Dans un précédent Bulletin, les auteurs traçaient à grands traits le cadre juridique applicable aux contrôles à l’exportation, ainsi que les défis entourant les grands modèles de langage en intelligence artificielle à l’ère du partage des connaissances. Compte tenu de certaines actualités juridiques et géopolitiques au cours de l’année 2025 concernant différents aspects en cette matière, une courte mise au point s’impose sur les répercussions potentielles pour le développement de vos projets d’IA, avec une mention spéciale quant à l’IA générative (ou « IAg »), à l’aube de la nouvelle année. Que sont les contrôles à l’exportation? Les contrôles à l’exportation établissent les règles visant à endiguer le risque de transfert de marchandises et de technologies militaires, stratégiques et à double usage (civil et militaire) vers des destinations considérées comme contraires aux intérêts de sécurité nationale. Ces technologies prennent des formes variées, allant du matériel physique à de l’information technique. Au Canada, le contrôle des exportations repose sur un système d’autorisations par octroi de licences en fonction d’une série d’articles inscrits sur la Liste des marchandises et technologies d’exportation contrôlée (la « LMTEC ») sous l’égide de la Loi sur les licences d’exportation et d’importation (« LLEI »). Ainsi, pour savoir si des portions de vos projets d’IA sont visées, il vous faut vous référer principalement (mais non exclusivement) à cette liste, en plus du guide afférent permettant de l’apprécier de manière plus complète. Faits saillants de 2025 Le Décret DORS/2025-89  Le 7 mars 2025, la Gazette du Canada publiait un Décret modifiant la LMTEC, dans un souci d’y refléter des technologies émergentes, toujours plus rapides, évolutives et dont les capacités laissent craindre des applications militaires adverses1. De manière notable dans le contexte, la LMTEC voit le paragraphe 5506(1) à son annexe remplacé par une série d’articles. Mais que ressort-il concrètement de ces changements pour les projets d’IA ? Ces modifications au paragraphe 5506(1) ne visent pas les applications d’IA (algorithmes, modèles, données), mais plutôt : des équipements liés à la lithographie par ultraviolets extrêmes (EUV), nommément les masques et réticules permettant d’utiliser cette technologie pour fabriquer des circuits intégrés de pointe; des équipements cryogéniques et amplificateurs ultra-sensibles destinés aux ordinateurs quantiques; des matériaux semi-conducteurs avancés; des logiciels de développement et de production en lien avec certaines des technologies précédentes2. Autrement dit, ce paragraphe cible la boîte à outils industrielle qui permet de fabriquer des ordinateurs avancés, notamment par l’inclusion de la lithographie EUV qui est utilisée pour des circuits intégrés de pointe, ainsi que les calculateurs quantiques qui bouleversent le monde du calcul de pointe. On peut ainsi dire que ces règles touchent le secteur de l’IA en raison d’une certaine forme de dépendance matérielle, car un contrôle étroit de ces technologies de fabrication d’infrastructure influe nécessairement sur la capacité d’un pays ou d’une entreprise à développer et à faire fonctionner une IA avancée. En somme, ces derniers changements emboîtent le pas à ceux du Décret de l’année précédente, qui portaient une attention particulière sur les domaines de l’informatique quantique et de la fabrication de semiconducteurs avancés (les GAAFET, qui représentent les circuits intégrés de prochaine génération)3. Pour un projet d’IAg typique (développement de modèles, services SaaS d’IA, etc.), l’effet de ces décrets demeure indirect. Les répercussions plus directes concernent davantage les fournisseurs de matériel de calcul avancé et les entreprises faisant de la R&D au niveau des semiconducteurs, des circuits intégrés et du calcul quantique. L’avis aux exportateurs n°1159 Outre les composantes techniques néanmoins, une certaine complexité s’installe dès lors que l’on comprend qu’une « technologie » ciblée par les contrôles à l’exportation au sens de la loi s’entend largement, en couvrant également des données techniques, de l’assistance technique et des renseignements nécessaires à la mise au point, à la production ou à l’utilisation d’un article figurant sur la LMTEC. En d’autres termes, la portée des technologies visées dépasse les simples