L’état de la conformité en IA au Canada en 2026
Le rapport de terrain d’un fondateur sur la situation réelle de la réglementation de l’IA au Canada en 2026 — la loi qui est morte, les lois toujours en vigueur, les règles étrangères qui atteignent déjà nos frontières et l’écart grandissant entre la rapidité avec laquelle les entreprises canadiennes adoptent l’IA et la lenteur avec laquelle elles la gouvernent.
Par Vivek Chakravarthy · 2026-07-12
Principaux constats
- 1Le Canada n’a aucune loi propre à l’IA en vigueur. Le projet de loi C-27 — qui portait la Loi sur l’intelligence artificielle et les données (LIAD) proposée — est mort au Feuilleton lorsque le Parlement a été prorogé le 6 janvier 2025, et le gouvernement a confirmé que la LIAD ne reviendra pas sous sa forme ancienne.
- 2Les règles qui lient réellement les entreprises canadiennes aujourd’hui sont celles qui existaient déjà : la LPRPDE au fédéral, la Loi 25 du Québec (pleinement en vigueur depuis le 22 septembre 2024, avec des sanctions pouvant atteindre 25 M$ ou 4 % du chiffre d’affaires mondial), de même que les lois PIPA de la Colombie-Britannique et de l’Alberta, la PHIPA et la LCAP.
- 3L’adoption de l’IA au Canada a environ triplé en deux ans — passant de 6,1 % des entreprises au 2e trimestre de 2024 à 12,2 % au 2e trimestre de 2025, puis à 19,2 % d’ici 2026 (Statistique Canada) — tandis que la gouvernance formelle de l’IA accusait un net retard, creusant un écart de gouvernance mesurable.
- 4Le Règlement européen sur l’IA est déjà extraterritorial : toute entreprise canadienne dont le résultat produit par l’IA est utilisé dans l’UE peut être visée, avec des amendes pouvant atteindre 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites — en vigueur depuis février 2025.
- 5L’application de la loi est arrivée par la porte de la protection des renseignements personnels, et non par une loi sur l’IA. L’enquête conjointe marquante de 2026 sur ChatGPT d’OpenAI (le CPVP ainsi que les autorités du Québec, de la Colombie-Britannique et de l’Alberta) a conclu à une collecte illégale de données en vertu des lois existantes sur la protection des renseignements personnels — la preuve qu’« aucune loi sur l’IA » ne signifie pas « aucune responsabilité en matière d’IA ».
- 6L’IA fantôme est la crise de conformité silencieuse : des sondages indépendants situent la fuite interne de données par l’IA générative à près de la moitié des organisations, alors qu’une minorité seulement d’employés connaît même l’existence d’une politique d’IA d’entreprise.
- 7Les organisations qui prennent les devants traitent la gouvernance de l’IA comme une discipline opérationnelle — inventaire, responsabilité, évaluation des risques, supervision — ancrée dans des cadres volontaires comme la norme ISO/IEC 42001 et le NIST AI RMF, bien avant qu’une loi canadienne ne les y oblige.
Sommaire : la vue d’ensemble en 2026
Voici le fait le plus important au sujet de la conformité en IA au Canada en 2026, et il surprend presque tous ceux à qui je le dis : le Canada n’a pas de loi sur l’IA. Aucune qui soit en vigueur. Le projet de loi censé nous en doter est mort.
Pendant trois ans, la conversation a été dominée par le projet de loi C-27 et sa pièce maîtresse, la Loi sur l’intelligence artificielle et les données (LIAD). Les entreprises ont attendu. Des consultants ont vendu des évaluations de préparation pour une loi qui n’avait pas été adoptée. Puis, le 6 janvier 2025, le Parlement a été prorogé, le premier ministre a annoncé sa démission, et tous les projets de loi au Feuilleton — le C-27 compris — sont tout simplement morts. La LIAD, la refonte fédérale proposée de la protection des renseignements personnels et un nouveau tribunal ont tous disparu avec lui. En juin 2025, le ministre responsable a confirmé ce que la plupart d’entre nous présumaient déjà : la LIAD ne reviendra pas telle qu’elle avait été rédigée.
Alors, si vous dirigez une entreprise canadienne qui utilise l’IA, la réponse honnête à la question « à quelle loi sur l’IA dois-je me conformer? » est : aucune, précisément. Mais c’est là le piège. L’absence d’une loi *propre à l’IA* a été largement interprétée à tort comme une absence d’obligation, et cette lecture coûte cher. Les lois qui régissent déjà les données — la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au fédéral, la Loi 25 du Québec, les lois du secteur privé de la Colombie-Britannique et de l’Alberta sur la protection des renseignements personnels, la loi ontarienne sur la protection des renseignements personnels sur la santé (PHIPA) et la loi canadienne anti-pourriel (LCAP) — s’appliquent intégralement aux systèmes d’IA. Elles ont été écrites pour les données, et l’IA est une machine à données. Vous n’avez pas besoin d’une loi sur l’IA pour être tenu responsable de ce que votre IA fait des renseignements personnels, et 2026 nous en a donné la preuve la plus claire à ce jour.
