CanucktAI
Rapport de recherche

L’état de la conformité en IA au Canada en 2026

Le rapport de terrain d’un fondateur sur la situation réelle de la réglementation de l’IA au Canada en 2026 — la loi qui est morte, les lois toujours en vigueur, les règles étrangères qui atteignent déjà nos frontières et l’écart grandissant entre la rapidité avec laquelle les entreprises canadiennes adoptent l’IA et la lenteur avec laquelle elles la gouvernent.

Par Vivek Chakravarthy · 2026-07-12

Principaux constats

  • 1Le Canada n’a aucune loi propre à l’IA en vigueur. Le projet de loi C-27 — qui portait la Loi sur l’intelligence artificielle et les données (LIAD) proposée — est mort au Feuilleton lorsque le Parlement a été prorogé le 6 janvier 2025, et le gouvernement a confirmé que la LIAD ne reviendra pas sous sa forme ancienne.
  • 2Les règles qui lient réellement les entreprises canadiennes aujourd’hui sont celles qui existaient déjà : la LPRPDE au fédéral, la Loi 25 du Québec (pleinement en vigueur depuis le 22 septembre 2024, avec des sanctions pouvant atteindre 25 M$ ou 4 % du chiffre d’affaires mondial), de même que les lois PIPA de la Colombie-Britannique et de l’Alberta, la PHIPA et la LCAP.
  • 3L’adoption de l’IA au Canada a environ triplé en deux ans — passant de 6,1 % des entreprises au 2e trimestre de 2024 à 12,2 % au 2e trimestre de 2025, puis à 19,2 % d’ici 2026 (Statistique Canada) — tandis que la gouvernance formelle de l’IA accusait un net retard, creusant un écart de gouvernance mesurable.
  • 4Le Règlement européen sur l’IA est déjà extraterritorial : toute entreprise canadienne dont le résultat produit par l’IA est utilisé dans l’UE peut être visée, avec des amendes pouvant atteindre 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites — en vigueur depuis février 2025.
  • 5L’application de la loi est arrivée par la porte de la protection des renseignements personnels, et non par une loi sur l’IA. L’enquête conjointe marquante de 2026 sur ChatGPT d’OpenAI (le CPVP ainsi que les autorités du Québec, de la Colombie-Britannique et de l’Alberta) a conclu à une collecte illégale de données en vertu des lois existantes sur la protection des renseignements personnels — la preuve qu’« aucune loi sur l’IA » ne signifie pas « aucune responsabilité en matière d’IA ».
  • 6L’IA fantôme est la crise de conformité silencieuse : des sondages indépendants situent la fuite interne de données par l’IA générative à près de la moitié des organisations, alors qu’une minorité seulement d’employés connaît même l’existence d’une politique d’IA d’entreprise.
  • 7Les organisations qui prennent les devants traitent la gouvernance de l’IA comme une discipline opérationnelle — inventaire, responsabilité, évaluation des risques, supervision — ancrée dans des cadres volontaires comme la norme ISO/IEC 42001 et le NIST AI RMF, bien avant qu’une loi canadienne ne les y oblige.

Sommaire : la vue d’ensemble en 2026

Voici le fait le plus important au sujet de la conformité en IA au Canada en 2026, et il surprend presque tous ceux à qui je le dis : le Canada n’a pas de loi sur l’IA. Aucune qui soit en vigueur. Le projet de loi censé nous en doter est mort.

Pendant trois ans, la conversation a été dominée par le projet de loi C-27 et sa pièce maîtresse, la Loi sur l’intelligence artificielle et les données (LIAD). Les entreprises ont attendu. Des consultants ont vendu des évaluations de préparation pour une loi qui n’avait pas été adoptée. Puis, le 6 janvier 2025, le Parlement a été prorogé, le premier ministre a annoncé sa démission, et tous les projets de loi au Feuilleton — le C-27 compris — sont tout simplement morts. La LIAD, la refonte fédérale proposée de la protection des renseignements personnels et un nouveau tribunal ont tous disparu avec lui. En juin 2025, le ministre responsable a confirmé ce que la plupart d’entre nous présumaient déjà : la LIAD ne reviendra pas telle qu’elle avait été rédigée.

