Le CLOUD Act et vos données IA : ce que les professionnels canadiens doivent savoir
Chaque fois que vous collez un document dans ChatGPT, Claude ou Gemini, vos données aboutissent sur des serveurs américains, exploités par une entreprise américaine, sous la loi américaine.
La plupart des gens le savent. La plupart le font quand même.
Mais si vous travaillez avec des renseignements sensibles (dossiers clients, données financières, documents stratégiques, dossiers du personnel), « c'est probablement correct » n'est pas une réponse que vous pouvez donner à un organisme de réglementation, à un client ou à un tribunal. Cet article explique ce qui arrive réellement à vos données, ce que la loi prévoit et quelles sont vos options.
Ce que le CLOUD Act prévoit réellement
Le Clarifying Lawful Overseas Use of Data Act (2018) permet aux organismes d'application de la loi américains d'obliger les entreprises basées aux États-Unis à produire les données en leur possession, sous leur garde ou sous leur contrôle, peu importe où ces données sont physiquement stockées.
La loi a été adoptée en réaction directe à une affaire où Microsoft avait refusé de remettre les courriels de clients stockés à Dublin, en Irlande. La Cour d'appel du deuxième circuit avait donné raison à Microsoft, statuant que les mandats américains ne pouvaient pas atteindre les données à l'étranger. Le CLOUD Act a renversé ce résultat par voie législative. Le message était clair : si une entreprise américaine contrôle les données, la loi américaine les atteint, peu importe où se trouve le serveur.
Cela signifie qu'une ordonnance judiciaire américaine adressée à OpenAI, Anthropic ou Google peut atteindre vos données même si elles sont stockées sur des serveurs au Canada, en Europe ou ailleurs. L'emplacement du serveur n'a aucune importance. Ce qui compte, c'est la nationalité de l'entreprise qui contrôle les données.
Il n'y a aucune obligation d'aviser la personne concernée. Aucune obligation d'aviser un tribunal canadien. Les ordonnances en vertu du CLOUD Act peuvent inclure des dispositions de non-divulgation qui interdisent à l'entreprise de vous informer que cela s'est produit. L'ordonnance est signifiée, l'entreprise s'y conforme, et vous ne le saurez jamais.
Pourquoi c'est particulièrement important pour l'IA
Les services infonuagiques traditionnels (courriel, stockage de fichiers, CRM) posent les mêmes questions de compétence juridique, et la plupart des organisations passent des années à les gérer. L'IA est différente pour trois raisons.
1. Vous envoyez vos données les plus sensibles.
L'intérêt de l'IA conversationnelle, c'est de travailler avec des renseignements complexes et de grande valeur : contrats, code source, stratégies, données financières. Les données qui transitent par les outils d'IA sont souvent les données les plus sensibles de l'organisation.
2. Vos conversations sont conservées, pas seulement traitées.
Envoyer une requête à un modèle d'IA pour traitement, c'est une chose. C'est éphémère : données envoyées, réponse reçue. Mais les produits de clavardage IA grand public ne font pas que traiter vos requêtes. Ils conservent l'historique complet de vos conversations, vos documents téléchargés et vos fichiers sur des serveurs américains, pour une durée indéfinie. Ces données stockées sont en la possession d'une entreprise américaine, soumises à la loi américaine, et susceptibles de faire l'objet d'une ordonnance en vertu du CLOUD Act dont vous n'aurez jamais connaissance.
La distinction est importante. Le traitement éphémère comporte un risque tolérable. La conservation à long terme de vos travaux les plus sensibles sur des serveurs étrangers, sous une loi étrangère, c'est une tout autre catégorie.
3. Certains fournisseurs utilisent vos données pour l'entraînement par défaut.
Les politiques d'entraînement des principaux fournisseurs d'IA varient, mais les tendances sont cohérentes. Certains utilisent toutes les conversations pour l'entraînement par défaut. Certains utilisent les forfaits gratuits et font de vous le produit. Certains utilisent même les forfaits payants pour subventionner les coûts et maintenir les prix bas, à moins que vous ne refusiez. Dans la plupart des cas, la conservation et l'entraînement sur vos données sont activés par défaut, et la plupart des utilisateurs ne refusent jamais.
L'entraînement signifie que vos données ne font pas que transiter. Elles deviennent partie intégrante du modèle. Elles ne peuvent plus être supprimées, récupérées ou vérifiées après coup.
Ce que la loi canadienne prévoit
Le cadre de protection de la vie privée du Canada fonctionne différemment du modèle américain.
La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) exige des organisations qu'elles obtiennent un consentement valable avant de recueillir, d'utiliser ou de communiquer des renseignements personnels. Elle exige la transparence quant à l'utilisation des données. Et elle exige que les données transférées à des tiers (y compris les sous-traitants étrangers) soient protégées par des mesures de protection comparables.
Si vous envoyez des données de clients à un fournisseur d'IA américain sans divulgation, sans consentement et sans mesures de protection, vous pourriez être en infraction à la LPRPDE.
La Loi 25 du Québec ajoute des exigences supplémentaires pour les organisations qui exercent des activités au Québec, notamment des évaluations des facteurs relatifs à la vie privée (ÉFVP) obligatoires avant de transférer des renseignements personnels hors du Québec, ainsi que des règles plus strictes en matière de consentement et de notification.
