La LIAD est morte : ce que les règles canadiennes sur l’IA signifient pour votre PME

Depuis quelques années, à la question « le Canada a-t-il une loi sur l’IA ? », la réponse était simple : pas encore, mais elle s’en vient. Cette loi, c’était la **Loi sur l’intelligence artificielle et les données (LIAD)**, intégrée au projet de loi C-27. Puis le Parlement a été prorogé en janvier 2025 et le projet de loi est **mort au feuilleton**. La LIAD n’est jamais entrée en vigueur, et elle ne reviendra pas sous cette forme. Cela ne veut pas dire que les entreprises canadiennes sont tirées d’affaire. Cela veut dire que les règles arrivent par une autre porte. Voici où en sont les choses à la mi-2026, en langage clair, et ce qu’une PME qui utilise l’IA devrait concrètement faire. > Ceci est de l’information générale, pas un avis juridique. Pour votre situation précise, consultez un avocat ou un professionnel de la protection des renseignements personnels. ## Ce qu’était la LIAD, et comment elle est morte La LIAD était la première tentative canadienne d’une loi fédérale complète sur l’IA. Elle visait les systèmes d’IA « à incidence élevée » : la dernière version en énumérait sept catégories, dont l’IA utilisée dans l’embauche et les décisions d’emploi, dans l’accès à des services, dans l’identification biométrique, en santé et dans l’application de la loi. Les entreprises déployant ces systèmes auraient eu des obligations d’évaluation des risques, d’atténuation, de transparence et de supervision humaine, avec des amendes pouvant atteindre **25 millions de dollars ou 5 % du chiffre d’affaires mondial** pour les infractions les plus graves. Elle ne s’est jamais rendue là. Les critiques venaient de toutes parts à la fois. L’industrie jugeait les définitions floues et déplorait que les vraies règles soient renvoyées à des règlements futurs que personne n’avait vus. Les groupes de la société civile la trouvaient trop faible, dénonçaient l’exemption des usages gouvernementaux et de sécurité nationale, et le fait que le commissaire à l’IA et aux données proposé relèverait du ministère de l’Industrie plutôt que d’être indépendant. Après des années en comité, le projet de loi était toujours inachevé quand le Parlement a été prorogé en janvier 2025. Le projet de loi C-27 est mort avec la session, et le nouveau gouvernement a choisi de ne pas le ressusciter. ## Ce qui la remplace Plutôt que de ranimer la LIAD, Ottawa a changé d’approche : - **Un ministre de l’IA.** En mai 2025, le Canada a nommé **Evan Solomon** premier ministre de l’Intelligence artificielle et de l’Innovation numérique. - **Une stratégie nationale d’IA.** Un groupe de travail sur la stratégie en matière d’IA a mené une consultation nationale auprès de plus de 11 000 participants, et le budget fédéral a fait de l’IA un pilier central de la stratégie économique, incluant des investissements dans la capacité de calcul souveraine. - **Une loi successeure.** Le ministre Solomon a indiqué qu’une nouvelle législation sur l’IA s’en vient, et qu’elle ne sera pas une copie de la LIAD mais une initiative réglementaire distincte. Les signaux pointent vers un cadre plus léger sur les obligations générales et plus axé sur l’adoption, avec des garde-fous concentrés là où les décisions de l’IA touchent réellement les personnes. Pour une PME, la conclusion est simple : l’époque où l’on attendait une grande loi fédérale unique sur l’IA est terminée. Ce qui la remplace, c’est une mosaïque de règles déjà en vigueur. ## Pas de loi sur l’IA ne veut pas dire pas de règles Si votre entreprise utilise l’IA aujourd’hui, vous êtes déjà encadré. Les règles viennent simplement de lois qui n’ont pas « IA » dans leur nom : | Si vous utilisez l’IA pour... | Les règles qui s’appliquent déjà | | --- | --- | | **Traiter des données clients** (courriels, CRM, documents) | La loi fédérale sur la vie privée (LPRPDE) et