Auteurs(trice)
Associé, Technologie, Toronto
Associé, Respect de la vie privée et gestion de l’information, Toronto
Key Takeaways
- En 2026, le gouvernement du Canada prévoit de dévoiler sa nouvelle stratégie nationale en matière d’IA.
- Si la stratégie du Canada en matière d’IA accorde la priorité à la souveraineté des données, cela aura des implications importantes pour les organismes du secteur public et les entreprises du secteur privé.
- Pour sa stratégie en matière d’IA et en ce qui concerne la souveraineté des données, le Canada devrait adopter une approche fondée sur les risques qui tient compte de tous les facteurs pertinents sur le plan de la sécurité, de l’économie et de la technologie, sans imposer de restrictions générales.
Nous prévoyons que 2026 sera l’année où, en matière de services numériques et d’intelligence artificielle (IA), le gouvernement du Canada dévoilera sa stratégie en réponse aux demandes pressantes en faveur de politiques qui accordent la priorité à la souveraineté des données. La « souveraineté des données » fait référence à la nécessité de garantir que les tribunaux canadiens ont une autorité exclusive sur les données qui sont collectées, stockées ou traitées à l’intérieur des frontières du Canada. En particulier, les experts du secteur ont recommandé que le Canada prenne des mesures pour garantir que les données restent au Canada et soient protégées contre les ordonnances de production ou les mandats de perquisition émis dans des territoires étrangers.
La souveraineté des données était l’une des questions centrales soulevées lors d’une récente consultation du gouvernement du Canada visant à recueillir des commentaires au sujet d’une nouvelle stratégie nationale en matière d’IA qui devrait être mise en place au plus tard en 2026. Si la stratégie accorde la priorité à la souveraineté des données, cela aura des implications importantes pour les organismes du secteur public et les entreprises du secteur privé. Les écosystèmes technologiques qui reposent sur des solutions développées et fournies par des entités du monde entier seraient remplacés, au moins en partie, par des solutions recourant à des services nationaux de traitement des données fournies par des entités contrôlées par des Canadiens.
Incidence du CLOUD Act
Une grande partie du débat politique sur la souveraineté des données s’est concentrée sur la loi des États-Unis intitulée Clarifying Lawful Overseas Use of Data Act (le CLOUD Act), promulguée par le Congrès américain en 2018. La question de savoir si le CLOUD Act justifie d’accorder la priorité à la souveraineté des données fait l’objet d’un débat continu.
Si le CLOUD Act est venu préciser qu’un fournisseur de services de communication électronique ou de services infonuagiques est tenu de se conformer aux mandats de perquisition délivrés en rapport avec des renseignements stockés en dehors des États-Unis, il n’a pas créé de nouveaux pouvoirs permettant aux forces de l’ordre américaines d’obtenir des données. Par exemple, il n’a pas créé de pouvoirs de surveillance ni donné d’accès illimité aux données stockées dans le nuage ou d’autres espaces numériques. Il a plutôt appliqué les règles traditionnelles aux fournisseurs de services relevant de la compétence des tribunaux américains, y compris les entreprises étrangères qui font affaire aux États-Unis. Dans le même temps, il a maintenu les droits en common law des fournisseurs de contester les mandats judiciaires si, du fait de les respecter, ils enfreignaient les lois d’un autre pays.
Le CLOUD Act a également autorisé la négociation d’accords bilatéraux réciproques entre le gouvernement des États-Unis et des gouvernements étrangers. Ces accords permettraient aux forces de l’ordre des deux pays de réduire les délais de réponse aux demandes de renseignements transfrontalières grâce à des traités d’entraide juridique. Bien que, depuis 2022, le Canada et les États-Unis s’affairent à en négocier un, aucun accord aux termes du CLOUD Act n’est encore en vigueur.
Facteurs à prendre en compte dans la formulation de la réponse du Canada
Lors de l’élaboration de la stratégie du Canada en matière de souveraineté des données, il sera important que les décideurs politiques tiennent compte d’un large éventail de considérations, dont cinq facteurs déterminants.
