L’intelligence artificielle (l’« IA ») n’est plus une promesse, mais une réalité d’affaires : elle est devenue un outil de gestion et de production au quotidien. Des solutions d’IA générative et d’analytique se sont imposées dans les entreprises pour rédiger, trier, décider, surveiller, évaluer…, et souvent, sans réflexion structurée préalable. Pour les employeurs, le défi est double : saisir rapidement les gains de productivité, tout en évitant que l’IA ne devienne une source de risque juridique, réputationnel ou opérationnel. Les cas d’usage se multiplient (assistance rédactionnelle, aide à la décision, analyse du rendement, surveillance numérique, prédiction d’incidents ou d’accidents) et, avec eux, les questions qui intéressent autant les dirigeants que les médias, notamment : qui doit être tenu responsable lorsque l’outil se trompe, quelles données sont utilisées, et jusqu’où peut-on aller dans le suivi des salariés? Bien encadrée, l’IA peut soutenir l’innovation, accélérer sa mise en œuvre, et contribuer au bien-être ainsi qu’à la santé et à la sécurité au travail. Au Québec, ces avantages prennent un relief particulier dans un contexte de vieillissement de la population, de rareté de la main-d’œuvre et de pression accrue sur la productivité, qui appelle des solutions favorisant la croissance et la compétitivité. L’intégration de systèmes d’IA en milieu de travail soulève des enjeux réels et multidimensionnels, notammen  : la protection des renseignements personnels et la confidentialité, la responsabilité et l’imputabilité en cas d’erreur ou de défaillance, ainsi que les impacts possibles sur la charge de travail et le climat de travail. Conscient des effets de la transformation numérique et de l’IA sur les milieux de travail, le ministre du Travail a lancé un processus consultatif afin d’évaluer si les lois et règlements actuels permettaient d’accompagner adéquatement ces évolutions. En octobre 2025, il a mandaté le Comité consultatif du travail et de la main-d’œuvre (le « CCTM ») pour poursuivre la réflexion afin de dégager une vision commune concernant : « Les mécanismes de concertation appropriés à la réalité du recours à l’IA dans les milieux de travail; Les principes éthiques, de gouvernance et de transparence dans la prise de décisions en matière de ressources humaines; La prévention des risques émergents en matière de santé et sécurité au travail. »1 Avis du CCTM : Recommandations L’Avis du CCTM concernant les enjeux entourant l’implantation et l’usage des systèmes d’intelligence artificielle en milieux de travail au Québec (l’« Avis du CCTM ») a été rendu public le 29 avril 2026. Les recommandations qu'il renferme quant à l’implantation et à l’usage des systèmes d’IA en milieu de travail au Québec incluent notamment : L’application du cadre juridique actuel en droit du travail et de l’emploi au Québec; La préservation du rôle essentiel et de la responsabilité du jugement humain dans les décisions automatisées; L’application des lois sur la protection des renseignements personnels2 lors de la conception, l’implantation et l’utilisation des systèmes d’IA, et la priorisation des approches limitant le recours à la surveillance électronique; La mise de l’avant d’un processus d’impact algorithmique, lequel devrait impliquer les employés, prenant en compte l’impact des décisions automatisées sur les droits fondamentaux et la vie privée; Le soutien de la formation continue et de la mobilité des personnes salariées par les entreprises; L’encadrement des algorithmes par de saines pratiques de gouvernance favorisant la transparence et l’explicabilité des décisions algorithmiques; L’importance d’accorder une vigilance particulière quant aux biais discriminatoires. Le CCTM adresse également des recommandations à la Commission d’accès à l’information, notamment afin que le guide de rédaction des politiques de confidentialité soit mis à jour pour y intégrer la divulgation de l’utilisation de l’IA et des technologies de surveillance, et pour inciter les employeurs à informer les personnes salariées de l’intention de recourir à une décision partiellement ou entièrement automatisée. Enfin, le CCTM recommande dans son Avis que le ministère du Travail produise, en collaboration avec le CCTM, un guide d’accompagnement visant à soutenir une implantation de l’IA responsable, conforme et socialement acceptable. Guide du ministre du Travail : 5 principes Dans la foulée de ces recommandations contenues dans l’Avis du CCTM, le ministre du Travail a rendu disponible un guide intitulé L’intelligence artificielle au travail : Guide d’accompagnement pour une intégration responsable (le « Guide ») le 12 juin dernier. Le Guide vise à favoriser une intégration de l’IA en milieu de travail qui est responsable, humaine et concertée. Il propose ainsi cinq (5) grands principes destinés à structurer la réflexion et à sensibiliser les organisations aux principaux enjeux, à savoir : Le respect des droits et libertés en milieu de travail; La protection de la vie privée et la gouvernance des données; La gouvernance, la participation et le dialogue social; La surveillance humaine et la transparence; Le développement