composantes ou équipements physiques. Cela est d’autant plus vrai considérant la prolifération des solutions infonuagiques souvent transfrontalières, qui favorisent la dématérialisation et la circulation de connaissances techniques à grande échelle. Dans ce cadre, il convient de consulter les Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage (l’avis aux exportateurs n°1159) publiées en novembre 2025 par le Gouvernement du Canada. Ces lignes directrices ont été conçues dans l’optique de clarifier les cas où l’utilisation de services infonuagiques constitue un transfert de technologie contrôlée au sens de la LLEI nécessitant une licence4. Résumées brièvement, les lignes directrices indiquent que : il y peut y avoir transfert d’une technologie contrôlée si celle-ci est divulguée d’un lieu situé au Canada vers une destination étrangère; une technologie contrôlée est divulguée si elle est envoyée du Canada et stockée à l’étranger d’une manière qui crée une possibilité raisonnable qu’une personne située à l’extérieur du Canada soit en mesure de l’examiner; une possibilité raisonnable signifie plus qu’une simple possibilité, mais moins que la norme selon laquelle la possibilité est « plus probable qu’improbable »; l’emplacement des serveurs hébergeant les technologies contrôlées n’a d’importance que si elle a une incidence sur la possibilité raisonnable que la technologie soit divulguée à l’extérieur du Canada; en général, il peut y avoir transfert lorsqu’une personne située à l’étranger détient des clés de déchiffrement ou des droits d’accès de routine qui créent plus qu’une faible possibilité que la technologie soit examinée, ou lorsqu’un fournisseur de services infonuagiques crée une copie de sauvegarde non chiffrée, utilisée pour remettre les systèmes en fonction après un incident, et qui contient des technologies soumises à des contrôles et que cette copie est stockée sur des serveurs situés à l’étranger où des administrateurs étrangers peuvent y accéder; lorsque des services infonuagiques sont utilisés, le propriétaire de la technologie contrôlée et le fournisseur de services infonuagiques doivent tous deux observer un certain degré d’attention et de contrôle de la technologie. Ainsi, il existerait non seulement un risque de partage de connaissances en lien avec des articles directement listés à la LMTEC (que ce soit pour leur fabrication ou autrement), mais également une possibilité d’enfreindre les contrôles d’exportation en raison de l’interaction entre des services infonuagiques et les connaissances qui pourraient être transférées (au sens qui précède), si l’infonuagique comporte de l’information ou est relative à des technologies visées par les restrictions à l’exportation. Considérations sur l’IAg Qu’en est-il des projets d’IAg dans tout cela ? Malgré ce qui précède, ces projets demeurent sujets à des répercussions indirectes qui ne touchent pas seulement des composantes de haute voltige technique. Vos projets d’IAg commanderont une certaine prudence de conformité en raison des quantités de renseignements qu’ils peuvent engranger par l’intermédiaire des différentes strates de leur constitution. Les données d’entraînement  Ce sont les données utilisées avant que l’IAg ne soit déployée pendant sa phase d’apprentissage. Ces données peuvent être massives, structurées ou non, pour fournir une base de connaissances au modèle et lui permettre de produire des sorties (outputs) pertinentes lorsque des entrées (inputs) lui seront données. Cette phase est à risque si les jeux de données contiennent de l’information technique contrôlée et que ces données peuvent être régurgitées ou combinées lors de l’utilisation de l’IAg par les utilisateurs. Les poids (weights), filtres, et autres paramètres de fonctionnement de l’IAg  Ces paramètres sont comme des « boutons de réglage » ajustés lors de l’entraînement de l’IAg et lors de la configuration de la solution qui l’utilise. Ils déterminent à quel point chaque élément de l’entrée influencera la réponse et peaufinent le modèle (c’est-à-dire, la structure qui permet à l’IAg d’interpréter les entrées et de générer les sorties). Aux États-Unis, les poids demeurent notamment au cœur de l’actualité de sa propre politique d’exportation où ils peuvent constituer des paramètres essentiels aux modèles d’IA les plus avancés. Les entrées (inputs)  Ce sont les données fournies par