Pendant ce temps, le terrain s’est déplacé sous les pieds de tout le monde. Trois forces définissent désormais le véritable portrait de la conformité :
- Le droit étranger qui atteint nos frontières. Le Règlement européen sur l’IA est entré en vigueur en août 2024 et ses dispositions extraterritoriales font que les exportateurs canadiens peuvent y être assujettis, peu importe l’état du droit canadien. Les amendes pour pratiques interdites — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial — sont exécutoires depuis février 2025.
- L’adoption qui devance la gouvernance. Les données de Statistique Canada montrent que l’usage de l’IA par les entreprises a environ triplé entre 2024 et 2026. Très peu de cette adoption s’est accompagnée d’un programme de gouvernance correspondant. Cet écart est l’histoire de 2026.
- L’application de la loi par la porte de la protection des renseignements personnels. Les autorités n’ont pas attendu une loi sur l’IA. Elles ont utilisé les lois sur la protection des renseignements personnels qu’elles avaient déjà. L’enquête conjointe sur ChatGPT d’OpenAI, réglée en 2026, est le modèle de la façon dont la responsabilité en matière d’IA sera appliquée au Canada pour les prochaines années.
Ce rapport est ma tentative, à titre de personne qui conçoit des logiciels de gouvernance de l’IA et de protection des renseignements personnels pour gagner sa vie, de décrire le terrain honnêtement. C’est une synthèse de sources réglementaires publiques et de données publiées — non un sondage exclusif, et je suis transparent à ce sujet dans la section sur la méthodologie. Sa seule contribution originale est un modèle de maturité pratique, le cadre de préparation à la conformité en IA, qui vous permet de situer votre propre organisation sur une échelle à cinq niveaux et d’en voir le prochain échelon. Si vous ne retenez qu’une chose des pages qui suivent, retenez ceci : gouvernez pour la loi qui s’en vient et pour le droit étranger déjà présent, et non pour la loi canadienne qui n’existe pas.
Le paysage réglementaire canadien : ce qui vous lie vraiment
Dissipons le brouillard et énumérons les lois véritablement en vigueur au Canada en 2026. Aucune n’est une loi sur l’IA. Toutes s’appliquent à l’IA.
La LPRPDE — toujours la base fédérale
La Loi sur la protection des renseignements personnels et les documents électroniques demeure la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. Elle régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales dans la majeure partie du pays. Son remplacement prévu — la Loi sur la protection de la vie privée des consommateurs (LPVPC), intégrée au projet de loi C-27 aux côtés de la LIAD — est mort avec le reste du C-27 à la prorogation. Ainsi, la LPRPDE, vieille de vingt ans, fondée sur des principes et centrée sur le consentement, demeure ce à quoi vous répondez au fédéral. Ses dix principes d’équité en matière d’information — responsabilité, consentement, limitation de la collecte, exactitude, mesures de sécurité, transparence, accès individuel — correspondent directement aux risques que crée l’IA : surcollecte de données d’entraînement, décisions automatisées opaques, résultats inexacts au sujet de personnes réelles. La LPRPDE ne mentionne pas l’IA une seule fois. Elle n’a pas à le faire.
La Loi 25 du Québec — le régime le plus exigeant au pays
La Loi 25 du Québec (anciennement projet de loi 64) est le régime de protection des renseignements personnels le plus exigeant au Canada et, dans les faits, ce qui se rapproche le plus d’une loi de calibre RGPD. Elle s’est déployée en trois phases annuelles et a atteint sa pleine application le 22 septembre 2024, lorsque le droit à la portabilité des données est entré en vigueur. La Loi 25 exige un responsable désigné de la protection des renseignements personnels, la déclaration obligatoire des incidents de confidentialité à la Commission d’accès à l’information (CAI), des évaluations des facteurs relatifs à la vie privée pour les systèmes traitant des renseignements personnels, la protection de la vie privée par défaut et — élément crucial pour l’IA — la transparence et des droits entourant la prise de décision automatisée. Si une décision au sujet d’une personne est prise exclusivement par un traitement automatisé, celle-ci a le droit d’en être informée et d’en obtenir la révision.
Ce sont les sanctions qui rendent la Loi 25 impossible à ignorer. La CAI peut imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial, et les amendes pénales peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Ce sont des chiffres de calibre RGPD, et ils s’appliquent à toute entreprise exploitée au Québec — pas seulement à celles dont le siège social s’y trouve.
La couche provinciale et sectorielle
Au-delà des régimes fédéral et québécois, plusieurs autres lois s’appliquent selon l’endroit et la façon dont vous exercez vos activités :
- La PIPA de la Colombie-Britannique et la PIPA de l’Alberta — des lois du secteur privé sur la protection des renseignements personnels essentiellement similaires qui remplacent la LPRPDE pour les organisations exploitées entièrement dans ces provinces. Toutes deux ont figuré directement dans l’enquête sur ChatGPT de 2026.
- La PHIPA (Ontario) et les lois provinciales équivalentes sur la protection des renseignements personnels sur la santé — régissent les renseignements personnels sur la santé, ce qui accroît fortement les enjeux pour toute IA touchant des données cliniques ou de patients.
- La LCAP — la Loi canadienne anti-pourriel régit les messages électroniques commerciaux et a de véritables dents. La messagerie sortante générée ou personnalisée par l’IA n’y échappe pas.