Alors, si vous dirigez une entreprise canadienne qui utilise l’IA, la réponse honnête à la question « à quelle loi sur l’IA dois-je me conformer? » est : aucune, précisément. Mais c’est là le piège. L’absence d’une loi *propre à l’IA* a été largement interprétée à tort comme une absence d’obligation, et cette lecture coûte cher. Les lois qui régissent déjà les données — la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au fédéral, la Loi 25 du Québec, les lois du secteur privé de la Colombie-Britannique et de l’Alberta sur la protection des renseignements personnels, la loi ontarienne sur la protection des renseignements personnels sur la santé (PHIPA) et la loi canadienne anti-pourriel (LCAP) — s’appliquent intégralement aux systèmes d’IA. Elles ont été écrites pour les données, et l’IA est une machine à données. Vous n’avez pas besoin d’une loi sur l’IA pour être tenu responsable de ce que votre IA fait des renseignements personnels, et 2026 nous en a donné la preuve la plus claire à ce jour.

Pendant ce temps, le terrain s’est déplacé sous les pieds de tout le monde. Trois forces définissent désormais le véritable portrait de la conformité :

  • Le droit étranger qui atteint nos frontières. Le Règlement européen sur l’IA est entré en vigueur en août 2024 et ses dispositions extraterritoriales font que les exportateurs canadiens peuvent y être assujettis, peu importe l’état du droit canadien. Les amendes pour pratiques interdites — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial — sont exécutoires depuis février 2025.
  • L’adoption qui devance la gouvernance. Les données de Statistique Canada montrent que l’usage de l’IA par les entreprises a environ triplé entre 2024 et 2026. Très peu de cette adoption s’est accompagnée d’un programme de gouvernance correspondant. Cet écart est l’histoire de 2026.
  • L’application de la loi par la porte de la protection des renseignements personnels. Les autorités n’ont pas attendu une loi sur l’IA. Elles ont utilisé les lois sur la protection des renseignements personnels qu’elles avaient déjà. L’enquête conjointe sur ChatGPT d’OpenAI, réglée en 2026, est le modèle de la façon dont la responsabilité en matière d’IA sera appliquée au Canada pour les prochaines années.

Ce rapport est ma tentative, à titre de personne qui conçoit des logiciels de gouvernance de l’IA et de protection des renseignements personnels pour gagner sa vie, de décrire le terrain honnêtement. C’est une synthèse de sources réglementaires publiques et de données publiées — non un sondage exclusif, et je suis transparent à ce sujet dans la section sur la méthodologie. Sa seule contribution originale est un modèle de maturité pratique, le cadre de préparation à la conformité en IA, qui vous permet de situer votre propre organisation sur une échelle à cinq niveaux et d’en voir le prochain échelon. Si vous ne retenez qu’une chose des pages qui suivent, retenez ceci : gouvernez pour la loi qui s’en vient et pour le droit étranger déjà présent, et non pour la loi canadienne qui n’existe pas.

Le paysage réglementaire canadien : ce qui vous lie vraiment

Dissipons le brouillard et énumérons les lois véritablement en vigueur au Canada en 2026. Aucune n’est une loi sur l’IA. Toutes s’appliquent à l’IA.

La LPRPDE — toujours la base fédérale

La Loi sur la protection des renseignements personnels et les documents électroniques demeure la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. Elle régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales dans la majeure partie du pays. Son remplacement prévu — la Loi sur la protection de la vie privée des consommateurs (LPVPC), intégrée au projet de loi C-27 aux côtés de la LIAD — est mort avec le reste du C-27 à la prorogation. Ainsi, la LPRPDE, vieille de vingt ans, fondée sur des principes et centrée sur le consentement, demeure ce à quoi vous répondez au fédéral. Ses dix principes d’équité en matière d’information — responsabilité, consentement, limitation de la collecte, exactitude, mesures de sécurité, transparence, accès individuel — correspondent directement aux risques que crée l’IA : surcollecte de données d’entraînement, décisions automatisées opaques, résultats inexacts au sujet de personnes réelles. La LPRPDE ne mentionne pas l’IA une seule fois. Elle n’a pas à le faire.

La Loi 25 du Québec — le régime le plus exigeant au pays

La Loi 25 du Québec (anciennement projet de loi 64) est le régime de protection des renseignements personnels le plus exigeant au Canada et, dans les faits, ce qui se rapproche le plus d’une loi de calibre RGPD. Elle s’est déployée en trois phases annuelles et a atteint sa pleine application le 22 septembre 2024, lorsque le droit à la portabilité des données est entré en vigueur. La Loi 25 exige un responsable désigné de la protection des renseignements personnels, la déclaration obligatoire des incidents de confidentialité à la Commission d’accès à l’information (CAI), des évaluations des facteurs relatifs à la vie privée pour les systèmes traitant des renseignements personnels, la protection de la vie privée par défaut et — élément crucial pour l’IA — la transparence et des droits entourant la prise de décision automatisée. Si une décision au sujet d’une personne est prise exclusivement par un traitement automatisé, celle-ci a le droit d’en être informée et d’en obtenir la révision.