durable et le bien-être. Pour chacun de ces principes, le Guide présente des exemples d’usages de l’IA en milieu de travail, met en lumière les avantages et défis associés, et propose des actions concrètes afin d’encadrer l’intégration et l’utilisation de l’IA de manière responsable. Le Guide se veut un outil pratique évolutif que les organisations et les acteurs du monde du travail sont invités à contextualiser et à adapter selon leur réalité. Vers une IA accessible et encadrée En somme, l’intégration de l’IA en milieu de travail offre des possibilités concrètes d’amélioration, tout en soulevant des enjeux importants qui requièrent un encadrement rigoureux. Dans cette perspective, le Guide vise non seulement à soutenir une adoption de l’IA respectueuse des droits, des personnes et des réalités du travail, mais aussi à outiller les différents acteurs afin de favoriser l’intégration et l’utilisation de l’IA dans les milieux de travail. Plusieurs beaux défis sont donc à prévoir dans les années à venir. Lavery compte plusieurs spécialistes bien outillés pour vous accompagner à y faire face. N’hésitez pas à contacter l’un d’entre eux. Comité consultatif du travail et de la main-d’œuvre, Avis du CCTM concernant les enjeux entourant l’implantation et l’usage des systèmes d’intelligence artificielle en milieux de travail au Québec, en ligne : https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/travail/documents/CCTM/Avis_CCTM_Intelligence_Artificielle.pdf, 9 avril 2026, p. 6. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 ; Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1.

Les projets biotechnologiques reposent sur des données génétiques et du matériel biologique sensibles Les entreprises innovantes évoluant dans les secteurs des sciences de la vie, de la recherche et des biotechnologies manipulent aujourd’hui des actifs parmi les plus sensibles sur le plan juridique : tissus humains, matériel biologique et données génétiques. Qu’il s’agisse d’ingénierie tissulaire, de biobanques ou de technologies d’analyse reposant sur l’intelligence artificielle, les modèles d’innovation se développent désormais autour de la circulation et de l’exploitation de données biologiques à forte valeur scientifique et commerciale. Pourtant, plusieurs organisations concentrent encore leurs efforts sur les dimensions scientifiques et opérationnelles de leurs projets, sans toujours mesurer pleinement les contraintes juridiques qui apparaissent dès qu’un projet implique de l’ADN ou du matériel biologique associé à une personne. Le risque d’un point de vue commercial est donc qu’une organisation, qu’elle soit une entreprise privée ou une institution publique, développe une technologie, mais soit incapable de l’exploiter commercialement, faute d’avoir les droits nécessaires à l’utilisation du matériel biologique et des renseignements impliqués. Au Canada, et plus particulièrement au Québec, les lois relatives à la protection des renseignements personnels et des renseignements de santé constituent désormais la pierre angulaire de ces projets1. Cette réalité dépasse largement les enjeux traditionnels de cybersécurité ou de confidentialité. Elle influence directement la manière dont le matériel biologique peut être : collecté; utilisé; transféré; conservé; transformé; et éventuellement valorisé dans un contexte commercial ou de recherche collaborative2. Pourquoi l’ADN et les tissus humains bénéficient d’une protection juridique particulière La sensibilité particulière de l’ADN et des données génétiques n’est d’ailleurs plus contestée. La jurisprudence canadienne reconnaît depuis longtemps le caractère hautement personnel et intime de ce type d’information3. La doctrine souligne également que les tissus humains et les données génétiques occupent une place particulière dans les projets de recherche et d’innovation en raison de leur potentiel d’identification, de leur valeur scientifique et des enjeux éthiques et commerciaux associés à leur utilisation4. Cette approche se reflète notamment dans la Loi sur les renseignements de santé et de services sociaux5, dont l’article 2 qualifie expressément de renseignement de santé toute information concernant « tout matériel prélevé sur [une] personne », incluant le matériel biologique. Les articles 5 et suivants de cette loi encadrent également les conditions dans lesquelles ces renseignements peuvent être utilisés, communiqués ou transférés dans un contexte de recherche ou de collaboration impliquant des tiers6. Ces obligations s’ajoutent à celles prévues par la Loi sur la protection des renseignements personnels dans le secteur privé7, qui impose notamment que les renseignements personnels soient recueillis pour des fins déterminées et légitimes, et que leur utilisation demeure compatible avec les objectifs ayant justifié leur collecte initiale8. Intelligence artificielle, données génétiques et risques de réidentification Dans un contexte biotechnologique, cette question devient particulièrement sensible lorsque des tissus humains ou des données génétiques initialement recueillis dans un cadre clinique ou scientifique sont ensuite réutilisés dans des projets