Qui doit se conformer
| Si vous… | Alors vous êtes lié par… |
|---|---|
| Traitez des données personnelles dans le cadre d’une activité commerciale n’importe où au Canada | La LPRPDE (ou la loi provinciale essentiellement similaire) |
| Exploitez une entreprise au Québec | La Loi 25 — peu importe où se trouve votre siège social |
| Exercez vos activités entièrement en C.-B. ou en Alberta | La PIPA de la C.-B. / la PIPA de l’Alberta |
| Touchez des renseignements personnels sur la santé en Ontario | La PHIPA |
| Envoyez des messages électroniques commerciaux à des Canadiens | La LCAP |
| Prenez des décisions automatisées concernant des personnes | Les règles sur la décision automatisée de la Loi 25; la responsabilité + l’exactitude de la LPRPDE |
| Vendez ou déployez de l’IA dont le résultat atteint l’UE | Le Règlement européen sur l’IA (voir la section suivante) |
La tendance est claire. Il n’y a pas de porte unique marquée « conformité en IA » au Canada. Il y a cinq ou six portes marquées « protection des renseignements personnels », « données de santé », « anti-pourriel » et « décisions automatisées », et votre IA doit franchir chacune d’elles.
Les règles sur l’IA qui atteignent déjà le Canada
Si le Canada n’a pas de loi sur l’IA, pourquoi des entreprises canadiennes sérieuses bâtissent-elles des programmes de gouvernance de l’IA en ce moment même? Parce que les règles qui façonneront leurs obligations existent déjà — elles n’ont simplement pas été rédigées à Ottawa.
Le Règlement européen sur l’IA est extraterritorial, et il est en vigueur
Le Règlement européen sur l’IA (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et se déploie progressivement sur trois ans. Sa portée ne s’arrête pas aux frontières de l’Europe. Comme le RGPD avant lui, le Règlement s’applique aux fournisseurs et aux déployeurs situés hors de l’UE lorsque le résultat de leur système d’IA est utilisé au sein de l’UE. Une société de logiciels de Halifax dont le modèle évalue des demandes de prêt pour un client européen, un fournisseur SaaS de Montréal dont la fonction d’IA est utilisée par des clients de l’UE — les deux peuvent être visés.
Le calendrier que tout exportateur canadien devrait avoir au mur :
- 2 février 2025 — les pratiques d’IA interdites (notation sociale, certaines catégorisations biométriques, systèmes manipulateurs) sont devenues exécutoires. Elles entraînent le palier d’amende le plus élevé : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.
- 2 août 2025 — les obligations relatives aux modèles d’IA à usage général (GPAI) sont entrées en vigueur, de même que les mécanismes de gouvernance et de sanction.
- 2 août 2026 — le grand rendez-vous : les obligations pour les systèmes d’IA à haut risque au titre de l’annexe III commencent à s’appliquer (emploi, crédit, services essentiels, et plus encore).
- 2 août 2027 — les catégories restantes à haut risque et les modèles GPAI existants doivent être en conformité.
Pour une entreprise canadienne, la leçon pratique est que le Règlement européen sur l’IA pourrait bien être votre réglementation contraignante en matière d’IA bien avant qu’une réglementation nationale n’existe. Notre guide sur le Règlement européen sur l’IA décompose les obligations par rôle et par palier de risque.
Les limbes de la LIAD, et le pont volontaire
La LIAD étant morte, le seul instrument de gouvernance de l’IA actif du gouvernement fédéral relève du droit souple : le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés, lancé par ISDE en septembre 2023. Il engage les signataires — plus de deux douzaines d’organisations, dont des entreprises canadiennes et mondiales — à des principes de responsabilité, de sécurité, d’équité, de transparence, de supervision humaine, ainsi que de validité et de robustesse. Il a été explicitement conçu comme un pont vers la LIAD. Le pont ne mène désormais nulle part en particulier, mais les principes demeurent un énoncé crédible des attentes du gouvernement fédéral, et y adhérer est un signal visible de bonne foi.
Les normes qui comblent le vide
Là où le droit contraignant est absent, les normes font le travail. Deux comptent le plus :
- ISO/IEC 42001:2023 — la première norme mondiale de système de management de l’IA, publiée en décembre 2023. Elle est à l’IA ce qu’ISO 27001 est à la sécurité de l’information : un cadre de système de management certifiable et auditable couvrant la politique d’IA, les rôles, l’évaluation des risques et des incidences, les contrôles du cycle de vie et l’amélioration continue. Comme elle est certifiable de manière indépendante, elle devient rapidement la monnaie de la confiance en l’IA dans les processus d’approvisionnement. Notre guide sur ISO 42001 explique ce qu’implique réellement la mise en œuvre.
- Cadre de gestion des risques liés à l’IA du NIST (AI RMF 1.0) — publié par le National Institute of Standards and Technology des États-Unis en janvier 2023, organisé autour de quatre fonctions : Gouverner, Cartographier, Mesurer et Gérer. Son profil pour l’IA générative de juillet 2024 (NIST AI 600-1) ajoute douze catégories de risques propres à l’IA générative. Il est volontaire et gratuit, et il se marie naturellement avec ISO 42001 — le NIST pour le vocabulaire des risques, ISO pour le système de management.