Ce sont les sanctions qui rendent la Loi 25 impossible à ignorer. La CAI peut imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial, et les amendes pénales peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Ce sont des chiffres de calibre RGPD, et ils s’appliquent à toute entreprise exploitée au Québec — pas seulement à celles dont le siège social s’y trouve.

La couche provinciale et sectorielle

Au-delà des régimes fédéral et québécois, plusieurs autres lois s’appliquent selon l’endroit et la façon dont vous exercez vos activités :

  • La PIPA de la Colombie-Britannique et la PIPA de l’Alberta — des lois du secteur privé sur la protection des renseignements personnels essentiellement similaires qui remplacent la LPRPDE pour les organisations exploitées entièrement dans ces provinces. Toutes deux ont figuré directement dans l’enquête sur ChatGPT de 2026.
  • La PHIPA (Ontario) et les lois provinciales équivalentes sur la protection des renseignements personnels sur la santé — régissent les renseignements personnels sur la santé, ce qui accroît fortement les enjeux pour toute IA touchant des données cliniques ou de patients.
  • La LCAP — la Loi canadienne anti-pourriel régit les messages électroniques commerciaux et a de véritables dents. La messagerie sortante générée ou personnalisée par l’IA n’y échappe pas.

Qui doit se conformer

Si vous…Alors vous êtes lié par…
Traitez des données personnelles dans le cadre d’une activité commerciale n’importe où au CanadaLa LPRPDE (ou la loi provinciale essentiellement similaire)
Exploitez une entreprise au QuébecLa Loi 25 — peu importe où se trouve votre siège social
Exercez vos activités entièrement en C.-B. ou en AlbertaLa PIPA de la C.-B. / la PIPA de l’Alberta
Touchez des renseignements personnels sur la santé en OntarioLa PHIPA
Envoyez des messages électroniques commerciaux à des CanadiensLa LCAP
Prenez des décisions automatisées concernant des personnesLes règles sur la décision automatisée de la Loi 25; la responsabilité + l’exactitude de la LPRPDE
Vendez ou déployez de l’IA dont le résultat atteint l’UELe Règlement européen sur l’IA (voir la section suivante)

La tendance est claire. Il n’y a pas de porte unique marquée « conformité en IA » au Canada. Il y a cinq ou six portes marquées « protection des renseignements personnels », « données de santé », « anti-pourriel » et « décisions automatisées », et votre IA doit franchir chacune d’elles.

Les règles sur l’IA qui atteignent déjà le Canada

Si le Canada n’a pas de loi sur l’IA, pourquoi des entreprises canadiennes sérieuses bâtissent-elles des programmes de gouvernance de l’IA en ce moment même? Parce que les règles qui façonneront leurs obligations existent déjà — elles n’ont simplement pas été rédigées à Ottawa.

Le Règlement européen sur l’IA est extraterritorial, et il est en vigueur

Le Règlement européen sur l’IA (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et se déploie progressivement sur trois ans. Sa portée ne s’arrête pas aux frontières de l’Europe. Comme le RGPD avant lui, le Règlement s’applique aux fournisseurs et aux déployeurs situés hors de l’UE lorsque le résultat de leur système d’IA est utilisé au sein de l’UE. Une société de logiciels de Halifax dont le modèle évalue des demandes de prêt pour un client européen, un fournisseur SaaS de Montréal dont la fonction d’IA est utilisée par des clients de l’UE — les deux peuvent être visés.

Le calendrier que tout exportateur canadien devrait avoir au mur :

  • 2 février 2025 — les pratiques d’IA interdites (notation sociale, certaines catégorisations biométriques, systèmes manipulateurs) sont devenues exécutoires. Elles entraînent le palier d’amende le plus élevé : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.
  • 2 août 2025 — les obligations relatives aux modèles d’IA à usage général (GPAI) sont entrées en vigueur, de même que les mécanismes de gouvernance et de sanction.
  • 2 août 2026 — le grand rendez-vous : les obligations pour les systèmes d’IA à haut risque au titre de l’annexe III commencent à s’appliquer (emploi, crédit, services essentiels, et plus encore).
  • 2 août 2027 — les catégories restantes à haut risque et les modèles GPAI existants doivent être en conformité.