les lois provinciales comme la Loi 25 du Québec | | **Prendre des décisions sur des personnes** (tri de candidats, crédit, tarification) | Les dispositions de la Loi 25 sur les décisions automatisées, le droit de la personne et les règles antidiscrimination | | **Générer du contenu public** | Les règles de protection du consommateur et de publicité ; vous êtes responsable de ce que votre IA publie | | **Opérer dans un secteur réglementé** (finance, santé, assurance) | Les lignes directrices des régulateurs sectoriels, comme celles du BSIF pour les institutions financières | ## Province par province : qui encadre quoi Les provinces n’attendent pas Ottawa non plus. L’endroit où se trouvent vos clients détermine les règles auxquelles vous répondez : | Province | État des lieux | | --- | --- | | **Québec** | La **Loi 25** est le régime de protection des renseignements personnels le plus strict au pays et encadre déjà les décisions automatisées (voir notre [guide complet sur l’IA et la Loi 25](/fr/blog/ai-and-quebec-law-25)) | | **Ontario** | A légiféré sur l’IA dans le secteur public (Enhancing Digital Security and Trust Act, 2024) ; en janvier 2026, des régulateurs ont publié des principes communs de gouvernance de l’IA | | **Colombie-Britannique** | A publié une politique sur l’IA générative et un code de pratique numérique pour le secteur public | | **Alberta** | La commissaire à la protection de la vie privée a recommandé une loi dédiée à l’IA en août 2025 | | **Saskatchewan** | A publié des lignes directrices sur l’IA générative pour le secteur public | Les lignes directrices ontariennes de janvier 2026, publiées conjointement par le commissaire à l’information et à la protection de la vie privée et la Commission ontarienne des droits de la personne, résument où tout cela s’en va. Leurs six principes : des systèmes d’IA **valides et fiables, sécuritaires, protecteurs de la vie privée, respectueux des droits de la personne, transparents et responsables**. Ces six attentes donnent un aperçu fiable de ce que la loi fédérale exigera de vous. ## Les règles fédérales qui existent déjà Deux instruments fédéraux comptent dès aujourd’hui, même sans loi : - **Le Code de conduite volontaire sur l’IA générative.** Lancé en septembre 2023, il engage ses signataires (dont Cohere, BlackBerry, OpenText et Telus) sur six points : responsabilité, sécurité, justice et équité, transparence, supervision humaine, et validité et robustesse. Il est volontaire, mais c’est l’énoncé le plus clair de ce qu’Ottawa considère comme une IA responsable, et s’y aligner maintenant est la façon la moins coûteuse de se préparer à ce que la loi successeure exigera. - **La Directive sur la prise de décisions automatisée.** Elle ne lie que les institutions fédérales, qui doivent mener une évaluation de l’incidence algorithmique avant de déployer un système qui automatise des décisions sur des personnes. Pourquoi une PME devrait s’en soucier : **si vous vendez au gouvernement fédéral** et que votre produit ou service utilise l’IA pour prendre ou appuyer des décisions, votre acheteur hérite de ces obligations et vous transmettra les questions. Savoir y répondre devient discrètement un avantage en approvisionnement. ## Comment le Canada se compare à l’UE et aux États-Unis Si vous vendez au-delà du Canada, le contraste compte : - **L’UE** a le régime le plus strict au monde. Le **Règlement européen sur l’IA (AI Act)** est en vigueur et s’applique par phases jusqu’en 2027, avec des obligations fondées sur le risque et des amendes pouvant atteindre 7 % du chiffre d’affaires mondial. Il vise toute entreprise dont les extrants d’IA sont utilisés dans l’UE, entreprises canadiennes comprises. - **Les États-Unis** n’ont pas de loi fédérale sur l’IA et tirent dans l’autre direction : un projet déposé au Congrès en juin 2026 propose de suspendre pour trois ans les lois