La lecture stratégique est simple. Une organisation canadienne qui bâtit aujourd’hui sa gouvernance de l’IA sur ISO 42001 et le NIST AI RMF ne parie pas sur la loi canadienne qui finira par être adoptée. Ces cadres anticipent déjà la substance du Règlement européen sur l’IA et de tout successeur plausible de la LIAD. Vous construisez selon la norme, et non selon la loi, et la norme est transférable.
L’écart de gouvernance : adopter plus vite qu’on ne peut gouverner
C’est la section qui me tient le plus à cœur, parce que c’est là que réside le véritable risque au Canada en 2026. Ce n’est pas un écart entre notre droit et celui de l’Europe. C’est l’écart entre la rapidité avec laquelle les entreprises canadiennes adoptent l’IA et la lenteur avec laquelle elles la gouvernent.
L’adoption s’accélère — rapidement
Statistique Canada pose la même question aux entreprises canadiennes depuis 2024 : avez-vous utilisé l’IA pour produire des biens ou fournir des services au cours des douze derniers mois? La courbe est abrupte :
- 2e trimestre de 2024 : 6,1 % des entreprises ont répondu oui.
- 2e trimestre de 2025 : 12,2 % — un doublement en une seule année, 17,9 % de plus prévoyant d’adopter des logiciels d’IA dans les douze mois.
- 2026 : environ 19,2 % — le triple du chiffre de 2024.
Tripler en deux ans est une véritable transformation de la façon dont les entreprises canadiennes fonctionnent. Et ce chiffre sous-estime l’usage réel, car il saisit l’adoption *organisationnelle*, et non le volume bien plus important d’employés qui utilisent des outils d’IA de leur propre initiative.
La gouvernance ne suit pas le rythme
Voici l’asymétrie. L’adoption est une décision de la direction qui peut se produire en un trimestre. La gouvernance — un inventaire de l’IA, une politique d’utilisation, des évaluations des risques, des règles de supervision humaine, la surveillance — est un programme opérationnel dont la mise en place prend de nombreux trimestres. Les deux courbes divergent donc, et l’espace entre elles est là où surviennent les incidents.
La preuve la plus claire de l’écart est le phénomène de l’IA fantôme : des employés qui utilisent des outils d’IA générative que leur employeur n’a pas autorisés, souvent en collant des renseignements confidentiels ou personnels dans des robots conversationnels grand public. Les chiffres publiés varient selon la méthodologie, mais chaque source crédible pointe dans la même direction. Les recherches de Cisco de 2025 ont révélé que près de la moitié des organisations ont signalé des fuites internes de données par l’IA générative — des données parties par les requêtes d’employés, et non par une atteinte. D’autres sondages menés auprès de la main-d’œuvre en 2025 ont révélé qu’une large majorité de travailleurs du savoir utilisaient l’IA au travail, tandis qu’une petite minorité seulement connaissait l’existence d’une politique d’entreprise officielle la régissant. Gartner a signalé que la plupart des responsables de la cybersécurité soupçonnent ou ont la preuve d’un usage interdit d’IA générative publique au sein de leur organisation.
Je tiens à être prudent ici, car l’intégrité de ce rapport en dépend : il s’agit de sondages tiers aux échantillons variables, et non d’un recensement de Canuckt. Mais le signal qualitatif est sans équivoque et il correspond à ce que je vois sur le terrain chaque semaine. La plupart des organisations canadiennes ne savent pas quelle IA est utilisée à l’intérieur de leurs propres murs. On ne peut pas gouverner, caviarder ni évaluer le risque de ce qu’on ne voit pas.
Pourquoi l’écart est un problème de conformité, et pas seulement un problème de TI
Chacune de ces requêtes non autorisées est un événement potentiel au regard de la LPRPDE ou de la Loi 25. Collez les renseignements personnels d’un client dans un outil d’IA grand public et vous avez sans doute communiqué des données personnelles à un tiers sans consentement valide, sans mesure de sécurité et sans trace. Dans une juridiction régie par la Loi 25, c’est exactement le type d’incident de confidentialité que la CAI s’attend à ce que vous consigniez et, s’il comporte un risque de préjudice sérieux, que vous déclariez.
C’est le cœur opérationnel de la gouvernance de l’IA, et c’est la raison d’être des deux produits que je conçois. Valdra est ce qu’une organisation utilise pour combler le côté gouvernance de l’écart — inventorier ses systèmes d’IA, réaliser les évaluations d’incidence, attribuer la responsabilité et attester la conformité à la LPRPDE, à la Loi 25 et au Règlement européen sur l’IA au même endroit. Shielk comble le côté données — détecter et caviarder les renseignements personnels avant même qu’ils n’atteignent un modèle, de sorte que la requête d’IA fantôme qui aurait fait fuir le dossier d’un client ne le puisse tout simplement pas. Aucun n’est une solution miracle. Ensemble, ils décrivent les deux disciplines que l’écart de gouvernance exige réellement : voir et contrôler votre IA, et contrôler les données qui y entrent. Le guide sur la gouvernance de l’IA couvre la vue à l’échelle du programme.