Premièrement, le fait que des données soient stockées au Canada ne garantit pas qu’elles ne seront pas consultées en vertu d’ordonnances de tribunaux étrangers. Les données traitées au Canada par un fournisseur de services étranger ou par un fournisseur de services canadien qui a des activités ou des représentants dans un pays étranger peuvent être soumises à des ordonnances de tribunaux étrangers. Par exemple, le CLOUD Act s’applique à tout fournisseur de services soumis à la compétence des États-Unis. Cela signifie que les forces de l’ordre américaines peuvent signifier une procédure judiciaire à l’entité américaine, la contraignant à produire des données, même si celles-ci sont détenues par une société affiliée étrangère. La question factuelle que devra examiner un tribunal américain sera de savoir si le fournisseur de services aux États-Unis a la « garde, le contrôle ou la possession » (custody, control, or possession) des données stockées dans un autre territoire.
Deuxièmement, il existe peu ou pas de preuves que des étrangers ont eu accès à des documents ou à des communications se trouvant au Canada dont les propriétaires ou les auteurs seraient des utilisateurs des secteurs public ou privé. Cela soulève la question de savoir si, en matière de services numériques ou d’IA, une stratégie qui accorde la priorité à la souveraineté des données est vraiment justifiée. Les principaux fournisseurs de services infonuagiques publient régulièrement des rapports de transparence destinés à informer le public sur le nombre et les types de demandes de données d’utilisateur qu’ils reçoivent des gouvernements et des tribunaux du monde entier, y compris des États-Unis. Bien que ces rapports ne fassent généralement pas état de demandes visant des données stockées au Canada, les résultats à l’échelle mondiale montrent clairement que la prévalence des communications de contenus de clients des secteurs public ou privé stockés en dehors des États-Unis est très faible.
Troisièmement, les règlements imposant la souveraineté des données dans le secteur public de la Colombie-Britannique ont été largement abrogés, ce qui rend important d’examiner si en 2025 de nouvelles exigences similaires seraient viables. Il y a vingt ans, avec la promulgation en 2001 de la loi américaine intitulée PATRIOT Act et l’adoption accélérée des services infonuagiques, la souveraineté des données était un sujet de discussion très médiatisé au Canada. Les réponses des législateurs et des autorités de réglementation ont également beaucoup varié à l’époque. Les gouvernements de la Colombie-Britannique et de la Nouvelle-Écosse ont promulgué des lois strictes sur l’accès aux données et leur localisation, applicables aux renseignements personnels sous la garde ou le contrôle des organismes publics.
Toutefois, en 2021, le gouvernement de la Colombie-Britannique a modifié sa loi sur la protection des renseignements personnels dans le secteur public afin de supprimer les éléments les plus restrictifs de ses exigences en matière d’accès aux données et de localisation. À l’époque, la Colombie-Britannique avait clairement (en anglais seulement) indiqué qu’elle modifiait ses règlements en matière de résidence des données « [traduction libre] afin que les organismes publics puissent utiliser des outils modernes tout en continuant à protéger les renseignements personnels ». En d’autres termes, la province a essentiellement reconnu que la souveraineté absolue en matière de données n’est pas réalisable dans un monde interconnecté, car elle nuit à la capacité des universités, des écoles, des hôpitaux et des ministères à innover, à gérer les coûts et à fonctionner efficacement. En fin de compte, ces exigences sont devenues insoutenables compte tenu de la faible probabilité que les données du secteur public fassent l’objet d’une demande de renseignements de la part d’un gouvernement étranger.
Quatrièmement, des stratégies de renforcement de la souveraineté numérique existent, mais elles ont leurs limites et augmentent les coûts.
Par exemple, en recourant à un service de stockage et de traitement des données au Canada détenu et exploité par des Canadiens, on peut protéger les données contre certaines ordonnances émanant de tribunaux étrangers, mais, ce faisant, on risque de devoir se passer d’outils novateurs et de voir ses coûts d’exploitation augmenter.
De même, en conservant les données « sur place » au Canada, on peut les protéger contre les mandats étrangers si l’organisation est détenue et contrôlée au Canada et n’a aucune présence à l’étranger. Cependant, le maintien d’une infrastructure sur place est coûteux, nécessite des mesures de sauvegarde et de reprise après sinistre supplémentaires et manque souvent d’extensibilité et d’accès aux dernières cyberdéfenses.