étatiques sur la façon de développer les modèles d’IA au profit d’un cadre national unique, les États conservant le pouvoir d’encadrer l’utilisation de l’IA. - **Le Canada** se situe au milieu : priorité à l’adoption, des garde-fous concentrés là où les décisions de l’IA touchent les personnes, et les lois existantes sur la vie privée qui font le gros du travail en attendant la loi successeure. Conséquence pratique : si vous respectez la Loi 25 et suivez les six engagements du code volontaire, vous avez fait l’essentiel du chemin vers ce que le Canada légiférera, et vous êtes bien placé pour des mandats tournés vers l’UE. ## Ce qu’une PME devrait faire maintenant Vous n’avez pas besoin d’un service de conformité. Vous avez besoin d’une courte liste d’habitudes qui coûtent peu aujourd’hui et épargnent beaucoup quand la loi successeure arrivera : 1. **Inventoriez votre IA.** Listez chaque outil que votre équipe utilise, les données qui y entrent et les décisions qu’il touche. La plupart des entreprises en sont incapables aujourd’hui, et c’est la première question que posera tout régulateur. 2. **Minimisez ce que vous partagez.** N’envoyez aux outils d’IA que le minimum de renseignements personnels nécessaire à la tâche. C’est déjà une exigence de la Loi 25 et de la LPRPDE, pas une exigence future. 3. **Gardez un humain sur les décisions importantes.** Si l’IA trie, classe, approuve ou refuse des personnes, assurez-vous qu’un humain révise le résultat et que vous pouvez l’expliquer. 4. **Vérifiez vos fournisseurs.** Sachez où chaque fournisseur d’IA traite les données, si vos données entraînent leurs modèles, et quelle est leur posture de sécurité. 5. **Dites ce que vous faites.** Indiquez dans votre politique de confidentialité que vous utilisez l’IA, à quelles fins, et si des décisions sont automatisées. Tous les cadres sur la table, fédéraux ou provinciaux, convergent vers ces mêmes points. Les adopter maintenant fait de la prochaine loi une mise à jour, pas une urgence. **Vous ne savez pas où vous en êtes ?** Notre [vérificateur de conformité IA](/fr/compliance-checker) gratuit vous guide à travers 15 questions et vous donne un indice de préparation et une liste d’actions priorisées en cinq minutes. ## Comment la bonne plateforme aide Une mosaïque de règles est surtout difficile à suivre quand votre usage de l’IA est lui-même une mosaïque : une douzaine d’abonnements, chacun avec ses propres pratiques de données, et aucune trace de qui a utilisé quoi. Une plateforme unique réduit le problème : - Vos conversations et vos contenus ne servent **jamais à entraîner des modèles d’IA** (voir [Sécurité et confidentialité](/fr/docs/security)), ce qui règle la question du fournisseur pour chaque modèle que vous utilisez via Crewdle. - [Crewdle Admin](/fr/docs/admin) vous donne **des rôles, des permissions et une vue en direct de l’utilisation**, pour que votre inventaire d’IA soit un tableau de bord, pas un travail d’archéologie. - Les agents consignent ce qu’ils font ; quand une règle demande « pouvez-vous expliquer ce que votre IA a fait ? », la réponse est oui. Rien de tout cela ne remplace un avis juridique, mais cela transforme la partie difficile de la conformité, savoir et contrôler ce que fait réellement votre IA, en quelque chose de visible sur un seul écran. ## À retenir La mort de la LIAD n’était pas une déréglementation. Le Canada a troqué une grande loi future contre un ensemble de règles déjà applicables, avec une loi successeure en route qui récompensera les entreprises ayant gardé un usage de l’IA délibéré et documenté. Commencez l’inventaire, réduisez les données que vous partagez, gardez des humains sur les décisions qui comptent et choisissez des outils capables de montrer leur travail. [Commencez gratuitement](https://auth.crewdle.ai/signup) et voyez comment Crewdle garde votre usage de l’IA visible et sous contrôle.