Tendances en matière d’application de la loi : comment la responsabilité en IA s’impose réellement
L’objection la plus courante que j’entends est : « Il n’y a pas de loi sur l’IA, donc il n’y a pas encore de véritable risque d’application. » 2026 a démoli cet argument. L’application de la loi est là. Elle est simplement arrivée par la porte de la protection des renseignements personnels.
L’enquête sur ChatGPT : le jalon
En 2026, quatre autorités canadiennes de protection des renseignements personnels — le Commissariat à la protection de la vie privée du Canada (CPVP) au fédéral, la CAI du Québec, ainsi que les commissaires à l’information et à la protection de la vie privée de la Colombie-Britannique et de l’Alberta — ont conclu une enquête conjointe sur ChatGPT d’OpenAI (Conclusions LPRPDE no 2026-002). Les conclusions sont une feuille de route pour la façon dont l’IA sera encadrée au Canada sans loi sur l’IA.
Les autorités ont conclu que la manière dont OpenAI a initialement moissonné des renseignements personnels sur l’internet ouvert pour entraîner ses modèles GPT-3.5 et GPT-4 était excessive et inappropriée au regard du droit canadien de la protection des renseignements personnels. Elles ont relevé un ensemble de manquements qui sembleront familiers à quiconque a lu la LPRPDE : surcollecte de renseignements personnels, absence de consentement valide et de transparence, inexactitudes factuelles au sujet de personnes réelles, mécanismes déficients pour permettre aux personnes d’accéder à leurs données, de les corriger ou de les supprimer, et lacunes en matière de responsabilité. Le commissaire fédéral a jugé la plainte fondée et conditionnellement réglée sur la base de mesures qu’OpenAI avait mises en place ou s’était engagée à mettre en place. Les commissaires de la C.-B. et de l’Alberta sont allés plus loin, concluant que les modèles d’OpenAI reposent sur des données moissonnées pour lesquelles un consentement valide ne pouvait être obtenu en vertu de leurs lois provinciales.
Relisez cela à la lumière des sections précédentes. Il n’y a aucune loi canadienne sur l’IA. Et pourtant, l’une des entreprises d’IA les plus en vue au monde a été formellement reconnue coupable d’avoir enfreint le droit canadien — en n’utilisant rien d’autre que les lois sur la protection des renseignements personnels que nous avions déjà. C’est toute la thèse de ce rapport, démontrée.
Le portrait plus large de l’application de la loi
L’affaire ChatGPT n’est pas sortie de nulle part. La tendance se construisait :
- Clearview AI (2021) a établi le précédent : le CPVP et ses homologues provinciaux ont conclu que le moissonnage massif d’images faciales de Canadiens pour un produit d’IA biométrique était illégal. Ce fut le premier signal clair que l’IA entraînée sur des données personnelles moissonnées est une cible d’application active.
- Le volume augmente. Le rapport annuel 2024-2025 du CPVP fait état de 446 plaintes acceptées dans le secteur privé et de 686 déclarations d’atteinte aux données pour l’année, le commissaire signalant explicitement la protection de la vie privée dans un monde propulsé par l’IA comme une priorité stratégique.
- La coopération internationale est désormais la norme. Le CPVP a mené l’enquête sur l’atteinte aux données génétiques de 23andMe conjointement avec le commissaire à l’information du Royaume-Uni, et l’enquête sur ChatGPT a réuni quatre autorités canadiennes. Les autorités canadiennes agissent de plus en plus en blocs coordonnés, ce qui multiplie à la fois la portée et les conséquences.
Ce qui est réellement sanctionné
Dépouillez les affaires et une tendance émerge. Les autorités ne sanctionnent pas (encore) l’« IA » dans l’abstrait. Elles sanctionnent les comportements en matière de données que les systèmes d’IA aggravent à grande échelle :
- Collecter des renseignements personnels que vous n’aviez aucun fondement légal de collecter — le problème des données d’entraînement.
- Prendre des décisions lourdes de conséquences au sujet de personnes sans transparence ni recours — le problème de la décision automatisée, que la Loi 25 aborde de front.
- Ne pas protéger les renseignements personnels qui circulent dans les systèmes d’IA — le problème de l’IA fantôme et des atteintes.
- Ne pas être en mesure de démontrer la responsabilité — aucun inventaire, aucune évaluation, aucune trace lorsque l’autorité le demande.
Chaque élément de cette liste est évitable par la gouvernance, et chaque élément est décelable au moyen d’une seule plainte ou déclaration d’atteinte bien ciblée. Au Québec, le prix d’une erreur se chiffre en millions. Le risque d’application au Canada n’est pas hypothétique et il n’attend pas la LIAD.
Le cadre de préparation à la conformité en IA de Canuckt
Tout ce qui précède décrit le terrain. Cette section est la carte que j’utilise réellement avec les organisations. C’est la seule chose véritablement originale de ce rapport : un modèle de maturité à cinq niveaux pour situer votre organisation sur une échelle allant de « l’IA nous arrive dessus » à « l’IA est gouvernée et démontrable ». Je l’appelle le cadre de préparation à la conformité en IA. Il est délibérément neutre à l’égard des fournisseurs — vous pouvez le gravir avec n’importe quels outils, ou aucun.
