une main qui tient une guitare

Article

Un tournant décisif pour l’IA au Canada en 2026?

25 mars 2026

Dans cet article, nous prenons du recul afin de revenir sur les développements qui ont marqué récemment le paysage de l’intelligence artificielle au Canada et mettons en lumière les tendances émergentes sur lesquelles les organisations devraient se concentrer en 2026.

Regroupés autour de grands thèmes, les avocats de BLG ont sélectionné les principaux enseignements de l’année écoulée afin d’offrir une vue d’ensemble des priorités à considérer cette année, accompagnée de pistes d’action concrètes. Cet article s’inscrit dans le prolongement du Bilan 2025 en matière de protection de renseignements personnels et de cybersécurité de BLG, ainsi que de notre Guide récemment mis à jour sur la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Points à retenir pour 2026

  • L’année écoulée a mis en évidence que, d’une part, de nouveaux risques liés à l’IA émergent et que les risques existants s’amplifient, et d’autre part, que le contrôle réglementaire s’intensifie. Les organisations sont encouragées à renforcer leurs cadres de gouvernance et de supervision afin de suivre l’évolution des attentes réglementaires.
  • Les organisations devraient consolider leurs programmes de gouvernance de l’IA à l’échelle de l’entreprise, fondés sur des évaluations algorithmiques et de facteurs relatifs à la vie privée (EFVP), des mécanismes de supervision humaine et une diligence raisonnable rigoureuse à l’égard des fournisseurs. Cela comprend notamment la nécessité de s’assurer que toute utilisation de l’IA respecte les obligations existantes en matière de protection des renseignements personnels et de cybersécurité, particulièrement pour l’usage d’IA agentique.
  • Lorsque nécessaire, ces cadres devraient être adaptés aux différents usages des outils d’IA ainsi qu’aux différents rôles au sein des organisations.
  • En l’absence de législation spécifique à l’IA, les normes de « soft law » et les lignes directrices sectorielles continueront de constituer des points de référence essentiels.
  • Les organisations qui investiront tôt dans des cadres robustes de gouvernance et de supervision seront les mieux positionnées pour innover de manière responsable, tout en maintenant la conformité et la confiance du public.

Stratégie nationale en matière d’IA : mises à jour attendues en 2026

L’année 2025 a marqué un tournant dans le développement de la Stratégie pancanadienne en matière d’intelligence artificielle.

Un jalon important a été la création d’un Groupe de travail sur la stratégie en IA, qui a sollicité les commentaires de l’industrie, du milieu universitaire et du public afin d’orienter la prochaine phase de la feuille de route canadienne en matière d’IA. À la fin du mois de février 2026, le gouvernement a publié un rapport résumant les réponses reçues du public et du Groupe de travail dans le cadre de sa consultation publique. Plus de 11 000 participants ont soumis des commentaires.

Les répondants ont notamment souligné l’importance d’accélérer l’adoption de l’IA à l’échelle de l’économie, tout en mettant en place des mécanismes de protection, de gouvernance et de gestion des risques appropriés, notamment par l’adoption de normes de certification et la réalisation d’audits indépendants. À la lumière de ces commentaires, le gouvernement fédéral a indiqué qu’une version révisée de la stratégie en matière d’IA devrait être publiée cette année.

Dans Budget 2025, le Canada a fait de l’IA un pilier central de la stratégie économique fédérale. Cela comprend des investissements importants dans des capacités de calcul souveraines ainsi que l’élargissement de l’adoption de l’IA au sein du secteur public. Pris ensemble, ces éléments témoignent d’une orientation nationale coordonnée et ambitieuse. Toutefois, le Canada demeure dépourvu d’un cadre législatif fédéral en matière d’IA, après que la Loi sur l’intelligence artificielle et les données (LIAD) mourut au feuilleton dans le cadre du projet de loi C‑27 en janvier 2025.

En 2026, le dépôt d’un projet de loi succédant à la LIAD est largement attendu. Bien qu’aucune déclaration officielle n’ait encore été faite quant au contenu du projet de loi envisagé, le ministre de l’Intelligence artificielle et de l’Innovation numérique, Evan Solomon, a annoncé son intention de proposer une loi qui ne serait pas une reprise de la LIAD (disponible en anglais seulement), mais plutôt une initiative réglementaire distincte. Pris ensemble, ces développements positionnent l’année à venir comme un moment charnière pour l’IA en tant que priorité nationale.

