Le Règlement européen sur l'IA s'applique-t-il à mon entreprise canadienne ? Guide de décision 2026
Vous n'avez pas besoin d'un bureau en Europe pour que le Règlement européen sur l'IA vous atteigne. Si votre IA touche des personnes dans l'UE, ou si son résultat y aboutit, vous pourriez être visé. Voici un guide de décision conçu pour les entreprises canadiennes.
Pour bien des entreprises canadiennes, la réponse honnête est : peut-être, et vous ne pouvez pas l'écarter sur la seule foi de votre code postal. Le Règlement européen sur l'IA — Règlement (UE) 2024/1689 — porte au-delà des frontières de l'Europe, tout comme l'a fait le RGPD. Si vous mettez un système d'IA sur le marché de l'UE, ou si le résultat produit par votre IA est utilisé par une personne dans l'UE, vous pouvez être visé sans bureau européen, sans filiale dans l'UE et sans qu'un seul euro ne change de mains. Ce guide vous aide à décider s'il vous vise, et quoi faire une fois la réponse connue.
Pourquoi une loi européenne atteint-elle une entreprise au Canada ?
L'instinct est de supposer qu'un règlement européen s'arrête au bord de l'Europe. Ce n'est pas le cas, et le croire est précisément ce qui a pris de court les entreprises canadiennes avec le RGPD il y a quelques années. Le Règlement sur l'IA repose sur la même logique extraterritoriale : il suit l'IA et ses effets, non l'adresse de l'entreprise.
Trois déclencheurs comptent. Vous êtes potentiellement visé si vous êtes un fournisseur qui met un système d'IA sur le marché de l'UE — le vendre, le concéder sous licence ou l'offrir là-bas, même gratuitement. Vous êtes visé si vous êtes un déployeur qui utilise un système d'IA tout en étant établi dans l'UE. Et, celui qui surprend, vous êtes visé si vous êtes un fournisseur ou un déployeur hors de l'UE, mais que le résultat de votre système est utilisé dans l'UE. Une entreprise SaaS de Toronto dont une fonction d'IA note des CV pour un client ayant du personnel à Berlin en est un exemple concret. La notation se fait au Canada; le résultat façonne une décision en Europe; le Règlement s'y intéresse.
Les quatre niveaux de risque, en clair
Le Règlement ne traite pas toute IA de la même façon. Il classe les systèmes en quatre catégories, et vos obligations croissent avec la catégorie. Connaître votre niveau, c'est gagner l'essentiel de la partie.
| Niveau de risque | Ce qu'il vise | Votre obligation |
|---|---|---|
| Interdit | Notation sociale, IA manipulatrice ou exploitante, certaine surveillance biométrique | Banni — ne pas le bâtir ni l'utiliser |
| Haut risque | Embauche, crédit, services essentiels, éducation, biométrie, composantes de sécurité | Lourde : gestion des risques, gouvernance des données, documentation, journalisation, supervision humaine |
| Risque limité | Agents conversationnels, contenu généré par IA, reconnaissance des émotions | Transparence : informer les personnes qu'elles interagissent avec une IA |
| Risque minimal | Filtres antipourriel, moteurs de recommandation, la plupart des outils courants | Aucune obligation particulière |
La plupart des outils qu'utilise une petite entreprise canadienne se rangent dans les deux derniers niveaux. Les systèmes qui exigent un vrai travail sont ceux à haut risque — tout ce qui prend ou façonne concrètement des décisions concernant des personnes. C'est là que mordent les obligations de documentation, d'essais et de supervision.
Un guide de décision pour des scénarios canadiens
Plutôt que d'éplucher le texte ligne par ligne, confrontez vos systèmes à des situations concrètes. Voici comment se répartissent des cas canadiens courants.
| Scénario | Visé ? | Niveau probable |
|---|---|---|
| Une clinique de Halifax utilise un scribe d'IA sur des patients tous résidents du Canada | Non — le résultat reste au Canada | Sans objet |
| Une entreprise SaaS de Toronto vend un outil d'embauche par IA à un client ayant du personnel dans l'UE | Oui — résultat utilisé dans l'UE | Haut risque |
| Un détaillant de Calgary exploite un agent conversationnel; des touristes de l'UE utilisent le site | Probablement oui — le résultat atteint des utilisateurs de l'UE | Risque limité (transparence) |
| Un studio de Vancouver concède un générateur d'images par IA à des clients de l'UE | Oui — mis sur le marché de l'UE | Risque limité (étiqueter le contenu IA) |
| Une firme de Montréal utilise ChatGPT à l'interne pour rédiger du contenu marketing canadien | Non — aucun lien avec l'UE | Sans objet |
| Une fintech d'Ottawa offre une notation de crédit par IA à des consommateurs de l'UE | Oui — résultat utilisé dans l'UE | Haut risque |
Deux constantes ressortent. D'abord, un usage d'IA purement national déclenche rarement le Règlement — si le système et ses effets restent au Canada, vous êtes généralement à l'abri (quoique la LPRPDE et la Loi 25 du Québec s'appliquent toujours). Ensuite, dès que votre résultat franchit la frontière pour toucher une décision visant une personne dans l'UE, la portée et le niveau grimpent tous les deux. L'erreur la plus fréquente que nous voyons : une entreprise qui suppose « nous sommes canadiens, donc les règles européennes sur l'IA ne peuvent nous toucher » et qui saute entièrement la question du résultat.