Le cadre évalue cinq dimensions, parce que la gouvernance de l’IA échoue de façon inégale — une entreprise peut avoir une magnifique politique et aucune visibilité sur l’IA fantôme :
- Visibilité — savez-vous quels systèmes et outils d’IA sont utilisés, y compris ceux qui ne sont pas autorisés?
- Responsabilité — y a-t-il un propriétaire nommé, une politique et un cheminement décisionnel?
- Évaluation des risques — évaluez-vous les systèmes d’IA sur les plans de la protection des renseignements personnels, des biais et de la sécurité, avant et pendant leur utilisation?
- Contrôle des données — contrôlez-vous quels renseignements personnels entrent dans les systèmes d’IA?
- Assurance — pouvez-vous prouver tout ce qui précède à une autorité, à un auditeur ou à un client?
Les cinq niveaux
| Niveau | Nom | Visibilité | Responsabilité | Évaluation des risques | Contrôle des données | Assurance |
|---|---|---|---|---|---|---|
| 1 | Ponctuel | Inconnue; IA fantôme partout | Aucun propriétaire, aucune politique | Aucune | Aucun; tout peut être collé n’importe où | Incapable de répondre à une autorité |
| 2 | Conscient | La direction sait que l’IA est utilisée; aucun inventaire | Politique d’utilisation de l’IA ébauchée; propriétaire informel | Occasionnelle, réactive | Directives émises, non appliquées | Documentation partielle, incomplète |
| 3 | Géré | Un inventaire central de l’IA existe et est tenu à jour | Propriétaire responsable nommé; politique approuvée | Évaluation standard pour les nouveaux usages de l’IA | Contrôles techniques (p. ex. caviardage des renseignements personnels) sur les flux clés | Peut produire des traces sur demande |
| 4 | Gouverné | Découverte continue, y compris l’IA fantôme | Fonction de gouvernance interfonctionnelle; RACI clair | Évaluations des risques et des incidences liées au cycle de vie | Contrôles appliqués dans toute l’organisation; surveillance | Preuves maintenues en continu, arrimées au droit |
| 5 | Assuré | Visibilité complète, en temps réel | Gouvernance intégrée aux opérations et à la supervision du conseil | Validation indépendante; indicateurs et revue | Contrôles des données vérifiés et éprouvés | Certifié par un tiers (p. ex. ISO/IEC 42001); prêt pour l’audit |
Comment l’utiliser
La plupart des organisations canadiennes que je rencontre en 2026 se situent au niveau 1 ou 2. Elles ont adopté l’IA (la section précédente l’a prouvé), mais la visibilité et l’assurance accusent un retard. Le geste à plus forte valeur pour une organisation de niveau 1 n’est pas de rédiger une politique — c’est d’atteindre la visibilité. On ne peut pas gouverner ce qu’on ne voit pas, et l’IA fantôme est presque toujours pire que ce que croit la direction.
Le saut du niveau 2 au niveau 3 est là où le véritable risque de conformité chute, car le niveau 3 est le premier niveau où vous pourriez survivre à une demande « montrez-moi » d’une autorité — la demande exacte sur laquelle ont reposé les affaires ChatGPT et Clearview. Le niveau 3 est une cible raisonnable et défendable pour la plupart des petites et moyennes entreprises canadiennes en 2026.
Le niveau 4 (Gouverné) est là où je situerais toute organisation touchant des données réglementées — santé, finance, enfants — ou quiconque exporte des résultats d’IA vers les catégories à haut risque de l’UE avant l’échéance d’août 2026. Le niveau 5 (Assuré) — avec une certification ISO/IEC 42001 indépendante — constitue actuellement un facteur de différenciation concurrentiel; d’ici quelques années, pour l’approvisionnement des entreprises et des gouvernements, je m’attends à ce qu’il devienne la norme minimale.
Attribuez vos cinq notes honnêtement aujourd’hui. Votre dimension la plus faible est votre véritable risque, et non votre moyenne. La gouvernance n’est aussi solide que la porte que vous avez laissée déverrouillée.
Prévisions : ce qui s’en vient en 2026-2027
Prévoir la réglementation est un bon moyen d’avoir tort en public, alors je serai précis et je l’assumerai. Voici où je pense que la conformité en IA au Canada se dirige au cours des dix-huit prochains mois.
1. La législation fédérale sur l’IA revient — plus étroite, plus lente et différente
La LIAD ne reviendra pas telle qu’elle avait été rédigée; le gouvernement l’a dit. Mais la pression de réglementer n’a pas disparu, et le Canada ne veut pas être le seul pays du G7 sans cadre sur l’IA alors que le Règlement européen sur l’IA se déploie. Mon attente : un instrument fédéral plus étroit et mieux ciblé — peut-être axé sur les systèmes à forte incidence ou à usage général, peut-être intégré à un ensemble ravivé de réforme de la protection des renseignements personnels plutôt qu’à une loi autonome sur l’IA. Ne vous attendez pas à ce qu’il soit en vigueur avant 2027. Attendez-vous à des projets de consultation plus tôt. Les organisations qui auront construit selon ISO 42001 entre-temps trouveront la transition triviale.