les utilisateurs pour générer les sorties pertinentes (ex. textes, images, données structurées) lorsque l’IAg est déjà déployée. Ces données ont pour but de déclencher une réponse ou un comportement du modèle. À l’instar des données d’entraînement, les entrées seront critiques selon l’utilisation faite et les renseignements divulgués pour obtenir une réponse. Des conditions cohérentes avec les exigences légales devront être prévues pour éviter que le modèle ne soit contaminé par des données sensibles a posteriori, surtout si celui-ci garde en mémoire toutes les entrées fournies pour continuer son apprentissage. Les sorties (outputs)  C’est ce que l’IAg génère à la suite d’une entrée et qui peut prendre la forme d’une réponse textuelle ou d’une image, d’un code, ou encore de prévisions basées sur les données. Compte tenu de ce qui a été décrit précédemment, il devient évident que les sorties puissent présenter des enjeux selon l’ensemble des données véhiculées par l’IAg. Les sorties pourraient ainsi permettre d’obtenir indirectement de l’information qu’il ne serait autrement pas permis d’obtenir directement. Conclusion Il semble aisé de concevoir que les récentes modifications apportées aux contrôles de l’exportation au Canada ne sont qu’un balbutiement qui promet de répondre à de nouvelles préoccupations dans le contexte d’une technologie rapidement évolutive et toujours plus performante. Ces contrôles ne sont pas dénués d’un contexte diplomatique. Pour l’heure, le parti du contrôle semble le mécanisme préconisé pour juguler les pouvoirs exponentiels de l’IA au Canada dans une mesure qui reste encore à découvrir et à suivre. Gouvernement du Canada, « Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée : DORS/2025-89 » (le 7 mars 2025) : La Gazette du Canada, Partie 2, volume 159, numéro 7 : Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée Il ne s’agit pas ici d’une liste exhaustive, mais plutôt de quelques exemples pertinents au calcul avancé. Gouvernement du Canada, « Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée : DORS/2024-112 » (le 31 mai 2024) : La Gazette du Canada, Partie 2, volume 158, numéro 13 : Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée Gouvernement du Canada, « Avis aux exportateurs n°1159 - Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage » (modifié le 10 novembre 2025) : Avis aux exportateurs no 1159 - Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage

Introduction À entendre « contrôles à l’exportation », on peut s’imaginer que cela ne concerne que les armements et autres technologies ultra-sensibles et pourtant… Il existe une panoplie de circonstances, même inattendues, pour lesquelles il est important de savoir que des mesures de contrôle à l’exportation existent. Cela d’autant plus si vous prenez part à de la recherche, ou encore à la conception et mise au point de solutions d’apparence anodines et qui ne sont pas nécessairement des objets tangibles. À l’heure actuelle, les connaissances technologiques se partagent non seulement par le biais de partenariats conventionnels entre les entreprises ou les universités, mais aussi via le partage de données ou l’accès à des bases de données qui alimentent de grands modèles de langage. L’intelligence artificielle est, en soi, un moyen de partager des connaissances. Alimenter de tels algorithmes avec des données sensibles, ou des données qui peuvent s’avérer sensibles lorsqu’elles sont combinées, présente un risque d’enfreindre le cadre juridique applicable. En voici quelques notions clés. Aperçu du cadre fédéral des contrôles à l’exportation La Loi sur les licences d’exportation et d’importation Au Canada, la Loi sur les licences d’exportation et d’importation du Canada (« LLEI ») établit le cadre principal régissant les contrôles à l’exportation de marchandises et de technologies. La LLEI confère au ministre des Affaires étrangères le pouvoir de délivrer, à tout résident du Canada qui en fait la demande, une licence autorisant l’exportation ou le transfert d’une large palette d’articles inscrits sur la Liste des marchandises et technologies d’exportation contrôlée (la « LMTEC ») ou destinés à un pays inscrit sur la Liste des pays visés. Autrement dit, la LLEI vise à encadrer, voire interdire, le commerce de biens et de technologies critiques en dehors des frontières canadiennes. La Liste des marchandises