreprises devraient partir du principe que les divergences entre administrations les contraindront à mettre en place des cadres de gouvernance évolutifs et adaptables, et non conçus pour un seul pays.
Le positionnement du Canada dans ce contexte – plus interventionniste que les États-Unis, moins normatif que l’UE – pourrait s’avérer être un avantage concurrentiel si le modèle de gouvernance décentralisée est mis en œuvre de manière cohérente. Le risque est de créer des écarts de conformité : pas assez de réglementation pour garantir la clarté requise par des cadres de gouvernance complexes, mais trop de réglementation pour rivaliser avec la rapidité de déploiement des concurrents américains.
Comment les entreprises canadiennes peuvent s’adapter à la stratégie IA pour tous : principaux enseignements
L’incidence concrète de la stratégie dépendra de sa mise en œuvre, mais plusieurs répercussions juridiques et réglementaires se dessinent déjà et méritent une attention immédiate.
Les exigences en matière de gouvernance ne cessent de se renforcer, même en l’absence d’une loi sur l’IA
L’absence d’une législation exhaustive sur l’IA ne signifie pas pour autant l’absence d’un cadre juridique des risques. Les entreprises canadiennes qui déploient des systèmes d’IA sont déjà soumises à un ensemble d’obligations contraignantes, et la stratégie laisse présager un renforcement des contrôles dans ces domaines. Le risque le plus immédiat se situe dans trois secteurs.
Tout d’abord, la protection de la vie privée : l’utilisation de données à caractère personnel pour entraîner, exploiter ou améliorer des systèmes d’IA emporte des obligations au titre de la LPRPDE et des lois provinciales équivalentes, notamment en matière de consentement, de limitation des finalités et d’explication des décisions automatisées. Le Commissariat à la protection de la vie privée a déjà indiqué que les déploiements d’IA constituaient un domaine d’intervention prioritaire, et l’engagement de la stratégie en faveur de la modernisation de la protection de la vie privée laisse entendre que ces obligations deviendront plus exigeantes, et non l’inverse. Dans ce contexte, des investissements dans la gouvernance des données, la documentation, la transparence et l’explicabilité permettront d’affronter l’avenir.
Les initiatives visant à cartographier les flux de données, définir les finalités, renforcer les cadres de consentement et mettre en œuvre des processus d’explicabilité pour les systèmes d’IA permettront aux entreprises de répondre aux exigences probables d’un régime modernisé, lequel devrait comporter :
- des droits individuels renforcés et un contrôle accru des données à caractère personnel;
- des attentes élargies en matière de transparence et d’explicabilité;
- un renforcement notable des mesures coercitives et des sanctions;
- une harmonisation accrue avec les normes internationales.
Les entreprises qui agissent dès maintenant ne devancent pas la loi; elles suivent simplement à la direction que celle-ci prend déjà.
Ensuite, les droits de la personne : les systèmes d’IA utilisés dans le recrutement, l’octroi de prêts, l’assurance ou la prestation de services qui produisent des résultats discriminatoires peuvent déjà faire l’objet de contestations en vertu des cadres fédéraux et provinciaux des droits de la personne, que la discrimination soit intentionnelle ou reconnue par l’entreprise qui déploie le système.
Enfin, la protection du consommateur : la tarification, la personnalisation et l’automatisation de l’interface client fondées sur l’IA attirent de plus en plus l’attention des autorités dans le cadre des régimes existants, un risque que la stratégie reconnaît explicitement par le biais des mesures s’attaquant à la tarification basée sur la surveillance.
Ce que vous pouvez faire
Les entreprises devraient dès maintenant vérifier leurs déploiements actuels d’IA à la lumière de ces trois cadres juridiques, plutôt que d’attendre qu’une législation propre à l’IA définisse le périmètre de conformité.
Les conditions d’accès aux marchés publics et au financement confèrent une force juridique aux exigences liées à l’adoption
La stratégie IA pour tous donne au gouvernement fédéral un rôle d’utilisateur actif de l’IA, et les marchés publics permettent clairement de fixer des exigences en matière de gouvernance.
Pour les entreprises qui fournissent des systèmes d’IA au gouvernement ou qui participent à des programmes financés par le gouvernement fédéral dans des secteurs prioritaires, il ne s’agit pas d’un signal de politique abstrait. Les critères d’attribution de marché, les conditions de financement et les accords de partenariat intégreront de plus en plus d’exigences précises en matière de transparence, de responsabilité, de gouvernance des données et de vérifiabilité.
Ce que vous pouvez faire
Les entreprises visant des contrats fédéraux ou des financements sectoriels devraient considérer la conformité en matière de gouvernance comme une condition préalable à l’obtention de marchés, et non comme un élément à prendre en compte a posteriori. Dans ce contexte, le projet de programme canadien de certification en IA, une fois opérationnel, pourrait constituer une condition préliminaire de fait.
Les décisions relatives à l’infrastructure et aux données deviennent réglementées
L’accent mis par la stratégie sur une infrastructure informatique souveraine et nationale a des répercussions juridiques directes sur la structuration des systèmes d’IA par les entreprises. Les décisions concernant les fournisseurs d’infonuagique, la résidence des données et les flux de données transfrontaliers soulèvent un nombre croissant de questions juridiques et réglementaires. Celles-ci comprennent les exigences en matière de protection de la vie privée applicables aux transferts transfrontaliers, les éventuelles conditions d’attribution des marchés liées à la souveraineté des données, ainsi que les obligations propres à certains secteurs dans les filières réglementées.