2. L’application de la Loi 25 s’intensifie
La CAI dispose désormais d’une loi pleinement en vigueur, de véritables pouvoirs de sanction et d’un registre obligatoire des incidents qui documente discrètement les manquements de chaque organisation. Attendez-vous à ce que le volume et la visibilité de l’application de la Loi 25 grimpent tout au long de 2026-2027, la prise de décision automatisée et le consentement inadéquat étant des cibles de premier plan. Le Québec demeurera la juridiction la plus déterminante en matière de conformité en IA au Canada, et ses décisions façonneront la pratique nationale.
3. L’échéance à haut risque du Règlement européen sur l’IA force la main des Canadiens
Le 2 août 2026 est une date ferme : les obligations pour l’IA à haut risque au titre de l’annexe III commencent à s’appliquer. Les entreprises canadiennes qui vendent en Europe — ou qui fournissent des fonctions d’IA à des clients européens — passeront la seconde moitié de 2026 à découvrir si leurs systèmes sont « à haut risque » selon la classification de l’UE et à se démener pour satisfaire à des exigences qu’elles ne peuvent ignorer. Cette échéance étrangère fera davantage pour stimuler l’investissement canadien dans la gouvernance de l’IA que toute politique nationale.
4. L’approvisionnement devient le véritable régulateur
C’est ma prévision la plus assurée. Bien avant qu’une loi canadienne sur l’IA ne vous lie, vos clients le feront. Les acheteurs des entreprises et du secteur public ajoutent déjà des questions sur la gouvernance de l’IA et la protection des renseignements personnels à leurs évaluations de fournisseurs, et la certification ISO/IEC 42001 commence à apparaître dans les appels d’offres. L’approvisionnement va plus vite que la législation et a une arête plus tranchante : échouez au questionnaire et vous perdez le contrat aujourd’hui. Pour la plupart des fournisseurs canadiens, le questionnaire de l’acheteur sur la sécurité et l’IA sera l’échéance de conformité qui compte vraiment.
5. L’IA fantôme passe de tolérée à inacceptable
À mesure que la tendance d’application issue de l’affaire ChatGPT s’imposera, les conseils d’administration cesseront de traiter l’IA fantôme comme un désagrément de TI et commenceront à la traiter comme un problème de responsabilité déclarée. Attendez-vous à une vague d’organisations passant des niveaux 1-2 au niveau 3 du cadre de préparation — poussées moins par les autorités que par leurs propres comités de risque qui finiront par demander « quelles données nos employés collent-ils dans ces outils? ».
Le fil conducteur des cinq prévisions est le même : le facteur déclencheur de la gouvernance de l’IA au Canada en 2026-2027 n’est pas une loi canadienne sur l’IA. Ce sont le Québec, Bruxelles et vos propres clients. Construisez pour eux.
Méthodologie et sources
Je tiens à être totalement transparent sur ce qu’est et n’est pas ce rapport, car un actif conçu pour attirer les citations mais qui surestime sa propre autorité ne vaut rien.
Ce qu’est ce rapport. C’est une analyse et une synthèse de sources publiques et citables, rédigée du point de vue d’une personne qui conçoit des logiciels de gouvernance de l’IA et de protection des renseignements personnels pour les entreprises canadiennes. Chaque affirmation quantitative qu’il contient provient d’une source publique nommée — statistiques gouvernementales, publications d’autorités réglementaires, textes juridiques officiels ou recherches tierces clairement attribuées — et est liée dans le texte. Les catégories de sources sur lesquelles je me suis appuyé sont :
- Textes juridiques et réglementaires primaires — EUR-Lex pour le Règlement européen sur l’IA, ISDE pour la LIAD et le Code de conduite volontaire, ISO pour la norme 42001, le NIST pour l’AI RMF.
- Publications d’autorités — le Commissariat à la protection de la vie privée du Canada (rapport annuel, conclusions d’enquête), et l’enquête conjointe fédérale-provinciale sur ChatGPT.
- Statistiques officielles — la série de Statistique Canada sur l’adoption de l’IA par les entreprises.
- Analyses juridiques de cabinets canadiens établis suivant le projet de loi C-27, la Loi 25 et le Règlement européen sur l’IA.
- Recherches sectorielles tierces sur l’adoption de l’IA et l’IA fantôme, citées avec attribution et une prudence appropriée quant à l’échantillon et à la méthode.
Ce que n’est pas ce rapport. Ce n’est pas un sondage primaire. Je n’ai pas sondé un panel d’entreprises canadiennes, et vous ne trouverez pas une seule affirmation du type « nous avons sondé N entreprises et constaté X % » dans ces pages, parce que je ne l’ai pas fait et que je ne l’inventerai pas. Lorsque je décris le phénomène de l’IA fantôme ou l’écart de gouvernance, je cite soit une étude externe nommée, soit je décris la tendance de façon qualitative à partir de données publiques et d’une expérience directe sur le terrain — et je précise laquelle.
La contribution originale de ce rapport est la synthèse elle-même — tisser les fils réglementaire, d’adoption et d’application en un portrait cohérent de 2026 — et le cadre de préparation à la conformité en IA, un modèle de maturité à cinq niveaux que j’ai conçu pour donner aux organisations un moyen pratique de se situer et de trouver leur prochaine étape. Le cadre est mon modèle professionnel, et non une constatation empirique; utilisez-le comme une lentille, non comme une loi.