et technologies d’exportation contrôlée Pour apprécier la LMTEC de manière complète, il est nécessaire de se référer au Guide de la Liste des marchandises et technologies d’exportation contrôlées du Canada dans sa version publiée par le ministère avec ses modifications successives, dont les plus récentes modifications datent de mai 2025 (le « Guide »). En résumé, le Guide comprend des marchandises et technologies militaires, stratégiques et à double usage (civil et militaire) en vertu des engagements pris par le Canada dans le cadre de régimes multilatéraux, tel que l’Arrangement de Wassenaar pour le contrôle des armes conventionnelles et des biens et technologies sensibles à double usage, d’accords bilatéraux, ou encore de certains contrôles unilatéralement mis en place par le Canada dans sa politique de défense. Le Guide comprend également les produits forestiers, les produits agricoles et de nourriture, les vêtements et les véhicules. Les autres lois qui influencent l’exportation Cependant, il faudra également tenir compte des sanctions que le Canada impose en vertu de lois ayant une incidence sur l’exportation, telles que : la Loi sur les Nations Unies ; la Loi sur les mesures économiques spéciales ; la Loi sur la justice pour les victimes de dirigeants étrangers corrompus. Ces sanctions à l’encontre de pays visés, d’organisations ou de personnes, englobent plusieurs mesures, dont la restriction ou l’interdiction du commerce, de transactions financières ou d’autres activités économiques avec le Canada, ou encore le gel de biens se trouvant sur son territoire1. Finalement, pour qu’une personne (y compris une entreprise) puisse transférer des marchandises contrôlées à l’extérieur du Canada, elle doit s’inscrire au Programme des marchandises contrôlées (« PMC ») afin d’obtenir une licence d’exportation, sauf exemption. Quelques notions clés Le saviez-vous ? Certaines marchandises et technologies sont dites à « double usage » ou à « vocation double ». Cela signifie que l’une d’elles pourra faire l’objet de mesures de contrôle à l’exportation si, bien qu’initialement conçue à des fins civiles ou d’apparences inoffensives, elle peut avoir une application militaire ou servir à produire des articles militaires. Une « technologie » s’entend largement, en couvrant notamment des données techniques, de l’assistance technique et des renseignements nécessaires à la mise au point, à la production ou à l’utilisation d’un article figurant sur la LMTEC. De manière indirecte, il peut également s’agir de technologies visées par l’un des règlements pris en vertu des lois susmentionnées, qui assujettissent certains pays à des restrictions de transferts technologiques spécifiques. Également, un « transfert » comprend, relativement à une technologie, son aliénation (ex. vente) ou la communication de son contenu de quelque façon à partir d’un lieu situé au Canada vers une destination étrangère. Cette définition découle de modifications législatives à la LLEI, qui ont eu pour conséquence d’en étendre la portée à la simple communication de technologies intangibles par divers moyens, et donc d’élargir l’applicabilité des licences requises à cet effet2. En ce qui concerne les relations commerciales avec les États-Unis, les exportateurs canadiens pourront possiblement devoir composer avec des restrictions supplémentaires et d’épineux défis, notamment eu égard aux employés ou autres parties prenantesqui sont des ressortissants étrangers.En effet, les International Traffic in Arms Regulations (« ITAR ») et les Export Administration Regulations (« EAR ») sont deux corpus de règles importants en matière d’exportation des États-Unis3. Ceux-ci protègent des intérêts à la fois similaires et distincts. Tandis que les ITAR ont pour but de protéger des articles et services de défense (incluant des armes et des informations), les EAR régissent les articles à double usage4. Cela dit, les deux auront tendance à prévenir des exportations5 dans un sens large, c’est-à-dire jusqu’à un transfert d’informations à des personnes dites « étrangères », sauf sur permission des autorités. Par ricochet, il n’est pas impossible que les exportateurs canadiens se voient imposer l’obligation de se conformer à cette réglementation américaine qui cible l’origine nationale d’individus en plus des territoires, ce qui se distingue nettement du régime d’exportation du