Ce qui change vraiment si vous êtes visé
Être visé n'est pas une catastrophe — c'est une charge de travail, et une charge connaissable. Pour un système à risque limité, l'obligation tient surtout de la transparence : dire aux utilisateurs qu'ils interagissent avec une IA, et étiqueter le contenu généré par IA. C'est souvent une phrase d'avis et une mention en pied de page.
Pour un système à haut risque, la liste est plus longue et c'est celle à prendre au sérieux : un processus de gestion des risques, une gouvernance des données qui démontre que vos données d'entraînement et d'entrée conviennent à leur fin, une documentation technique, une journalisation automatique, une information claire pour ceux qui le déploient, et une supervision humaine véritable. Si ces obligations vous semblent familières, c'est qu'elles recoupent largement ce qu'exige de toute façon une bonne gouvernance de l'IA, et la norme internationale ISO/IEC 42001. Faites le travail de gouvernance une fois et vous en satisfaites une grande part à travers plusieurs cadres.
Vos trois prochaines étapes
Vous n'avez pas besoin d'un service de conformité pour vous mettre en marche. Commencez ici.
- Recensez vos systèmes d'IA. Dressez la liste de chaque outil d'IA que votre entreprise bâtit, achète ou intègre — y compris ceux qu'une seule équipe a adoptés en douce. Vous ne pouvez évaluer la portée de systèmes que vous ne voyez pas.
- Posez les deux questions. Pour chaque système : son résultat pourrait-il être utilisé dans l'UE ? Et si oui, dans quel niveau se rangerait-il ? Notez les réponses. La plupart des entreprises canadiennes ne trouvent qu'un ou deux systèmes qui exigent une vraie attention.
- Ajustez l'effort au niveau. Laissez tranquilles les outils à risque minimal, ajoutez une phrase de transparence à ceux à risque limité, et bâtissez une documentation et une supervision solides autour de tout ce qui est à haut risque. Gardez le registre à jour à mesure que les systèmes changent.
Pour le détail complet des obligations et le calendrier progressif, notre guide du Règlement européen sur l'IA va plus loin, et la fiche de glossaire du Règlement vous donne la définition en un paragraphe à partager avec vos collègues.
Le présent article constitue de l'information générale et non un avis juridique; l'application du Règlement à un système précis dépend de vos faits, et un professionnel peut confirmer la décision.
Chez Canuckt, nous avons conçu Valdra pour tenir tout cela au même endroit — un inventaire des systèmes d'IA qui consigne l'objet de chaque outil, où va son résultat et son niveau de risque, afin que la question de la portée ait une réponse défendable plutôt qu'un haussement d'épaules.
Questions fréquentes
Le Règlement européen sur l'IA s'applique-t-il aux entreprises canadiennes ?+
C'est possible. À l'image du RGPD avant lui, le Règlement (UE) 2024/1689 porte au-delà des frontières de l'Europe. Si vous mettez un système d'IA sur le marché de l'UE, ou si le résultat de votre système d'IA y est utilisé, vous pouvez être visé même sans bureau européen. Le déclencheur est l'endroit où aboutit l'IA ou ses résultats, non celui où votre entreprise est immatriculée.
Qu'est-ce qui rend un système d'IA à haut risque selon le Règlement ?+
Le haut risque vise l'IA utilisée dans des domaines que le Règlement juge sensibles — emploi et embauche, crédit et services essentiels, éducation, identification biométrique, et composantes de sécurité de produits réglementés, entre autres. Les systèmes à haut risque portent les obligations les plus lourdes : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence et supervision humaine.
Quels sont les niveaux de risque du Règlement européen sur l'IA ?+
Quatre. Les pratiques interdites (bannies d'emblée, comme la notation sociale), les systèmes à haut risque (permis, mais soumis à des obligations strictes), les systèmes à risque limité qui exigent de la transparence (par exemple, informer les personnes qu'elles interagissent avec une IA ou qu'un contenu est généré par IA), et les systèmes à risque minimal, sans obligation particulière. Vos obligations croissent avec le niveau où se range votre système.
Quand le Règlement européen sur l'IA entre-t-il en vigueur ?+
Il s'applique par étapes. Les interdictions visant les pratiques à risque inacceptable et les obligations de littératie en IA sont venues d'abord, suivies des règles pour les modèles d'IA à usage général, l'essentiel des obligations à haut risque s'échelonnant sur environ deux à trois ans à compter de l'entrée en vigueur de 2024. Vérifiez l'étape en cours pour les règles précises qui vous lient, car le calendrier est progressif.
Que devrait faire d'abord une entreprise canadienne au sujet du Règlement ?+
Recensez vos systèmes d'IA, puis posez deux questions pour chacun : son résultat pourrait-il être utilisé dans l'UE, et quel serait alors son niveau de risque ? Ce seul passage vous dit si vous êtes visé et quelle est la lourdeur des obligations. La plupart des entreprises canadiennes ne trouvent qu'un ou deux systèmes qui exigent une vraie attention, ce qui rend le travail gérable.
Protégez vos données avant de les envoyer à l'IA.
Shielk supprime automatiquement les renseignements personnels de votre contenu — pour que votre équipe puisse utiliser les outils IA en toute sécurité.
Essayer Shielk gratuitement