technologiques ou d’intelligence artificielle. En effet, beaucoup de projets où l’intelligence artificielle est utilisée requièrent à la fois l’utilisation de matériel biologique et de l’ADN, mais aussi des données phénotypiques, des renseignements de santé, ainsi que des renseignements familiaux des patients dont provient le matériel biologique. On parle donc ici d’un risque de croisement de données qui est substantiel et qui doit être encadré en toute conscience des risques pour ces individus. Dans certains projets, il semble probable que la combinaison de l’ADN et de renseignements familiaux compromette non seulement la vie privée des individus desquels le matériel biologique a été prélevé, mais aussi de membres de leurs familles. Ce type d’enjeu a déjà été soulevé d’ailleurs dans le cadre de la génétique généalogique9. Consentement, renseignements de santé et usages secondaires : un enjeu souvent sous-estimé Un projet initialement conçu à des fins de recherche peut rapidement évoluer vers des usages secondaires dépassant le cadre initial envisagé. Pourtant, les mécanismes de consentement obtenus au départ ne couvrent pas nécessairement l’ensemble des usages futurs, notamment lorsque des données dérivées ou des résultats d’analyse sont intégrés à des plateformes technologiques ou utilisés dans le développement d’outils analytiques10. Contrats de recherche et transfert de matériel biologique : un outil essentiel de gouvernance Les contrats deviennent alors l’outil central de gouvernance. Dans ce contexte, les conventions de transfert de matériel biologique, les ententes de recherche collaborative et les clauses relatives aux données ne servent plus uniquement à encadrer la propriété intellectuelle ou la confidentialité commerciale. Elles permettent également de structurer les responsabilités liées à la circulation des échantillons biologiques, à la traçabilité des données, aux restrictions de réutilisation et aux obligations de dépersonnalisation11. Propriété intellectuelle, ADN et renseignements personnels : des droits complémentaires Cette interaction entre innovation biotechnologique, propriété intellectuelle et protection des renseignements personnels soulève des tensions juridiques complexes. Une base de données génétiques ou un modèle biologique dérivé peut représenter simultanément un actif commercial stratégique et un ensemble de renseignements personnels hautement sensibles. Or, les droits de propriété intellectuelle pouvant exister sur les résultats, les algorithmes ou les méthodes analytiques ne permettent pas d’écarter les obligations imposées par les lois québécoises relatives à la protection des renseignements personnels et des renseignements de santé12. Au contraire, pour pouvoir exploiter commercialement une technologie, il faut à la fois avoir les droits nécessaires sur la propriété intellectuelle, mais aussi ceux découlant du cadre juridique associé aux renseignements de santé et aux renseignements personnels. L’exploitation commerciale d’une technologie commence bien avant sa mise en marché Dans un contexte où les organisations cherchent de plus en plus à valoriser les données issues de la recherche scientifique, les enjeux liés à la gouvernance des tissus humains, de l’ADN et du matériel biologique ne devraient plus être abordés comme une considération accessoire traitée en fin de projet. Ils deviennent un élément central de la structuration juridique, opérationnelle et commerciale des projets biotechnologiques modernes et méritent donc qu’on s’y attarde en amont. À retenir 1. L'ADN est juridiquement un renseignement de santé  Au Québec, le matériel biologique et les données génétiques ne sont pas de simples outils de recherche. Selon la loi, ils sont qualifiés de « renseignements de santé » hautement sensibles. La collecte, l'utilisation et le transfert sont strictement encadrés, exigeant un consentement exprès et éclairé. 2. La propriété intellectuelle ne donne pas tous les droits Développer un algorithme d'IA performant ou un modèle biologique innovant ne permet pas de contourner les lois québécoises sur la protection de la vie privée. Pour commercialiser une technologie biotechnologique, il faut impérativement détenir les droits de propriété intellectuelle ET respecter le cadre juridique des données de santé utilisées. 3. Le piège de l’évolution des projets (usages secondaires) Un consentement obtenu au départ pour un projet de recherche clinique ne couvre généralement pas les usages futurs (comme l'intégration des données dans des plateformes d'IA). Sans une gouvernance contractuelle solide dès le départ (conventions de transfert, clauses de dépersonnalisation), l'organisation risque de ne jamais pouvoir exploiter commercialement sa technologie. Loi sur les renseignements de santé et de services sociaux, RLRQ c R-22.1, art 1, 2, 5, 44 à 49 et 77. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art 4, 5, 8, 12 et 14. R c. Dyment, [1988] 2 RCS 417; R c S.A.B., 2003 CSC 60. Marie Hirtle et Bartha Maria Knoppers, Le stockage des éléments du corps humain, les droits de propriété intellectuelle et les autres droits de propriété, Industrie Canada, 2014. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 2. Id., art 5, 44 à 49 et 77. Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2. Id., art 4, 5, 8, 12 et 14. Clausius, K., Kenny, E. & Crawford, M. J. (2023). BILL S-231: The Ethics of Familial and Genetic Genealogical Searching in Criminal Investigations. Canadian Journal of Bioethics / Revue canadienne de bioéthique, 6(3-4), 44–56.  Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 44 à 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 12 et 14. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 48 et 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 18.3 et 23. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 5 et 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 12, 17 et 18.3.