Canada axé sur l’interdiction d’échanger avec un pays ou avec toute personne qui s’y trouve.Sur ce plan, il est à noter que la Charte des droits et libertés de la personne du Québec considère l’origine nationale comme un motif susceptible de discrimination6. Une entreprise peut donc se trouver en position délicate entre, d’une part, ses obligations contractuelles issues d’un contrat avec une entreprise américaine et, d’autre part, les exigences de la Charte québécoise. L’intelligence artificielle : de nouveaux enjeux Le développement des grands modèles de langage en intelligence artificielle constitue un nouveau défi, et non le moindre, en matière de contrôle à l’exportation. Par exemple, si un grand modèle de langage est entraîné à l’aide de données visées par des restrictions, il n’est pas impossible qu’un État soumis aux sanctions susmentionnées ne tente d’utiliser le grand modèle de langage pour obtenir indirectement de l’information à laquelle il n’aurait pas eu accès directement. Ainsi, le fait de permettre l’entraînement d’un grand modèle de langage sur des plans, des devis techniques ou des descriptions textuelles de technologies visées par des restrictions de transfert (pouvant comprendre le transfert de connaissances) peut constituer un risque de non-conformité à la loi. Il en va de même pour l’accès à de telles données pour la génération augmentée de récupération, une technique largement utilisée pour élargir et optimiser les résultats de grands modèles de langage. Afin de limiter ce risque pendant les phases de recherche et développement, une entreprise qui entraîne un grand modèle de langage sur de telles données, ou qui permet l’accès à ces données pour la génération augmentée de récupération, devra prendre en compte les lieux où seront hébergées et traitées les données. De même, une fois la solution d’intelligence artificielle développée, il sera important d’en restreindre l’accès d’une manière cohérente avec la loi, tant du point de vue de la localisation des serveurs où sera installé le grand modèle de langage, que du point de vue des accès aux utilisateurs. Les sanctions Toute personne ou organisation qui contrevient à une disposition de la LLEI ou de ses règlements commet une infraction passible d’une amende et/ou d’une peine d’emprisonnement, selon les modalités applicables. De même, le défaut de s’inscrire au PMC peut constituer une infraction en vertu des lois fédérales pouvant entraîner des poursuites contre le ou les contrevenant(s) et d’importantes sanctions7.   Conclusion Les contrôles à l’exportation du Canada ne sont pas sans complexité, à la fois dans leurs structure et mise en œuvre. Dans le contexte d’évènements géopolitiques et commerciaux changeants, il sera préférable de périodiquement consulter les ressources mises à disposition par les autorités pertinentes, d’instaurer des politiques et mesures appropriées, ou encore de solliciter les conseils d’un professionnel à ce sujet. Gouvernement du Canada, « Types de sanctions » (date de modification : 2024-09-10) : Types de sanctions Martha L. Harrison & Tonya Hughes, “Understanding Exports: A Primer on Canada’s Export Control Regime” (2010) 8(2) Canadian International Lawyer, 97 Les ITAR et EAR étant inclus dans le Code of Federal Regulations (« CFR ») Austin D. Michel, “Hiring in the Export-Control Context: A Framework to Explain How Some Institutions of High Education Are Discriminating against Job Applicants” (2021) 106:4 Iowa L Review, 1993 À noter que les ITAR et EAR prévoient également des restrictions en matière de réexportation. Voir Maroine Bendaoud, « Quand la sécurité nationale américaine fait fléchir le principe de non-discrimination en droit canadien : le cas de l’International Traffic in Arms Regulations (ITAR) » (2013) Les cahiers de droit, 54 (2-3), 549 Gouvernement du Canada, « Lignes directrices sur l’inscription au Programme des marchandises contrôlées » (date de modification : 2025-04-11) : Lignes directrices sur l’inscription au Programme des marchandises contrôlées - Canada.ca