Pour une entreprise canadienne, la leçon pratique est que le Règlement européen sur l’IA pourrait bien être votre réglementation contraignante en matière d’IA bien avant qu’une réglementation nationale n’existe. Notre guide sur le Règlement européen sur l’IA décompose les obligations par rôle et par palier de risque.

Les limbes de la LIAD, et le pont volontaire

La LIAD étant morte, le seul instrument de gouvernance de l’IA actif du gouvernement fédéral relève du droit souple : le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés, lancé par ISDE en septembre 2023. Il engage les signataires — plus de deux douzaines d’organisations, dont des entreprises canadiennes et mondiales — à des principes de responsabilité, de sécurité, d’équité, de transparence, de supervision humaine, ainsi que de validité et de robustesse. Il a été explicitement conçu comme un pont vers la LIAD. Le pont ne mène désormais nulle part en particulier, mais les principes demeurent un énoncé crédible des attentes du gouvernement fédéral, et y adhérer est un signal visible de bonne foi.

Les normes qui comblent le vide

Là où le droit contraignant est absent, les normes font le travail. Deux comptent le plus :

  • ISO/IEC 42001:2023 — la première norme mondiale de système de management de l’IA, publiée en décembre 2023. Elle est à l’IA ce qu’ISO 27001 est à la sécurité de l’information : un cadre de système de management certifiable et auditable couvrant la politique d’IA, les rôles, l’évaluation des risques et des incidences, les contrôles du cycle de vie et l’amélioration continue. Comme elle est certifiable de manière indépendante, elle devient rapidement la monnaie de la confiance en l’IA dans les processus d’approvisionnement. Notre guide sur ISO 42001 explique ce qu’implique réellement la mise en œuvre.
  • Cadre de gestion des risques liés à l’IA du NIST (AI RMF 1.0)publié par le National Institute of Standards and Technology des États-Unis en janvier 2023, organisé autour de quatre fonctions : Gouverner, Cartographier, Mesurer et Gérer. Son profil pour l’IA générative de juillet 2024 (NIST AI 600-1) ajoute douze catégories de risques propres à l’IA générative. Il est volontaire et gratuit, et il se marie naturellement avec ISO 42001 — le NIST pour le vocabulaire des risques, ISO pour le système de management.

La lecture stratégique est simple. Une organisation canadienne qui bâtit aujourd’hui sa gouvernance de l’IA sur ISO 42001 et le NIST AI RMF ne parie pas sur la loi canadienne qui finira par être adoptée. Ces cadres anticipent déjà la substance du Règlement européen sur l’IA et de tout successeur plausible de la LIAD. Vous construisez selon la norme, et non selon la loi, et la norme est transférable.

L’écart de gouvernance : adopter plus vite qu’on ne peut gouverner

C’est la section qui me tient le plus à cœur, parce que c’est là que réside le véritable risque au Canada en 2026. Ce n’est pas un écart entre notre droit et celui de l’Europe. C’est l’écart entre la rapidité avec laquelle les entreprises canadiennes adoptent l’IA et la lenteur avec laquelle elles la gouvernent.

L’adoption s’accélère — rapidement

Statistique Canada pose la même question aux entreprises canadiennes depuis 2024 : avez-vous utilisé l’IA pour produire des biens ou fournir des services au cours des douze derniers mois? La courbe est abrupte :

Tripler en deux ans est une véritable transformation de la façon dont les entreprises canadiennes fonctionnent. Et ce chiffre sous-estime l’usage réel, car il saisit l’adoption *organisationnelle*, et non le volume bien plus important d’employés qui utilisent des outils d’IA de leur propre initiative.

La gouvernance ne suit pas le rythme

Voici l’asymétrie. L’adoption est une décision de la direction qui peut se produire en un trimestre. La gouvernance — un inventaire de l’IA, une politique d’utilisation, des évaluations des risques, des règles de supervision humaine, la surveillance — est un programme opérationnel dont la mise en place prend de nombreux trimestres. Les deux courbes divergent donc, et l’espace entre elles est là où surviennent les incidents.