L’Agence mondiale antidopage en sait quelque chose. Victime d’une fuite de données en 2016, elle a illustré de manière éclatante que même les institutions sportives les plus en vue ne sont pas à l’abri des cyber incidents. Ce constat est désormais repris noir sur blanc par les autorités : dans un bulletin publié en 2024, le Centre canadien pour la cybersécurité prévient que l’ensemble de l’écosystème sportif, (spectateurs, athlètes, organisations et représentants gouvernementaux liés aux événements sportifs) fait l’objet de campagnes de cyberattaques ciblées.  Au programme, notamment : extorsion par compromission de courriels professionnels; rançongiciels; hameçonnage; sites malveillants; empoisonnement des moteurs de recherche. Or, lorsque survient un incident et qu’une déclaration aux autorités s’impose, il est bien souvent trop tard pour instaurer une gouvernance solide et faire preuve de diligence raisonnable. À l’heure actuelle, les compétitions sportives produisent un torrent de données. La quantité est effarante, leur nature quasi orwellienne. Les partisans et athlètes peuvent le constater dans les tableaux qui suivent Collecte sur les athlètes  Ligues Types de renseignements recueillis NFL Données de performance et de suivi (statistiques, position/mouvement, vitesse, statistiques liées aux passes, courses et réceptions) Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité LNH Données de performance/suivi Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité MLB Données de performance et de suivi Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité   Collecte de renseignements sur les clients (en ligne)  Ligues Types de renseignements recueillis NFL Renseignements fournis par la personne  Identifiants: nom, courriel, adresse postale, téléphone, date de naissance; identifiants uniques (nom d’utilisateur, mot de passe, SSN et autres identifiants gouvernementaux si requis, p. ex. pour des prix). Données démographiques et autres catégories protégées: genre, race, ethnicité, orientation sexuelle. Informations financières et commerciales: données de paiement, historique d’achats. Géolocalisation en temps réel (y compris précise). Préférences de communication et de marketing. Équipe favorite et inférences sur vos préférences. Informations audio/électroniques/visuelles (p. ex., photos fournies). Données biométriques (si vous optez pour l’authentification biométrique au stade; avec consentement et avis supplémentaire si requis). Informations sur vos contacts (nom, courriel) que vous partagez; si autorisé, accès à vos contacts, calendriers et photos. Requêtes de recherche. Contenus publiés (commentaires, forums). Informations professionnelles et d’emploi. Informations d’éducation. Informations pouvant être de santé (p. ex., sièges accessibles). Correspondance, renonciations/acceptations et autres informations envoyées. Collecte automatique  Identifiants et techniques d’appareil/réseau: IP, MAC, identifiants publicitaires, type d’appareil, navigateur/OS. Activités d’utilisation: pages vues, liens cliqués, parcours, données d’usage de l’application. Suivi et courriels: témoins/pixels/ balises, interactions avec courriels (ouvertures/clics). Médias sociaux (si liés): données reçues selon vos paramètres et la politique de la plateforme. Journaux et trafic: logs serveur, trafic sur le WiFi des stades Captation visuelle/sonore: CCTV et prises d’images/vidéos lors d’événements. LNH Renseignements fournis par la personne Identifiants et coordonnées (nom, courriel, téléphone, adresse, date de naissance), Informations commerciales (paiement, achats/services), Données démographiques (langue, âge, genre, race/ethnicité, composition et revenu du ménage), Préférences (club/joueurs favoris), Photos/vidéos, Contenus/retours (commentaires, sondages), Coordonnées d’amis Données de candidature (CV, références, vérifications permises). Collecte automatique Activité et interactions (contenus vus, enchères/achats, temps passé, témoins/balises), modalités d’accès (navigateur, OS, adresse IP, historique de navigation avant/après), Informations et identifiants d’appareil (type, identifiants uniques, contenus locaux si autorisés), Localisation (GPS/Bluetooth/WiFi, cellules), Inférences sur les préférences; Éléments commerciaux liés aux transactions (p. ex., horodatage). Collecte auprès de tiers Clubs membres (billetterie, identifiants, journaux