Le constat est clair : la loi canadienne exige que vous protégiez les renseignements personnels. La loi américaine permet au gouvernement américain d'y accéder sans vous le dire.
La « résidence des données » n'est pas la protection que vous croyez
Certaines organisations croient que stocker les données sur des serveurs canadiens règle le problème de compétence juridique. Ce n'est pas le cas.
Si l'entreprise qui contrôle les données est une entité américaine (ou a une société mère américaine), une ordonnance en vertu du CLOUD Act peut atteindre ces données, peu importe où se trouvent les serveurs. La loi couvre explicitement les données « en la possession, sous la garde ou sous le contrôle » de l'entreprise américaine, et non les données situées à l'intérieur des frontières américaines.
Un centre de données canadien exploité par un fournisseur infonuagique américain ne place pas vos données sous la compétence canadienne. Il place vos données sous la compétence américaine, sur le sol canadien.
Le chiffrement ne règle pas automatiquement le problème non plus. La plupart des formes de chiffrement infonuagique (chiffrement de disque, chiffrement transparent des données, même les « clés gérées par le client » stockées dans le coffre de clés du même fournisseur) laissent les clés à la portée du fournisseur d'infrastructure. Si le fournisseur est contraint de produire vos données, il peut accéder aux clés et les déchiffrer. Le chiffrement protège contre les violations externes, pas contre le fournisseur lui-même.
Une véritable immunité contre le CLOUD Act exige deux éléments conjugués : une entreprise 100 % canadienne, sans société mère ni activités à l'étranger, et des clés de chiffrement conservées sur du matériel canadien qui est physiquement et opérationnellement séparé de l'infrastructure infonuagique. L'entreprise doit être hors de portée des lois étrangères. Les clés doivent être hors de portée du fournisseur d'infrastructure. Si l'un ou l'autre manque, la protection comporte une faille.
Ce que vous pouvez faire
Si votre travail implique des renseignements sensibles et que vous utilisez des outils d'IA, vous avez trois options.
Option 1 : Cesser d'utiliser l'IA pour les données sensibles. C'est l'option la plus sûre et la moins pratique. L'IA est un multiplicateur de productivité. Dire aux professionnels de ne pas l'utiliser, c'est comme leur dire de ne pas utiliser le courriel. Ils le feront quand même, mais sans vous le dire.
Option 2 : Utiliser les mêmes outils avec des mesures de protection. Retirer les données sensibles de vos requêtes avant de les envoyer. Ça fonctionne en théorie, mais caviarder manuellement un document de 50 pages avant de le coller dans ChatGPT est suffisamment fastidieux pour que personne ne le fasse de manière systématique.
Option 3 : Utiliser une plateforme d'IA conçue pour ce problème. Une plateforme qui chiffre vos données avec des clés hors de portée des entités étrangères, qui caviarde automatiquement les renseignements sensibles avant qu'ils n'atteignent les fournisseurs étrangers, et qui offre des modèles d'IA hébergés au Canada pour le travail qui ne peut pas quitter le pays. Une plateforme détenue et exploitée par une entreprise canadienne, soumise uniquement à la loi canadienne.
C'est exactement ce que nous avons conçu Rideau AI pour faire.
Comment Rideau AI répond à ce problème
Rideau AI est une plateforme d'IA 100 % canadienne. Nous ne sommes pas une filiale, nous ne sommes contrôlés par aucune entité étrangère et nous n'avons aucun investisseur étranger.
Chiffrement avec des clés canadiennes. Chaque conversation est chiffrée avant d'être écrite en stockage, au moyen de clés conservées sur du matériel que nous possédons et exploitons au Canada, séparé du fournisseur infonuagique. Notre fournisseur d'infrastructure ne peut pas lire vos données. Une ordonnance judiciaire qui lui est adressée ne produit que du texte chiffré inutilisable.
Caviardage automatique des renseignements personnels. Le Bouclier de confidentialité détecte et supprime les noms, adresses, numéros de téléphone et numéros d'identification de vos messages avant qu'ils n'atteignent un fournisseur d'IA étranger. L'IA travaille avec des marqueurs de remplacement. Vous obtenez la réponse complète. Le fournisseur ne reçoit rien.
Modèles d'IA hébergés au Canada. Pour le travail où la politique organisationnelle ou la réglementation exige que les données ne quittent pas le pays, nos modèles hébergés au Canada traitent tout sur des serveurs que nous contrôlons. Aucun fournisseur d'IA étranger n'est impliqué à aucun moment.
Aucun entraînement sur vos données. Ni par nous, ni par aucun fournisseur avec lequel nous travaillons. Les conditions de nos ententes l'interdisent.
Vous avez toujours accès aux derniers modèles d'OpenAI, Anthropic, Google, Cohere et Mistral. Vous ne sacrifiez pas la performance pour la confidentialité. Vous cessez simplement de remettre vos données à un gouvernement étranger.
L'essentiel
Le CLOUD Act n'est pas théorique. C'est une loi active, utilisée régulièrement, et elle s'applique à toutes les grandes plateformes d'IA que vous utilisez aujourd'hui.
La loi canadienne sur la protection de la vie privée exige que vous protégiez les renseignements que vous traitez. Utiliser une plateforme d'IA américaine pour ces renseignements, sans mesures de protection, crée un écart entre vos obligations et vos pratiques.
Rideau AI comble cet écart. Entreprise canadienne. Loi canadienne. Clés canadiennes.
Vos données restent les vôtres.