Quelles leçons devraient en tirer les organisations?

Pour les organisations, ces développements soulignent la nécessité d’adopter des mesures proactives de conformité et de gestion des risques. Les entreprises sont encouragées à évaluer de façon continue leurs activités en matière d’IA à la lumière des obligations juridiques existantes et à déterminer si des ressources appropriées peuvent être mobilisées afin de s’adapter aux changements attendus.

À mesure que l’année progresse, les organisations devraient suivre de près les évolutions législatives et stratégiques à venir. Soyez assurés que BLG vous tiendra informés des développements pertinents en temps opportun.

Adoption responsable de l’IA : une priorité clé dans tous les secteurs

Alors que les organisations de tous les secteurs passent de projets pilotes à des déploiements d’IA à l’échelle de l’entreprise, les autorités réglementaires canadiennes se sont concentrées en 2025 sur la promotion d’une adoption responsable. Les organismes de réglementation ont de plus en plus reconnu que la mise à l’échelle de l’IA entraîne non seulement des opportunités, mais aussi une amplification des risques sur les plans opérationnel, éthique et de la protection des consommateurs.

Dans le secteur financier

Les autorités réglementaires ont cerné ces risques et publié des lignes directrices sur la manière de les gérer. Le Bureau du surintendant des institutions financières (BSIF) a publié des attentes mises à jour dans le cadre de la ligne directrice E‑23 – Gestion du risque de modélisation, en élargissant explicitement son champ d’application afin d’y inclure les systèmes d’IA et d’apprentissage automatique utilisés par les institutions financières sous réglementation fédérale.

Cette ligne directrice introduit des contrôles renforcés à l’échelle de l’entreprise, des attentes en matière de gouvernance proportionnée, ainsi qu’une responsabilisation accrue à l’égard des modèles d’IA de tiers, reflétant les préoccupations du BSIF selon lesquelles une intégration rapide de l’IA pourrait exacerber le risque lié aux modèles si elle n’est pas adéquatement encadrée.

Parallèlement, l’Agence de la consommation en matière financière du Canada (ACFC) a tenu quatre ateliers dans le cadre du Forum de l’industrie financière sur l’intelligence artificielle, réunissant des leaders du secteur afin de mettre en lumière les meilleures pratiques à adopter pour respecter les principes d’équité, d’exactitude et de transparence.

Pendant ce temps, au Québec, l’Autorité des marchés financiers (AMF) a publié des lignes directrices qui définissent les attentes envers les institutions financières tout au long du cycle de vie des systèmes d’IA, notamment en matière de provenance des données et de mesures de surveillance. Le document cible également des principes de gouvernance précis applicables aux conseils d’administration et aux membres de la haute direction, qui devraient être mis en œuvre au sein des institutions. Pris dans leur ensemble, ces documents d’orientation contribuent à renforcer une convergence nationale autour de pratiques d’IA dignes de confiance.

Dans le secteur en santé

Les autorités de protection de la vie privée se sont penchées sur les enjeux découlant de l’utilisation d’outils de transcription d’IA. À la suite d’un incident de confidentialité lié à l’utilisation d’un scribe d’IA dans un contexte hospitalier, les commissaires à la protection de la vie privée de l’Ontario et de la Colombie‑Britannique (disponible en anglais seulement) ont publié des lignes directrices détaillées à l’intention des fournisseurs de soins de santé, visant à recenser les meilleures pratiques pour respecter les exigences en matière de protection des renseignements personnels et utiliser ces outils de façon responsable.

Ces nouvelles lignes directrices mettent en évidence la nécessité d’adopter une approche axée sur la protection des renseignements personnels dès la conception (privacy by design), d’assurer une surveillance rigoureuse des fournisseurs, ainsi que de prévoir une supervision humaine obligatoire de la documentation clinique générée par l’IA, compte tenu de la gravité des conséquences potentielles pour les patients en cas d’atteinte à la confidentialité ou d’erreur.

En l’absence de législation spécifique à l’IA, tant au niveau fédéral que provincial, ces lignes directrices viennent s’ajouter au corpus de normes de « soft law » qui sont devenues des points de référence influents pour les organisations. À l’horizon, l’expansion des cas d’usage de l’IA ne fera que s’accélérer en 2026, tout comme les risques inhérents à ce type de technologie.