S’il est vrai que la mise en place d’un nuage public « entièrement souverain » pourrait répondre aux préoccupations en matière de souveraineté des données, la viabilité d’une telle solution est discutable, car elle exigerait que les données soient traitées, transmises et stockées exclusivement au Canada. Récemment dans un rapport, le Conseil du Trésor du Canada est même allé jusqu’à indiquer qu’il était impossible d’atteindre un état de souveraineté numérique totale.
Le cinquième et dernier facteur déterminant que le Canada doit prendre en compte dans l’élaboration de sa stratégie en matière de souveraineté des données est que de nouvelles solutions technologiques ne cessent de voir le jour. La technologie offre toute une gamme d’options permettant aux clients de garder le contrôle de leurs données et d’atténuer ou d’éliminer les risques liés à la souveraineté des données.
Tirer les enseignements du passé pour définir une stratégie pour l’avenir
La décision prise en 2021 par le gouvernement de la Colombie-Britannique de modifier sa loi sur la protection des renseignements personnels dans le secteur public a fourni quelques enseignements qui peuvent aider à éclairer les futures décisions politiques du Canada en matière de souveraineté des données.
Surtout, en matière de souveraineté des données, le Canada devrait éviter d’adopter une approche unique : il devrait adopter une approche fondée sur les risques, tout comme il l’a fait pour les lois sur la protection des données. S’il peut être approprié d’avoir des mesures de protection de la souveraineté des données strictes pour les données qui touchent à la sécurité nationale ou aux opérations militaires, il sera souvent disproportionné d’appliquer ces mêmes mesures à des renseignements moins sensibles, compte tenu du niveau de risque.
Une approche fondée sur les risques exige la prise en compte de tous les facteurs sociaux et économiques. La construction de centres de données au Canada peut être la partie la plus facile de l’élaboration d’une solution « souveraine ». La partie la plus difficile – et la plus coûteuse – peut être l’approvisionnement en produits et services souverains à déployer dans ces centres. De plus, les produits et services souverains sont peu susceptibles d’offrir la même gamme de fonctionnalités d’amélioration de la productivité que les produits et services offerts par le biais du nuage public.
Pour en savoir plus sur notre groupe Respect de la vie privée et de gestion de l’information.
En savoir plusIl faut également reconnaître que certains facteurs économiques rendent difficile la mise en place de solutions infonuagiques souveraines. La construction de centres de données nationaux ne garantit pas le succès des solutions infonuagiques souveraines. Les fournisseurs de services infonuagiques établis s’affairent à développer leurs technologies depuis des dizaines d’années, ce qui rend la mise en place d’un nuage souverain compétitif économiquement difficile. De plus, l’acquisition de solutions sur mesure qui ne permettent pas d’exploiter pleinement les logiciels et les infrastructures disponibles dans le commerce risque d’augmenter considérablement le coût d’un projet, tout en réduisant l’interopérabilité et la résilience.
À quoi s’attendre en 2026
Au Canada, certains acteurs des secteurs public et privé ont beaucoup à perdre ou à gagner selon la manière dont le gouvernement du Canada décidera de reformuler sa stratégie en matière d’IA. De nombreux fournisseurs basés au Canada soulignent les avantages, en ce qui concerne la souveraineté des données, des écosystèmes technologiques contrôlés au niveau national, tandis que certains fournisseurs étrangers mettent en avant les coûts et les risques liés à la limitation de la concurrence. Nous prévoyons que le gouvernement tiendra compte de ces deux points de vue et définira une stratégie pragmatique pour l’avenir, en reconnaissant l’importance des écosystèmes technologiques mondiaux, tout en investissant dans les capacités numériques nationales afin que les considérations liées à la souveraineté puissent être prioritaires lorsque les circonstances le justifient.
RÉGLEMENTATION DES SERVICES FINANCIERS
De la lutte contre le blanchiment d’argent à l’IA : évolution de la réglementation entourant les services financiers➔
PROTECTION DES CONSOMMATEURS
Les réformes à venir en matière de protection des consommateurs entraîneront des répercussions sur les fournisseurs➔