d’usage); Fanatics/NHL Shop & Auctions (nom, courriel, articles achetés; statistiques d’engagement marketing); Autres partenaires commerciaux, sources publiques/commerciales (courtiers de données); Réseaux sociaux connectés (selon les paramètres et la politique de la plateforme). Club de la LNH * Coordonnées : nom, courriel, adresse postale, sexe, date de naissance, téléphone (p. ex., achat/transfert de billet, création de compte, demandes, concours/promo). Données démographiques et préférences (groupe d’âge, race, genre; événements/produits préférés, p. ex., sondages). Données de santé liées à des besoins d’accessibilité. Vidéo surveillance dans les salles (sécurité; partage limité selon la loi). Analyses anonymes d’achalandage et comptage d’appareils (caméras/technos; WiFi); statistiques pouvant être partagées avec des partenaires. Analytique Web (Google Analytics) dépersonnalisée; option de désactivation. Publicité/remarketing en ligne (Google, Facebook, LinkedIn, etc.) via témoins; mécanismes de retrait (paramètres plateformes; DAAC). Géolocalisation via applications (si activée). Médias sociaux : données de profil et interactions autorisées; Données techniques (IP, navigateur, OS, résolution, localisation, langue, provenance, mots-clés, pages vues, données saisies, annonces vues), identifiants (IDFA, AAID), infos de connexion (opérateur, FAI, WiFi); possibilité de reconnaître un appareil). MLB Renseignements fournis par la personne Identifiants et coordonnées: nom complet, adresse courriel, adresse postale, numéros de téléphone, date de naissance. Sécurité et authentification: mot de passe. Paiements : données de paiement. Données démographiques: caractéristiques démographiques. Contenus et enregistrements: enregistrements vocaux, enregistrements audiovisuels. Préférences et intérêts: informations sur vos intérêts et préférences. Données liées à des activités/événements : renseignements demandés pour une activité ou un événement (p. ex., contact d’urgence). Renseignements personnels sensibles: au sens des lois applicables (p. ex., origine raciale ou ethnique; informations de santé comme handicap ou allergies). Collecte automatique  Données techniques et d’utilisation: adresses IP, données d’appareil, données d’utilisation. Localisation et contacts : données de localisation; contacts enregistrés sur votre appareil mobile. Collecte auprès de tiers Données provenant de tiers/intégrations : informations fournies par d’autres entreprises si la personne connecte leurs services. *Cette collecte se fait sur les utilisateurs du site Web, les personnes qui visitent les salles, les personnes qui postulent à un emploi ou participent à un concours, les personnes qui soumettent des projets.    Structure des ligues Pour comprendre qui fait quoi en matière de protection des renseignements personnels, il faut d’abord regarder comment les ligues sportives sont organisées. Dans la plupart des cas, elles prennent la forme d’organismes sans but lucratif ou de sociétés par actions. Autour de cette structure se construit tout un cadre de règles qui définit à la fois la gouvernance et le modèle d’affaires. On y retrouve : D’abord les statuts et règlements généraux, qui encadrent la gouvernance, l’admission des clubs, le droit de vote, les pouvoirs du commissaire ou du conseil; S’ajoutent les règlements sportifs et de compétition, qui traitent notamment de l’éligibilité, du calendrier, des transferts, du repêchage, des plafonds salariaux ou des mécanismes de contrôle des coûts; Les ligues adoptent également des politiques d’intégrité et de sécurité contre le dopage, les paris et la manipulation, le harcèlement et les abus, ainsi que des conventions commerciales portant, entre autres, sur la diffusion, les commandites, la billetterie et l’exploitation des données. Dans certains cas, ce cadre est complété par des conventions collectives avec les associations de joueurs et des mécanismes formels de règlement des différends. Dans cet environnement, la ligue joue un rôle central. Elle dispose généralement du pouvoir : d’adopter, d’interpréter et de modifier ses règles; d’admettre de nouveaux clubs; de gérer les projets d’expansion et de relocalisation et les changements de contrôle; et d’imposer des sanctions comme des amendes, des retraits de points, des suspensions ou des exclusions. Elle centralise aussi les droits commerciaux stratégiques, les droits médias, les marques de commerce et les données et met en place des politiques de partage des revenus destinées à maintenir un certain équilibre concurrentiel entre les équipes. Rôles en matière de renseignements personnels Le club Dans la relation quotidienne avec l’athlète ou le client, le club est généralement le point de contact principal. C’est lui qui signe les contrats avec les joueurs, vend les billets, gère les abonnements, exploite la boutique en ligne et les programmes de fidélité. Concrètement, c’est souvent le club qui recueille les renseignements personnels, qui explique à quoi ils servent, qui décide des renseignements qu’il est nécessaire de recueillir et qui met en place les mesures de sécurité et de gestion des incidents. Le club doit donc être