Comment les organisations peuvent-elles adopter l’IA de façon responsable?

Les organisations doivent dès maintenant opérationnaliser des pratiques d’IA responsable, plutôt que de les traiter comme de simples recommandations. Les entreprises qui déploient des systèmes d’IA devraient intégrer des mesures de protection des renseignements personnels dès la conception (privacy by design), de gouvernance des données et de supervision humaine tout au long du cycle de vie de l’IA, depuis la collecte des données et le développement des modèles jusqu’au déploiement et à la surveillance.

Ces principes de gouvernance devraient s’appliquer à différents niveaux de l’organisation, les conseils d’administration et la haute direction devant conserver une visibilité sur les risques liés à l’IA. À défaut, les entreprises s’exposent à un contrôle réglementaire accru, à des perturbations opérationnelles et à des atteintes à leur réputation.

Pour en savoir plus:

Entraînement de l’IA et protection des renseignements personnels : le contrôle réglementaire s’intensifie

Le CPVP enquête sur l’utilisation de renseignements personnels pour créer des hypertrucages

Un développement clé en 2025 a été le lancement, par le Commissariat à la protection de la vie privée du Canada (CPVP), d’une enquête en cours sur l’utilisation de l’IA par X Corp., visant à déterminer si cette dernière collecte, utilise et communique les renseignements personnels des Canadiens sans un consentement valide et significatif, notamment aux fins de l’entraînement de ses modèles d’IA.

Récemment, le CPVP a élargi la portée de cette enquête à la suite de multiples signalements selon lesquels Grok aurait été utilisé pour générer des hypertrucages (deepfakes) sexualisés non consensuels représentant des personnes réelles.

L’approche du CPVP fait écho à son enquête conjointe antérieure visant OpenAI, laquelle portait également sur des enjeux de consentement, de transparence et de limitation des finalités. Ces enquêtes démontrent que, s’agissant de l’entraînement des systèmes d’IA, les enjeux de protection des renseignements personnels font l’objet d’un examen attentif de la part des autorités réglementaires. En attendant la publication de conclusions officielles, les organisations devraient faire preuve d’une grande prudence lorsqu’elles envisagent d’entraîner leurs propres modèles d’IA, ou ceux de fournisseurs tiers, à l’aide de données de clients.

Les décisions Clearview AI révèlent que les renseignements disponibles en ligne ne peuvent pas automatiquement être utilisés sans consentement

En ce qui concerne l’utilisation de renseignements accessibles en ligne aux fins de l’entraînement de l’IA, l’année 2025 a également été marquée par la décision importante Clearview AI c. Alberta (disponible en anglais seulement). Bien que le tribunal ait souligné que l’ensemble des renseignements accessibles en ligne ne constituent pas automatiquement des « renseignements accessibles au public » et ne soient donc pas nécessairement exemptés des exigences en matière de consentement, il a ultimement jugé l’exception inconstitutionnelle, estimant que la définition étroite de la notion de « renseignements accessibles au public » portait indûment atteinte à la liberté d’expression.

Clearview AI c. Alberta soulève ainsi des questions complexes quant à l’utilisation permise de données accessibles au public aux fins de l’entraînement des systèmes d’IA, lesquelles demeurent en suspens tant que le législateur provincial n’aura pas officiellement modifié la loi.

De plus, de façon homologue, la décision de la Colombie‑Britannique (disponible en anglais seulement) dans l’affaire Clearview AI confirme également que des entités étrangères ne disposant d’aucun actif physiquement présent au Canada peuvent néanmoins être assujetties aux lois canadiennes en matière de protection des renseignements personnels.

Le critère applicable est l’existence d’un lien réel et substantiel entre l’entité étrangère et le territoire concerné, par exemple lorsque cette entité collecte des renseignements personnels concernant des personnes qui s’y trouvent. Les organisations non canadiennes ne sont donc pas automatiquement exemptées de l’application des lois provinciales.

Bien que les conclusions tirées dans ces deux décisions soient, pour l’instant, limitées à l’Alberta et à la Colombie‑Britannique, il ne serait pas surprenant de voir d’autres provinces adopter une position similaire dans le cadre de litiges futurs. Ces développements soulignent la nécessité de faire preuve d’une prudence accrue lors de l’utilisation de renseignements personnels aux fins de l’entraînement de l’IA, même lorsqu’ils sont recueillis en ligne.