La preuve la plus claire de l’écart est le phénomène de l’IA fantôme : des employés qui utilisent des outils d’IA générative que leur employeur n’a pas autorisés, souvent en collant des renseignements confidentiels ou personnels dans des robots conversationnels grand public. Les chiffres publiés varient selon la méthodologie, mais chaque source crédible pointe dans la même direction. Les recherches de Cisco de 2025 ont révélé que près de la moitié des organisations ont signalé des fuites internes de données par l’IA générative — des données parties par les requêtes d’employés, et non par une atteinte. D’autres sondages menés auprès de la main-d’œuvre en 2025 ont révélé qu’une large majorité de travailleurs du savoir utilisaient l’IA au travail, tandis qu’une petite minorité seulement connaissait l’existence d’une politique d’entreprise officielle la régissant. Gartner a signalé que la plupart des responsables de la cybersécurité soupçonnent ou ont la preuve d’un usage interdit d’IA générative publique au sein de leur organisation.

Je tiens à être prudent ici, car l’intégrité de ce rapport en dépend : il s’agit de sondages tiers aux échantillons variables, et non d’un recensement de Canuckt. Mais le signal qualitatif est sans équivoque et il correspond à ce que je vois sur le terrain chaque semaine. La plupart des organisations canadiennes ne savent pas quelle IA est utilisée à l’intérieur de leurs propres murs. On ne peut pas gouverner, caviarder ni évaluer le risque de ce qu’on ne voit pas.

Pourquoi l’écart est un problème de conformité, et pas seulement un problème de TI

Chacune de ces requêtes non autorisées est un événement potentiel au regard de la LPRPDE ou de la Loi 25. Collez les renseignements personnels d’un client dans un outil d’IA grand public et vous avez sans doute communiqué des données personnelles à un tiers sans consentement valide, sans mesure de sécurité et sans trace. Dans une juridiction régie par la Loi 25, c’est exactement le type d’incident de confidentialité que la CAI s’attend à ce que vous consigniez et, s’il comporte un risque de préjudice sérieux, que vous déclariez.

C’est le cœur opérationnel de la gouvernance de l’IA, et c’est la raison d’être des deux produits que je conçois. Valdra est ce qu’une organisation utilise pour combler le côté gouvernance de l’écart — inventorier ses systèmes d’IA, réaliser les évaluations d’incidence, attribuer la responsabilité et attester la conformité à la LPRPDE, à la Loi 25 et au Règlement européen sur l’IA au même endroit. Shielk comble le côté données — détecter et caviarder les renseignements personnels avant même qu’ils n’atteignent un modèle, de sorte que la requête d’IA fantôme qui aurait fait fuir le dossier d’un client ne le puisse tout simplement pas. Aucun n’est une solution miracle. Ensemble, ils décrivent les deux disciplines que l’écart de gouvernance exige réellement : voir et contrôler votre IA, et contrôler les données qui y entrent. Le guide sur la gouvernance de l’IA couvre la vue à l’échelle du programme.

Le cadre de préparation à la conformité en IA de Canuckt

Tout ce qui précède décrit le terrain. Cette section est la carte que j’utilise réellement avec les organisations. C’est la seule chose véritablement originale de ce rapport : un modèle de maturité à cinq niveaux pour situer votre organisation sur une échelle allant de « l’IA nous arrive dessus » à « l’IA est gouvernée et démontrable ». Je l’appelle le cadre de préparation à la conformité en IA. Il est délibérément neutre à l’égard des fournisseurs — vous pouvez le gravir avec n’importe quels outils, ou aucun.

Le cadre évalue cinq dimensions, parce que la gouvernance de l’IA échoue de façon inégale — une entreprise peut avoir une magnifique politique et aucune visibilité sur l’IA fantôme :

  1. Visibilité — savez-vous quels systèmes et outils d’IA sont utilisés, y compris ceux qui ne sont pas autorisés?
  2. Responsabilité — y a-t-il un propriétaire nommé, une politique et un cheminement décisionnel?
  3. Évaluation des risques — évaluez-vous les systèmes d’IA sur les plans de la protection des renseignements personnels, des biais et de la sécurité, avant et pendant leur utilisation?
  4. Contrôle des données — contrôlez-vous quels renseignements personnels entrent dans les systèmes d’IA?
  5. Assurance — pouvez-vous prouver tout ce qui précède à une autorité, à un auditeur ou à un client?