Les angles morts à vérifier lors de l’anonymisation des données L’anonymisation est devenue une étape essentielle pour valoriser des jeux de données à des fins d’innovation, notamment en intelligence artificielle. À défaut d’un processus d’anonymisation mené selon les règles de l’art, les entreprises peuvent s’exposer à des sanctions financières, à des recours judiciaires et à un risque réputationnel accru et, par le fait même, à des répercussions potentiellement majeures sur leurs activités. Processus d’anonymisation Ce qu’en dit la loi La Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») et laLoi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») prévoient qu’un renseignement concernant une personne physique est anonymisé lorsqu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Puisqu’un renseignement anonymisé ne constitue plus alors un renseignement personnel, cette distinction revêt une importance capitale. Or, mis à part ces critères, les deux lois ne détaillent pas le processus d’anonymisation. Pour pallier cette lacune, le gouvernement a adopté le Règlement sur l’anonymisation des renseignements personnels (le « Règlement »), dont l’objet est de définir les critères du processus d’anonymisation et de fixer un cadre qui s’appuie sur des normes élevées de protection de la vie privée. Ce que les entreprises doivent savoir avant d’amorcer un processus d’anonymisation Suivant le Règlement, avant d’amorcer un processus d’anonymisation, l’entreprise ou l’organisme désirant anonymiser des renseignements doit définir les fins « sérieuses et légitimes » auxquelles ceux-ci sont destinés. Ces fins doivent demeurer conformes, selon le cas, à la Loi sur le privé ou à la Loi sur l’accès, et toute nouvelle finalité doit être soumise à la même exigence. Par ailleurs, le processus doit se dérouler sous la supervision d’une personne compétente en la matière, apte à sélectionner et à appliquer les techniques appropriées. Cette supervision vise à garantir non seulement la mise en œuvre adéquate des méthodes retenues, mais aussi à assurer la validation continue des choix technologiques et des mesures de sécurité. 4 étapes clés du processus d’anonymisation des renseignements   DépersonnalisationDans un premier temps, il est nécessaire d’entreprendre une dépersonnalisation. Cette opération consiste à retirer ou à remplacer tout renseignement personnel permettant l’identification directe (tels le nom, l’adresse ou le numéro de téléphone) par des pseudonymes. Il importe toutefois de bien prévoir les interactions entre les différents ensembles de données, afin de réduire au maximum les risques de retrouver des renseignements qui permettraient de reconnaître une personne. Analyse préliminaire des risques de réidentificationUne analyse préliminaire des risques de réidentification doit ensuite être menée. Cette deuxième étape repose notamment sur le critère d’individualisation (impossibilité d’isoler une personne), le critère de corrélation (impossibilité de faire le lien entre plusieurs ensembles de données relatifs à une même personne) et le critère d’inférence (impossibilité de déduire des renseignements personnels à partir d’autres informations disponibles). Les outils d’anonymisation les plus couramment utilisés sont l’agrégation, la suppression, la généralisation et la perturbation. Par ailleurs, des mesures de protection adéquates, comme un chiffrement de haut niveau et des contrôles d’accès restrictifs, doivent être prévues afin minimiser la probabilité de réidentification. Approfondissement de l’analyse préliminaire des risques de réidentificationUne fois les deux premières étapes franchies, une analyse approfondie des risques de réidentification doit être effectuée. Force est de reconnaître qu’aucun risque ne peut être nul. Toutefois, ce risque doit être maintenu aussi faible que possible, en prenant en considération la sensibilité des renseignements, la disponibilité d’autres données publiques et la complexité nécessaire pour tenter une réidentification. Afin de maintenir ce très faible niveau de risque, une évaluation périodique doit être effectuée en tenant compte des progrès technologiques susceptibles de faciliter la réidentification. Consignation d’une description des renseignements anonymisésEnfin, il est essentiel de consigner dans un registre une description des renseignements anonymisés, les fins pour lesquelles ils sont utilisés, les techniques employées et les mesures de sécurité prises, ainsi que les dates des analyses ou des mises à jour effectuées. Cette consignation renforce la transparence et sert à démontrer que l’entreprise ou l’organisme désirant anonymiser des renseignements s’acquitte de ses obligations légales.