Une note sur le moment. L’environnement de la politique canadienne en matière d’IA est exceptionnellement mouvant en 2026 — un projet de loi mort, un remplacement promis mais non rédigé, des échéances étrangères qui se succèdent. Les faits énoncés ici reflètent la situation en date de juillet 2026 et les sources ci-dessous. Là où le terrain bouge, les sources bougeront d’abord; commencez par là.
Si vous souhaitez approfondir un fil en particulier, les guides liés du carrefour Apprendre de Canuckt — sur la gouvernance de l’IA, le Règlement européen sur l’IA et ISO/IEC 42001 — développent le détail pratique que ce rapport n’a eu la place que de résumer.
Sources
- EU AI Act — Regulation (EU) 2024/1689 (EUR-Lex)
- European Commission — AI Act regulatory framework and timeline
- ISED — Voluntary Code of Conduct on Advanced Generative AI Systems
- ISED — Artificial Intelligence and Data Act (AIDA)
- IAPP — Bill C-27 awaits fate after prorogation
- Gowling WLG — Federal privacy reform: where we left off and what’s next
- Osler — Law 25: enforcement scheme and penalties
- OPC — PIPEDA Findings #2026-002: Joint Investigation of OpenAI’s ChatGPT
- OPC — 2024–25 Annual Report to Parliament
- Statistics Canada — AI use by businesses, Q2 2025
- Statistics Canada — AI use by businesses, Q2 2024
- The Hub — Canadian businesses closing the AI adoption gap (StatsCan 2026)
- ISO — ISO/IEC 42001:2023 AI management systems
- NIST — AI Risk Management Framework
- Cybersecurity Dive — Enterprise data creeping into shadow AI tools
Questions fréquentes
Le Canada a-t-il une loi sur l’IA en 2026?
Non. Le Canada n’a aucune loi propre à l’IA en vigueur en 2026. La Loi sur l’intelligence artificielle et les données (LIAD) proposée faisait partie du projet de loi C-27, qui est mort lorsque le Parlement a été prorogé le 6 janvier 2025, et le gouvernement a confirmé que la LIAD ne reviendra pas sous sa forme initiale. Toutefois, les lois existantes — la LPRPDE, la Loi 25 du Québec, les lois PIPA de la C.-B. et de l’Alberta, la PHIPA et la LCAP — s’appliquent intégralement aux systèmes d’IA, de sorte qu’« aucune loi sur l’IA » ne signifie pas « aucune obligation de conformité en IA ».
S’il n’y a aucune loi canadienne sur l’IA, mon entreprise peut-elle tout de même être sanctionnée pour la façon dont elle utilise l’IA?
Oui. Au Canada, l’application de la loi passe par les lois existantes sur la protection des renseignements personnels, et non par une loi sur l’IA. L’enquête conjointe de 2026 sur ChatGPT d’OpenAI, menée par le commissaire fédéral à la protection de la vie privée et les autorités du Québec, de la C.-B. et de l’Alberta, a conclu à une collecte illégale de renseignements personnels en n’utilisant rien d’autre que les lois existantes sur la protection des renseignements personnels. La Loi 25 du Québec à elle seule prévoit des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Le risque est réel et actuel.
Le Règlement européen sur l’IA s’applique-t-il aux entreprises canadiennes?
Il le peut. Le Règlement européen sur l’IA (Règlement (UE) 2024/1689) est extraterritorial : il s’applique aux fournisseurs et aux déployeurs situés hors de l’UE lorsque le résultat de leur système d’IA est utilisé au sein de l’UE. Les amendes pour pratiques interdites, pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, sont exécutoires depuis février 2025, et les obligations relatives aux systèmes à haut risque commencent à s’appliquer le 2 août 2026. Les exportateurs canadiens et les fournisseurs SaaS servant des clients de l’UE devraient évaluer leur exposition dès maintenant.
Que devrait faire en premier une entreprise canadienne pour gouverner son utilisation de l’IA?
Atteindre la visibilité. Avant de rédiger une politique, découvrez quels outils et systèmes d’IA sont réellement utilisés dans l’ensemble de votre organisation — y compris l’« IA fantôme » non autorisée que les employés adoptent d’eux-mêmes. Vous ne pouvez pas gouverner, évaluer le risque ni protéger des données que vous ne voyez pas. Dans le cadre de préparation à la conformité en IA de ce rapport, cela vous fait quitter le niveau 1 (Ponctuel) et constitue le fondement de tout ce qui vient au-dessus.
Vaut-il la peine d’adopter ISO/IEC 42001 et le NIST AI RMF s’ils sont volontaires?
Oui, et de plus en plus. Comme le Canada n’a pas de loi contraignante sur l’IA, les normes comblent le vide. ISO/IEC 42001:2023 est la première norme mondiale certifiable de système de management de l’IA, et le cadre de gestion des risques liés à l’IA du NIST fournit un vocabulaire des risques largement utilisé. Vous appuyer sur ces normes signifie que vous êtes prêt pour le Règlement européen sur l’IA et toute future loi canadienne sans miser sur une loi précise — et la certification ISO 42001 commence à apparaître dans l’approvisionnement des entreprises et des gouvernements, où elle agit comme une exigence de facto.