Les cinq niveaux

NiveauNomVisibilitéResponsabilitéÉvaluation des risquesContrôle des donnéesAssurance
1PonctuelInconnue; IA fantôme partoutAucun propriétaire, aucune politiqueAucuneAucun; tout peut être collé n’importe oùIncapable de répondre à une autorité
2ConscientLa direction sait que l’IA est utilisée; aucun inventairePolitique d’utilisation de l’IA ébauchée; propriétaire informelOccasionnelle, réactiveDirectives émises, non appliquéesDocumentation partielle, incomplète
3GéréUn inventaire central de l’IA existe et est tenu à jourPropriétaire responsable nommé; politique approuvéeÉvaluation standard pour les nouveaux usages de l’IAContrôles techniques (p. ex. caviardage des renseignements personnels) sur les flux clésPeut produire des traces sur demande
4GouvernéDécouverte continue, y compris l’IA fantômeFonction de gouvernance interfonctionnelle; RACI clairÉvaluations des risques et des incidences liées au cycle de vieContrôles appliqués dans toute l’organisation; surveillancePreuves maintenues en continu, arrimées au droit
5AssuréVisibilité complète, en temps réelGouvernance intégrée aux opérations et à la supervision du conseilValidation indépendante; indicateurs et revueContrôles des données vérifiés et éprouvésCertifié par un tiers (p. ex. ISO/IEC 42001); prêt pour l’audit

Comment l’utiliser

La plupart des organisations canadiennes que je rencontre en 2026 se situent au niveau 1 ou 2. Elles ont adopté l’IA (la section précédente l’a prouvé), mais la visibilité et l’assurance accusent un retard. Le geste à plus forte valeur pour une organisation de niveau 1 n’est pas de rédiger une politique — c’est d’atteindre la visibilité. On ne peut pas gouverner ce qu’on ne voit pas, et l’IA fantôme est presque toujours pire que ce que croit la direction.

Le saut du niveau 2 au niveau 3 est là où le véritable risque de conformité chute, car le niveau 3 est le premier niveau où vous pourriez survivre à une demande « montrez-moi » d’une autorité — la demande exacte sur laquelle ont reposé les affaires ChatGPT et Clearview. Le niveau 3 est une cible raisonnable et défendable pour la plupart des petites et moyennes entreprises canadiennes en 2026.

Le niveau 4 (Gouverné) est là où je situerais toute organisation touchant des données réglementées — santé, finance, enfants — ou quiconque exporte des résultats d’IA vers les catégories à haut risque de l’UE avant l’échéance d’août 2026. Le niveau 5 (Assuré) — avec une certification ISO/IEC 42001 indépendante — constitue actuellement un facteur de différenciation concurrentiel; d’ici quelques années, pour l’approvisionnement des entreprises et des gouvernements, je m’attends à ce qu’il devienne la norme minimale.

Attribuez vos cinq notes honnêtement aujourd’hui. Votre dimension la plus faible est votre véritable risque, et non votre moyenne. La gouvernance n’est aussi solide que la porte que vous avez laissée déverrouillée.

Prévisions : ce qui s’en vient en 2026-2027

Prévoir la réglementation est un bon moyen d’avoir tort en public, alors je serai précis et je l’assumerai. Voici où je pense que la conformité en IA au Canada se dirige au cours des dix-huit prochains mois.

1. La législation fédérale sur l’IA revient — plus étroite, plus lente et différente

La LIAD ne reviendra pas telle qu’elle avait été rédigée; le gouvernement l’a dit. Mais la pression de réglementer n’a pas disparu, et le Canada ne veut pas être le seul pays du G7 sans cadre sur l’IA alors que le Règlement européen sur l’IA se déploie. Mon attente : un instrument fédéral plus étroit et mieux ciblé — peut-être axé sur les systèmes à forte incidence ou à usage général, peut-être intégré à un ensemble ravivé de réforme de la protection des renseignements personnels plutôt qu’à une loi autonome sur l’IA. Ne vous attendez pas à ce qu’il soit en vigueur avant 2027. Attendez-vous à des projets de consultation plus tôt. Les organisations qui auront construit selon ISO 42001 entre-temps trouveront la transition triviale.

2. L’application de la Loi 25 s’intensifie

La CAI dispose désormais d’une loi pleinement en vigueur, de véritables pouvoirs de sanction et d’un registre obligatoire des incidents qui documente discrètement les manquements de chaque organisation. Attendez-vous à ce que le volume et la visibilité de l’application de la Loi 25 grimpent tout au long de 2026-2027, la prise de décision automatisée et le consentement inadéquat étant des cibles de premier plan. Le Québec demeurera la juridiction la plus déterminante en matière de conformité en IA au Canada, et ses décisions façonneront la pratique nationale.