Alors que le monde discute des guerres tarifaires touchant divers produits, on néglige parfois les risques pour les technologies de l’information. Pourtant, plusieurs entreprises s’appuient sur l’intelligence artificielle pour la prestation de leurs services. Plus particulièrement, l’usage des grands modèles de langage est intégré dans une foule de technologies, dont ChatGPT a été le porte-étendard. Mais les entreprises doivent-elles se placer en situation de dépendance face à des fournisseurs de services technologiques s’ils sont basés uniquement aux États-Unis? Des solutions de rechange chinoises telles Deepseek font parler d’elles, mais soulèvent des questions sur la sécurité des données et le contrôle de l’information qui y est associé. La professeure Teresa Scassa écrivait déjà, en 2023, que la souveraineté en matière d’intelligence artificielle prend différentes formes, incluant la souveraineté étatique, mais aussi la souveraineté des communautés sur les données et la souveraineté individuelle1. D’autres invoquent déjà l’intelligence artificielle comme un vecteur du recalibrage des intérêts internationaux2. Dans ce contexte, comment les entreprises peuvent-elles se prémunir contre les fluctuations qui pourraient être décidées par des autorités gouvernementales d’un pays ou d’un autre? À notre avis, c’est justement en exerçant une certaine souveraineté à leur échelle que les entreprises peuvent se préparer à de tels changements. Quelques conseils : Comprendre les enjeux de propriété intellectuelle : Les grands modèles de langage sous-jacents à la majorité des technologies d’intelligence artificielle sont parfois offerts sous des licences ouvertes (open source), mais certaines technologies sont diffusées sous des licences commerciales restrictives. Il est important de comprendre les contraintes des licences sous lesquelles ces technologies sont offertes. Dans certains cas, le propriétaire du modèle de langage se réserve le droit de modifier ou restreindre les fonctionnalités de la technologie sans préavis. À l’inverse, des licences ouvertes permissives permettent d’utiliser un modèle de langage sans limite de temps. Par ailleurs, il est stratégique pour une entreprise de garder la propriété intellectuelle sur ses compilations de données qui peuvent être intégrées dans des solutions d’intelligence artificielle. Considérer d’autres options : Dès lors que la technologie est appelée à manipuler des renseignements personnels, une évaluation des facteurs relatifs à la vie privée est requise par la loi avant l’acquisition, le développement ou la refonte technologique[3]. Même dans les cas où cette évaluation n’est pas requise par la loi, il est prudent d’évaluer les risques liés aux choix technologiques. S’il s’agit d’une solution intégrée par un fournisseur, existe-t-il d’autres options? Serait-on en mesure de migrer rapidement vers une de ces options en cas de difficulté? S’il s’agit d’une solution développée sur mesure, est-elle limitée à un seul grand modèle de langage sous-jacent? Favoriser une approche modulaire : Lorsqu’un fournisseur externe est choisi pour fournir le service d’un grand modèle de langage, c’est souvent parce qu’il offre une solution intégrée dans d’autres applications que l’entreprise utilise déjà ou par l’intermédiaire d’une interface de programmation applicative développée sur mesure pour l’entreprise. Il faut se poser la question : en cas de difficulté, comment pourrait-on remplacer ce modèle de langage ou l’application? S’il s’agit d’une solution complètement intégrée par un fournisseur, celui-ci offre-t-il des garanties suffisantes quant à sa capacité de remplacer un modèle de langage qui ne serait plus disponible? S’il s’agit d’une solution sur mesure, est-il possible, dès sa conception, de prévoir la possibilité de remplacer un modèle de langage par un autre? Faire un choix proportionné : Ce ne sont pas toutes les applications qui nécessitent les modèles de langage les plus puissants. Lorsque l’objectif technologique est modéré, plus de possibilités peuvent être considérées, dont des solutions basées sur des serveurs locaux qui utilisent des modèles de langage sous licences ouvertes. En prime, le choix d’un modèle de langage proportionné aux besoins diminue l’empreinte environnementale négative de ces technologies en termes de consommation d’énergie.  Ces différentes approches s’articulent par différentes interventions où les enjeux juridiques doivent être pris en considération de concert avec les contraintes technologiques. La compréhension des licences et des enjeux de propriété intellectuelle, l’évaluation des facteurs relatifs à la vie privée, les clauses de limitation de responsabilité imposées par certains fournisseurs, autant d'aspects qui doivent être considérés en amont. Il s’agit là non seulement de faire preuve de prudence, mais aussi de profiter des occasions qui s’offrent à nos entreprises de se démarquer dans l’innovation technologique et d’exercer un meilleur contrôle sur leur avenir. Scassa, T. (2023). Sovereignty and the governance of artificial intelligence. UCLA L. Rev. Discourse, 71, 214. Xu, W., Wang, S., & Zuo, X. (2025). Whose victory? A perspective on shifts in US-China cross-border data flow rules in the AI era. The Pacific Review, 1-27. Voir notamment la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 3.3.