en mesure d’informer clairement l’athlète ou le client au moment de la collecte sur les finalités de la collecte, les moyens par lesquels s’effectue la collecte, les catégories de renseignements recueillis, les destinataires de ces renseignements et les droits dont ils bénéficient. Il doit limiter la collecte à ce qui est nécessaire et s’assurer de l’exactitude des renseignements, obtenir un consentement valide, manifeste, libre, éclairé et explicite pour les renseignements sensibles comme les données de santé ou biométriques, mettre en place des mesures de sécurité adaptées aux risques, gérer et déclarer les incidents de confidentialité susceptibles de causer un préjudice sérieux, répondre aux demandes d’accès et de rectification et encadrer rigoureusement la communication de renseignements à ses prestataires de services ou ses mandataires. Aux yeux des athlètes et des clients, le club est souvent perçu comme le véritable « détenteur » de leurs données. La Ligue Le rôle de la ligue en matière de renseignements personnels est plus difficile à saisir parce qu’il varie selon les activités. Lorsque la ligue collecte directement des renseignements auprès des personnes, par exemple via une application officielle, une plateforme de diffusion ou un site transactionnel pour ses propres fins, elle doit assumer des responsabilités comparables à celles d’un club. C’est ce que fait, par exemple, MLB Advanced Media, qui se définit comme « responsable de traitement » à l’égard des données de ses clients. Mais dans bien des cas, la ligue agit plutôt en coulisse. À certains égards, elle joue un rôle de mandataire des clubs, en négociant et en signant des contrats technologiques, des conventions de télédiffusion ou d’autres ententes commerciales qui seront déployés au niveau des clubs. À d’autres égards, elle agit comme prestataire de services, en offrant des plateformes technologiques centralisées, des systèmes de billetterie, des infrastructures de données ou des services administratifs partagés. En droit québécois, ces deux rôles – mandataire et prestataire de services – sont traités sous la même logique : le club peut transmettre à la ligue les renseignements nécessaires à l’exécution du mandat ou du contrat de service, sans avoir à redemander le consentement de chaque personne, à condition qu’une entente écrite impose des mesures claires de protection de la confidentialité, limite l’utilisation aux seules fins du mandat ou du service et encadre la conservation des données. La ligue doit aussi aviser rapidement le responsable de la protection des renseignements personnels du club de toute violation ou tentative de violation de la confidentialité et lui permettre d’effectuer des vérifications. Par ailleurs, les clubs et la ligue peuvent toujours choisir de fonder certains échanges d’information sur le consentement explicite des athlètes ou des clients. Encore faut-il que ce consentement soit réellement manifeste, libre, éclairé, donné pour des fins spécifiques et présenté de manière distincte lorsqu’il est demandé par écrit. Conclusion Même si l’analyse porte souvent sur les ligues professionnelles, la même logique s’applique aux organisations sportives amateurs ou non professionnelles. Dans tous les cas, la relation entre la ligue, le club et l’athlète ou le client doit être clairement encadrée sous l’angle de la vie privée. Les organisations sportives ont intérêt à cartographier les flux de renseignements personnels, à harmoniser les messages d’information donnés aux personnes concernées, à se doter d’une entente type encadrant la communication de renseignements entre les clubs et la ligue, à prévoir des mécanismes simples d’accès et de rectification, et à former les intervenants clés. Intégrer ces éléments dans les statuts, règlements et ententes des clubs et de la ligue permet à la fois de réduire les risques et de renforcer la confiance des athlètes, des parents, des partisans et des partenaires commerciaux. Reste une question de fond, toutefois : compte tenu du critère légal de nécessité pour des fins sérieuses et légitimes, la masse de renseignements aujourd’hui collectés dans l’écosystème sportif est-elle vraiment justifiée ? C’est là un débat stratégique que les organisations sportives ne pourront pas éviter.  

Dans un précédent Bulletin, les auteurs traçaient à grands traits le cadre juridique applicable aux contrôles à l’exportation, ainsi que les défis entourant les grands modèles de langage en intelligence artificielle à l’ère du partage des connaissances. Compte tenu de certaines actualités juridiques et géopolitiques au cours de l’année 2025 concernant différents aspects en cette matière, une courte mise au point s’impose sur les répercussions potentielles pour le développement de vos projets d’IA, avec une mention spéciale quant à l’IA générative (ou « IAg »), à l’aube de la nouvelle année. Que sont les contrôles à l’exportation? Les contrôles à l’exportation établissent les règles visant à endiguer le risque de transfert de marchandises et de technologies militaires, stratégiques et à double usage (civil et militaire) vers des destinations considérées comme contraires aux intérêts