3. L’échéance à haut risque du Règlement européen sur l’IA force la main des Canadiens

Le 2 août 2026 est une date ferme : les obligations pour l’IA à haut risque au titre de l’annexe III commencent à s’appliquer. Les entreprises canadiennes qui vendent en Europe — ou qui fournissent des fonctions d’IA à des clients européens — passeront la seconde moitié de 2026 à découvrir si leurs systèmes sont « à haut risque » selon la classification de l’UE et à se démener pour satisfaire à des exigences qu’elles ne peuvent ignorer. Cette échéance étrangère fera davantage pour stimuler l’investissement canadien dans la gouvernance de l’IA que toute politique nationale.

4. L’approvisionnement devient le véritable régulateur

C’est ma prévision la plus assurée. Bien avant qu’une loi canadienne sur l’IA ne vous lie, vos clients le feront. Les acheteurs des entreprises et du secteur public ajoutent déjà des questions sur la gouvernance de l’IA et la protection des renseignements personnels à leurs évaluations de fournisseurs, et la certification ISO/IEC 42001 commence à apparaître dans les appels d’offres. L’approvisionnement va plus vite que la législation et a une arête plus tranchante : échouez au questionnaire et vous perdez le contrat aujourd’hui. Pour la plupart des fournisseurs canadiens, le questionnaire de l’acheteur sur la sécurité et l’IA sera l’échéance de conformité qui compte vraiment.

5. L’IA fantôme passe de tolérée à inacceptable

À mesure que la tendance d’application issue de l’affaire ChatGPT s’imposera, les conseils d’administration cesseront de traiter l’IA fantôme comme un désagrément de TI et commenceront à la traiter comme un problème de responsabilité déclarée. Attendez-vous à une vague d’organisations passant des niveaux 1-2 au niveau 3 du cadre de préparation — poussées moins par les autorités que par leurs propres comités de risque qui finiront par demander « quelles données nos employés collent-ils dans ces outils? ».

Le fil conducteur des cinq prévisions est le même : le facteur déclencheur de la gouvernance de l’IA au Canada en 2026-2027 n’est pas une loi canadienne sur l’IA. Ce sont le Québec, Bruxelles et vos propres clients. Construisez pour eux.

Méthodologie et sources

Je tiens à être totalement transparent sur ce qu’est et n’est pas ce rapport, car un actif conçu pour attirer les citations mais qui surestime sa propre autorité ne vaut rien.

Ce qu’est ce rapport. C’est une analyse et une synthèse de sources publiques et citables, rédigée du point de vue d’une personne qui conçoit des logiciels de gouvernance de l’IA et de protection des renseignements personnels pour les entreprises canadiennes. Chaque affirmation quantitative qu’il contient provient d’une source publique nommée — statistiques gouvernementales, publications d’autorités réglementaires, textes juridiques officiels ou recherches tierces clairement attribuées — et est liée dans le texte. Les catégories de sources sur lesquelles je me suis appuyé sont :

  • Textes juridiques et réglementaires primaires — EUR-Lex pour le Règlement européen sur l’IA, ISDE pour la LIAD et le Code de conduite volontaire, ISO pour la norme 42001, le NIST pour l’AI RMF.
  • Publications d’autorités — le Commissariat à la protection de la vie privée du Canada (rapport annuel, conclusions d’enquête), et l’enquête conjointe fédérale-provinciale sur ChatGPT.
  • Statistiques officielles — la série de Statistique Canada sur l’adoption de l’IA par les entreprises.
  • Analyses juridiques de cabinets canadiens établis suivant le projet de loi C-27, la Loi 25 et le Règlement européen sur l’IA.
  • Recherches sectorielles tierces sur l’adoption de l’IA et l’IA fantôme, citées avec attribution et une prudence appropriée quant à l’échantillon et à la méthode.

Ce que n’est pas ce rapport. Ce n’est pas un sondage primaire. Je n’ai pas sondé un panel d’entreprises canadiennes, et vous ne trouverez pas une seule affirmation du type « nous avons sondé N entreprises et constaté X % » dans ces pages, parce que je ne l’ai pas fait et que je ne l’inventerai pas. Lorsque je décris le phénomène de l’IA fantôme ou l’écart de gouvernance, je cite soit une étude externe nommée, soit je décris la tendance de façon qualitative à partir de données publiques et d’une expérience directe sur le terrain — et je précise laquelle.

La contribution originale de ce rapport est la synthèse elle-même — tisser les fils réglementaire, d’adoption et d’application en un portrait cohérent de 2026 — et le cadre de préparation à la conformité en IA, un modèle de maturité à cinq niveaux que j’ai conçu pour donner aux organisations un moyen pratique de se situer et de trouver leur prochaine étape. Le cadre est mon modèle professionnel, et non une constatation empirique; utilisez-le comme une lentille, non comme une loi.