Ce que vous pouvez faire
Concrètement, les entreprises devraient se poser un ensemble de questions bien précises : D’où proviennent les données d’entraînement et où sont-elles stockées? Où les modèles sont-ils entraînés et hébergés? Quelles protections contractuelles et du territoire de compétence régissent l’accès aux données et aux systèmes? Pour les entreprises des secteurs réglementés, ou pour celles visant des marchés ou des partenariats publics, ces questions risquent de devenir des conditions d’admissibilité, au lieu de rester de simples pratiques de saine gouvernance.
Des contraintes juridiques propres à chaque secteur vont rapidement apparaître et différer considérablement
Le déploiement de l’IA dans les secteurs prioritaires de la stratégie – santé et sciences de la vie, énergie, transports, agriculture et fabrication – s’effectuera de plus en plus dans le cadre de programmes fédéraux structurés et de partenariats public-privé assortis de leurs propres contraintes juridiques. Celles-ci ne sont pas uniformes.
Ce que vous pouvez faire
Les entreprises doivent s’attendre à des variations importantes des exigences sectorielles et être prêtes à intégrer une combinaison des éléments suivants :
- Santé et sciences de la vie : des exigences de gouvernance des données fédérées, des modalités de recueil du consentement des patients, ainsi qu’une surveillance réglementaire exercée par Santé Canada pour les systèmes d’IA répondant à la définition d’instrument médical au sens de la Loi sur les aliments et drogues.
- Énergie et ressources naturelles : des obligations relatives au partage de données, des normes d’interopérabilité, ainsi que des exigences de consultation environnementale et auprès des peuples autochtones pour les déploiements d’IA impliquant des infrastructures.
- Services financiers (qui ne sont pas un secteur prioritaire désigné, mais où le déploiement de l’IA est déjà avancé) : les directives du Bureau du surintendant des institutions financières (BSIF) relatives aux risques posés par les modèles constituent aujourd’hui le dispositif de gestion des risques sectoriels le plus abouti au Canada. Elles prévoient l’application des cadres existants en matière de protection des consommateurs et de lutte contre la discrimination aux décisions algorithmiques.
Les entreprises de ces secteurs devraient recenser les contraintes juridiques particulières qui encadrent la participation aux programmes financés par les pouvoirs publics avant de s’engager dans des architectures de déploiement qui pourraient s’avérer difficiles ou coûteuses à adapter.
La conformité transfrontalière nécessite un cadre de gouvernance adapté aux différentes administrations
Comme le souligne la section plus haut sur le contexte mondial, les entreprises canadiennes font face à une gouvernance à trois volets : le règlement sur l’IA de l’Union européenne, qui peut déjà leur être applicable, la déréglementation américaine, qui crée une asymétrie concurrentielle, et un cadre national en pleine évolution. Conséquence concrète : pour la plupart des entreprises ayant une exposition internationale, les cadres de gouvernance limités aux exigences canadiennes seront insuffisants.
Il convient de souligner les conséquences propres au décret présidentiel américain du 2 juin pour les entreprises canadiennes présentes aux États-Unis ou dont les chaînes d’approvisionnement en IA sont établies dans ce pays. L’examen volontaire précédant le déploiement instauré par le décret pourrait devenir une condition tacite d’accès aux marchés publics fédéraux ou aux partenariats liés à la sécurité nationale des États-Unis.
Ce que vous pouvez faire
Les entreprises canadiennes actives dans les secteurs de la défense, des infrastructures critiques ou des marchés publics devraient suivre cette évolution de près, car elle pourrait influer sur les conditions d’acceptation, sur le marché américain, des systèmes d’IA ou des produits intégrant l’IA conçus au Canada.
Les risques liés à la mise en œuvre sont importants et devraient être pris en compte dans la planification
L’écart entre les intentions politiques et la réalité sur le terrain mérite la plus grande des attentions. Le déploiement des infrastructures informatiques se heurte à des contraintes liées à la disponibilité énergétique et à l’obtention de permis. Le projet de modernisation de la protection de la vie privée n’a pas encore été présenté. Le programme canadien de certification en IA de confiance est à l’état de proposition et n’est pas encore opérationnel. Les initiatives sectorielles en sont à des stades d’avancement variés.
Ce que vous pouvez faire
Pour les entreprises, cela signifie que le cadre réglementaire continuera d’évoluer d’une manière difficile à prévoir avec précision. Plutôt que d’attendre d’avoir des certitudes avant d’investir dans la gouvernance, elles doivent établir des cadres capables de satisfaire aux obligations actuelles et adaptables à l’évolution des exigences. Les entreprises qui mettent en place dès maintenant un socle de gouvernance seront mieux armées pour faire face aux évolutions réglementaires que celles qui considèrent la conformité comme une préoccupation future.
BLG peut vous aider
Le Canada n’attend pas qu’une loi unique vienne définir les règles. Les entreprises canadiennes devraient faire de même.
Si vous vous demandez quelles pourraient être les incidences de la nouvelle stratégie canadienne IA pour tous sur votre entreprise, ou si vous souhaitez évaluer votre cadre de gouvernance de l’IA actuel à la lumière de ces évolutions, les avocats spécialisés en IA de BLG vous aideront avec plaisir. N’hésitez pas à communiquer avec l’une des personnes ci-dessous.