de sécurité nationale. Ces technologies prennent des formes variées, allant du matériel physique à de l’information technique. Au Canada, le contrôle des exportations repose sur un système d’autorisations par octroi de licences en fonction d’une série d’articles inscrits sur la Liste des marchandises et technologies d’exportation contrôlée (la « LMTEC ») sous l’égide de la Loi sur les licences d’exportation et d’importation (« LLEI »). Ainsi, pour savoir si des portions de vos projets d’IA sont visées, il vous faut vous référer principalement (mais non exclusivement) à cette liste, en plus du guide afférent permettant de l’apprécier de manière plus complète. Faits saillants de 2025 Le Décret DORS/2025-89  Le 7 mars 2025, la Gazette du Canada publiait un Décret modifiant la LMTEC, dans un souci d’y refléter des technologies émergentes, toujours plus rapides, évolutives et dont les capacités laissent craindre des applications militaires adverses1. De manière notable dans le contexte, la LMTEC voit le paragraphe 5506(1) à son annexe remplacé par une série d’articles. Mais que ressort-il concrètement de ces changements pour les projets d’IA ? Ces modifications au paragraphe 5506(1) ne visent pas les applications d’IA (algorithmes, modèles, données), mais plutôt : des équipements liés à la lithographie par ultraviolets extrêmes (EUV), nommément les masques et réticules permettant d’utiliser cette technologie pour fabriquer des circuits intégrés de pointe; des équipements cryogéniques et amplificateurs ultra-sensibles destinés aux ordinateurs quantiques; des matériaux semi-conducteurs avancés; des logiciels de développement et de production en lien avec certaines des technologies précédentes2. Autrement dit, ce paragraphe cible la boîte à outils industrielle qui permet de fabriquer des ordinateurs avancés, notamment par l’inclusion de la lithographie EUV qui est utilisée pour des circuits intégrés de pointe, ainsi que les calculateurs quantiques qui bouleversent le monde du calcul de pointe. On peut ainsi dire que ces règles touchent le secteur de l’IA en raison d’une certaine forme de dépendance matérielle, car un contrôle étroit de ces technologies de fabrication d’infrastructure influe nécessairement sur la capacité d’un pays ou d’une entreprise à développer et à faire fonctionner une IA avancée. En somme, ces derniers changements emboîtent le pas à ceux du Décret de l’année précédente, qui portaient une attention particulière sur les domaines de l’informatique quantique et de la fabrication de semiconducteurs avancés (les GAAFET, qui représentent les circuits intégrés de prochaine génération)3. Pour un projet d’IAg typique (développement de modèles, services SaaS d’IA, etc.), l’effet de ces décrets demeure indirect. Les répercussions plus directes concernent davantage les fournisseurs de matériel de calcul avancé et les entreprises faisant de la R&D au niveau des semiconducteurs, des circuits intégrés et du calcul quantique. L’avis aux exportateurs n°1159 Outre les composantes techniques néanmoins, une certaine complexité s’installe dès lors que l’on comprend qu’une « technologie » ciblée par les contrôles à l’exportation au sens de la loi s’entend largement, en couvrant également des données techniques, de l’assistance technique et des renseignements nécessaires à la mise au point, à la production ou à l’utilisation d’un article figurant sur la LMTEC. En d’autres termes, la portée des technologies visées dépasse les simples composantes ou équipements physiques. Cela est d’autant plus vrai considérant la prolifération des solutions infonuagiques souvent transfrontalières, qui favorisent la dématérialisation et la circulation de connaissances techniques à grande échelle. Dans ce cadre, il convient de consulter les Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage (l’avis aux exportateurs n°1159) publiées en novembre 2025 par le Gouvernement du Canada. Ces lignes directrices ont été conçues dans l’optique de clarifier les cas où l’utilisation de services infonuagiques constitue un transfert de technologie contrôlée au sens de la LLEI nécessitant une licence4. Résumées brièvement, les lignes directrices indiquent que : il y peut y avoir transfert d’une technologie contrôlée si celle-ci est divulguée d’un lieu situé au Canada vers une destination étrangère; une technologie contrôlée est divulguée si elle est envoyée du Canada et stockée à l’étranger d’une manière qui crée une possibilité raisonnable qu’une personne située à l’extérieur du Canada soit en mesure de l’examiner; une possibilité raisonnable signifie plus qu’une simple possibilité, mais moins que la norme selon laquelle la possibilité est « plus probable qu’improbable »; l’emplacement des serveurs hébergeant les technologies contrôlées n’a d’importance que si elle a une incidence sur la possibilité raisonnable que la technologie soit divulguée à l’extérieur du Canada; en général, il peut y avoir transfert lorsqu’une personne située à l’étranger détient des clés de déchiffrement ou des droits d’accès de routine qui créent plus qu’une faible possibilité que la technologie soit examinée, ou lorsqu’un fournisseur de services