Une note sur le moment. L’environnement de la politique canadienne en matière d’IA est exceptionnellement mouvant en 2026 — un projet de loi mort, un remplacement promis mais non rédigé, des échéances étrangères qui se succèdent. Les faits énoncés ici reflètent la situation en date de juillet 2026 et les sources ci-dessous. Là où le terrain bouge, les sources bougeront d’abord; commencez par là.

Si vous souhaitez approfondir un fil en particulier, les guides liés du carrefour Apprendre de Canuckt — sur la gouvernance de l’IA, le Règlement européen sur l’IA et ISO/IEC 42001 — développent le détail pratique que ce rapport n’a eu la place que de résumer.

Questions fréquentes

Le Canada a-t-il une loi sur l’IA en 2026?

Non. Le Canada n’a aucune loi propre à l’IA en vigueur en 2026. La Loi sur l’intelligence artificielle et les données (LIAD) proposée faisait partie du projet de loi C-27, qui est mort lorsque le Parlement a été prorogé le 6 janvier 2025, et le gouvernement a confirmé que la LIAD ne reviendra pas sous sa forme initiale. Toutefois, les lois existantes — la LPRPDE, la Loi 25 du Québec, les lois PIPA de la C.-B. et de l’Alberta, la PHIPA et la LCAP — s’appliquent intégralement aux systèmes d’IA, de sorte qu’« aucune loi sur l’IA » ne signifie pas « aucune obligation de conformité en IA ».

S’il n’y a aucune loi canadienne sur l’IA, mon entreprise peut-elle tout de même être sanctionnée pour la façon dont elle utilise l’IA?

Oui. Au Canada, l’application de la loi passe par les lois existantes sur la protection des renseignements personnels, et non par une loi sur l’IA. L’enquête conjointe de 2026 sur ChatGPT d’OpenAI, menée par le commissaire fédéral à la protection de la vie privée et les autorités du Québec, de la C.-B. et de l’Alberta, a conclu à une collecte illégale de renseignements personnels en n’utilisant rien d’autre que les lois existantes sur la protection des renseignements personnels. La Loi 25 du Québec à elle seule prévoit des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Le risque est réel et actuel.

Le Règlement européen sur l’IA s’applique-t-il aux entreprises canadiennes?

Il le peut. Le Règlement européen sur l’IA (Règlement (UE) 2024/1689) est extraterritorial : il s’applique aux fournisseurs et aux déployeurs situés hors de l’UE lorsque le résultat de leur système d’IA est utilisé au sein de l’UE. Les amendes pour pratiques interdites, pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, sont exécutoires depuis février 2025, et les obligations relatives aux systèmes à haut risque commencent à s’appliquer le 2 août 2026. Les exportateurs canadiens et les fournisseurs SaaS servant des clients de l’UE devraient évaluer leur exposition dès maintenant.

Que devrait faire en premier une entreprise canadienne pour gouverner son utilisation de l’IA?

Atteindre la visibilité. Avant de rédiger une politique, découvrez quels outils et systèmes d’IA sont réellement utilisés dans l’ensemble de votre organisation — y compris l’« IA fantôme » non autorisée que les employés adoptent d’eux-mêmes. Vous ne pouvez pas gouverner, évaluer le risque ni protéger des données que vous ne voyez pas. Dans le cadre de préparation à la conformité en IA de ce rapport, cela vous fait quitter le niveau 1 (Ponctuel) et constitue le fondement de tout ce qui vient au-dessus.

Vaut-il la peine d’adopter ISO/IEC 42001 et le NIST AI RMF s’ils sont volontaires?

Oui, et de plus en plus. Comme le Canada n’a pas de loi contraignante sur l’IA, les normes comblent le vide. ISO/IEC 42001:2023 est la première norme mondiale certifiable de système de management de l’IA, et le cadre de gestion des risques liés à l’IA du NIST fournit un vocabulaire des risques largement utilisé. Vous appuyer sur ces normes signifie que vous êtes prêt pour le Règlement européen sur l’IA et toute future loi canadienne sans miser sur une loi précise — et la certification ISO 42001 commence à apparaître dans l’approvisionnement des entreprises et des gouvernements, où elle agit comme une exigence de facto.

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

L’état de la conformité en IA au Canada en 2026 | Canuckt | Canuckt AI