Comment les organisations peuvent-elles favoriser la conformité dans leurs pratiques d’entraînement de l’IA?

Les entreprises devraient réévaluer le fondement juridique sur lequel elles s’appuient pour utiliser des données de clients, d’employés ou des renseignements accessibles au public afin d’entraîner des modèles d’IA, en veillant à ce que les exigences relatives au consentement, à la limitation des finalités et à la transparence soient clairement respectées et dûment documentées.

Les organisations étrangères devraient également examiner avec soin s’il existe un lien réel entre leurs activités et les Canadiens, susceptible d’entraîner l’application des lois provinciales en matière de protection des renseignements personnels.

À mesure que le contrôle réglementaire s’intensifie, les pratiques d’entraînement de l’IA devraient être traitées comme un enjeu central de risque en matière de protection des renseignements personnels, nécessitant le même niveau de prudence que les autres activités de traitement de données à haut risque.

Pour en savoir plus:

IA et cybersécurité : de nouvelles menaces à contrer

Comme l’indique la Déclaration du Groupe d’experts en cybersécurité du G7 sur l’intelligence artificielle et la cybersécurité (disponible en anglais seulement), les outils d’IA peuvent renforcer les mécanismes de défense en automatisant la détection d’anomalies, la prévention de la fraude et la réponse aux incidents, mais ils introduisent également de nouveaux risques importants.

À titre d’exemple, l’IA peut être utilisée pour accroître l’ampleur et la sophistication des cyberattaques, concevoir des campagnes d’hameçonnage hyperpersonnalisées, automatiser le développement d’exploits et créer des logiciels malveillants adaptatifs.

Dans sa Vue d'ensemble des menaces par rançonlogiciel de 2025‑2027, le Centre canadien pour la cybersécurité avertit que les acteurs malveillants adoptent l’IA afin d’abaisser les barrières techniques, ce qui permet à des criminels moins qualifiés de lancer plus facilement des campagnes de rançongiciels et d’extorsion. Entre 2021 et 2026, le Centre a observé une augmentation moyenne annuelle de 26 % des incidents signalés. Cette tendance ne devrait que s’accentuer en 2026.

En 2025, un nombre croissant d’organisations ont déployé des systèmes d’IA agentique, une tendance qui ne fera que s’accentuer cette année. Contrairement à d’autres types d’IA, l’IA agentique se caractérise par sa capacité à agir de manière autonome et à prendre des décisions sans supervision humaine directe.

En conséquence, ces agents d’IA accroissent la complexité et l’imprévisibilité des cybermenaces, puisqu’ils peuvent exposer involontairement des renseignements sensibles, être manipulés au moyen d’attaques par injection de requêtes (prompt injection) ou d’empoisonnement des données, ou encore devenir des cibles directes pour des attaquants cherchant à exploiter des vulnérabilités liées à la conception des systèmes d’IA ou aux données utilisées pour leur entraînement.

Comment les organisations peuvent-elles se préparer aux cybermenaces liées à l’IA?

Les entreprises devraient mettre à jour leurs cadres de gestion des risques cybernétiques et leurs contrôles de sécurité afin de tenir compte des menaces propres à l’IA, notamment l’hameçonnage alimenté par l’IA, les logiciels malveillants automatisés et l’exploitation des modèles d’IA par injection de requêtes ou empoisonnement des données.

Les organisations qui déploient des systèmes d’IA agentique ou autonome en particulier devraient mettre en place des mesures de protection renforcées, notamment des contrôles d’accès plus stricts, une surveillance continue et des mécanismes clairs d’escalade avec supervision humaine (human‑in‑the‑loop).

Pour en savoir plus:

BLG peut vous aider

À titre de l’une des équipes les plus respectées en matière de protection de la vie privée et de cybersécurité au Canada, nous disposons d’une expertise de premier plan en matière d’IA et offrons des conseils sur mesure ainsi que des solutions concrètes pour atténuer les risques potentiels.

Ensemble, faisons de 2026 une année où l’innovation s’arrime avec la conformité.

Principaux contacts

Contenu connexe