infonuagiques crée une copie de sauvegarde non chiffrée, utilisée pour remettre les systèmes en fonction après un incident, et qui contient des technologies soumises à des contrôles et que cette copie est stockée sur des serveurs situés à l’étranger où des administrateurs étrangers peuvent y accéder; lorsque des services infonuagiques sont utilisés, le propriétaire de la technologie contrôlée et le fournisseur de services infonuagiques doivent tous deux observer un certain degré d’attention et de contrôle de la technologie. Ainsi, il existerait non seulement un risque de partage de connaissances en lien avec des articles directement listés à la LMTEC (que ce soit pour leur fabrication ou autrement), mais également une possibilité d’enfreindre les contrôles d’exportation en raison de l’interaction entre des services infonuagiques et les connaissances qui pourraient être transférées (au sens qui précède), si l’infonuagique comporte de l’information ou est relative à des technologies visées par les restrictions à l’exportation. Considérations sur l’IAg Qu’en est-il des projets d’IAg dans tout cela ? Malgré ce qui précède, ces projets demeurent sujets à des répercussions indirectes qui ne touchent pas seulement des composantes de haute voltige technique. Vos projets d’IAg commanderont une certaine prudence de conformité en raison des quantités de renseignements qu’ils peuvent engranger par l’intermédiaire des différentes strates de leur constitution. Les données d’entraînement  Ce sont les données utilisées avant que l’IAg ne soit déployée pendant sa phase d’apprentissage. Ces données peuvent être massives, structurées ou non, pour fournir une base de connaissances au modèle et lui permettre de produire des sorties (outputs) pertinentes lorsque des entrées (inputs) lui seront données. Cette phase est à risque si les jeux de données contiennent de l’information technique contrôlée et que ces données peuvent être régurgitées ou combinées lors de l’utilisation de l’IAg par les utilisateurs. Les poids (weights), filtres, et autres paramètres de fonctionnement de l’IAg  Ces paramètres sont comme des « boutons de réglage » ajustés lors de l’entraînement de l’IAg et lors de la configuration de la solution qui l’utilise. Ils déterminent à quel point chaque élément de l’entrée influencera la réponse et peaufinent le modèle (c’est-à-dire, la structure qui permet à l’IAg d’interpréter les entrées et de générer les sorties). Aux États-Unis, les poids demeurent notamment au cœur de l’actualité de sa propre politique d’exportation où ils peuvent constituer des paramètres essentiels aux modèles d’IA les plus avancés. Les entrées (inputs)  Ce sont les données fournies par les utilisateurs pour générer les sorties pertinentes (ex. textes, images, données structurées) lorsque l’IAg est déjà déployée. Ces données ont pour but de déclencher une réponse ou un comportement du modèle. À l’instar des données d’entraînement, les entrées seront critiques selon l’utilisation faite et les renseignements divulgués pour obtenir une réponse. Des conditions cohérentes avec les exigences légales devront être prévues pour éviter que le modèle ne soit contaminé par des données sensibles a posteriori, surtout si celui-ci garde en mémoire toutes les entrées fournies pour continuer son apprentissage. Les sorties (outputs)  C’est ce que l’IAg génère à la suite d’une entrée et qui peut prendre la forme d’une réponse textuelle ou d’une image, d’un code, ou encore de prévisions basées sur les données. Compte tenu de ce qui a été décrit précédemment, il devient évident que les sorties puissent présenter des enjeux selon l’ensemble des données véhiculées par l’IAg. Les sorties pourraient ainsi permettre d’obtenir indirectement de l’information qu’il ne serait autrement pas permis d’obtenir directement. Conclusion Il semble aisé de concevoir que les récentes modifications apportées aux contrôles de l’exportation au Canada ne sont qu’un balbutiement qui promet de répondre à de nouvelles préoccupations dans le contexte d’une technologie rapidement évolutive et toujours plus performante. Ces contrôles ne sont pas dénués d’un contexte diplomatique. Pour l’heure, le parti du contrôle semble le mécanisme préconisé pour juguler les pouvoirs exponentiels de l’IA au Canada dans une mesure qui reste encore à découvrir et à suivre. Gouvernement du Canada, « Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée : DORS/2025-89 » (le 7 mars 2025) : La Gazette du Canada, Partie 2, volume 159, numéro 7 : Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée Il ne s’agit pas ici d’une liste exhaustive, mais plutôt de quelques exemples pertinents au calcul avancé. Gouvernement du Canada, « Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée : DORS/2024-112 » (le 31 mai 2024) : La Gazette du Canada, Partie 2, volume 158, numéro 13 : Décret modifiant la Liste des marchandises et technologies d’exportation contrôlée Gouvernement du Canada, « Avis aux exportateurs n°1159 - Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage » (modifié le 10 novembre 2025) : Avis aux exportateurs no 1159 - Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage