CLOUD Act et Loi 25 : le risque caché des outils IA américains
· 7 min de lecture · Gouvernance IA
En juin 2026, un sous-ministre québécois qualifie de « dépendance toxique » le recours aux fournisseurs américains. Voici pourquoi le CLOUD Act complique l'usage de ChatGPT, Gemini et Claude au regard de la Loi 25, et comment un dirigeant peut réduire son exposition.
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine de 2018 qui autorise les autorités des États-Unis à contraindre une entreprise américaine à remettre les données qu'elle détient, peu importe le pays où ces données sont stockées. En juin 2026, cet enjeu est devenu concret au Québec : le sous-ministre à la Cybersécurité et au Numérique, Stéphane Le Bouyonnec, a qualifié de « dépendance toxique » le recours de l'État aux grands fournisseurs américains (Radio-Canada, 2 juin 2026).
La question n'est pas théorique pour les organisations qui adoptent l'intelligence artificielle (IA). ChatGPT (OpenAI), Gemini (Google) et Claude (Anthropic) reposent sur des entités et des infrastructures majoritairement établies aux États-Unis. Dès qu'un employé y verse des renseignements personnels de clients ou de collègues, l'organisation transfère ces données vers un environnement soumis au CLOUD Act, ce qui déclenche des obligations précises au titre de la Loi 25 québécoise.
Pourquoi le CLOUD Act entre-t-il en conflit avec la Loi 25 ?
Le nœud du problème tient à l'article 17 de la Loi 25 sur la protection des renseignements personnels dans le secteur privé. Cet article exige qu'un renseignement communiqué à l'extérieur du Québec bénéficie d'une protection équivalente à celle prévue par la loi, après une évaluation des facteurs relatifs à la vie privée (LégisQuébec, Loi 25).
Or, une plateforme soumise au CLOUD Act peut être forcée de divulguer des données à une agence américaine sans que la personne concernée, l'organisation ou même la province en soient avisées. Selon Stéphane Le Bouyonnec, « les demandes peuvent être faites sans que le pays ou la province soit avisé » (Radio-Canada, 2 juin 2026). Cette possibilité d'accès unilatéral rend difficile la démonstration d'une protection équivalente, condition posée par l'article 17.
Quels outils IA sont concernés ?
Sont visés les services d'IA générative dont la société mère ou l'infrastructure relève du droit américain, même lorsqu'ils offrent un hébergement au Canada. La Commission d'accès à l'information (CAI) rappelle qu'un centre de données situé au Canada ne suffit pas à écarter le CLOUD Act si le fournisseur reste une entreprise américaine.
Le risque dépasse la seule confidentialité. Radio-Canada rapporte qu'en août 2025, des sanctions américaines ont coupé des juges de la Cour pénale internationale (CPI) de services comme Microsoft Teams, de leurs cartes de crédit et de plateformes comme Amazon et Uber (Radio-Canada, 2 juin 2026). Cet épisode illustre un risque de continuité des affaires, distinct de la fuite de données : la possibilité qu'un accès à un outil critique soit suspendu par une décision étrangère.
Quatre risques concrets pour une organisation québécoise
Pour un dirigeant, le sujet se traduit en risques mesurables plutôt qu'en principes abstraits :
- Divulgation non notifiée. Une agence américaine peut obtenir des données via le CLOUD Act sans avis préalable, ce qui prive l'organisation de tout contrôle sur la communication.
- Non-conformité à l'article 17. L'absence de protection équivalente démontrable expose à des ordonnances de la CAI et à des sanctions pécuniaires.
- Sanctions financières lourdes. La Loi 25 prévoit des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et des amendes pénales jusqu'à 25 millions ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé (LégisQuébec, Loi 25).
- Rupture de service. Une décision politique ou une sanction étrangère peut suspendre l'accès à un outil hébergé aux États-Unis, comme l'a montré l'incident de la CPI en août 2025.
Comment réduire l'exposition en 2026 ?
La réponse n'est pas de bannir tout outil américain, mais de gouverner leur usage. Le point de départ reste l'évaluation des facteurs relatifs à la vie privée (EFVP), obligatoire avant tout transfert hors Québec de renseignements personnels. Elle permet de documenter les risques, d'identifier les données sensibles et de justifier ou d'écarter chaque outil.
Trois leviers complètent cette démarche. D'abord, minimiser les données : ne jamais verser de renseignements personnels identifiables dans un service d'IA public. Ensuite, privilégier des offres à résidence et à contrôle canadiens quand les données sont sensibles, une orientation que suit le gouvernement du Québec dans sa stratégie de souveraineté numérique. Enfin, encadrer l'usage par une politique claire et un diagnostic de maturité IA qui situe l'organisation avant tout déploiement. Le rapport quinquennal 2026 de la CAI, déposé à l'Assemblée nationale, confirme que la surveillance de ces transferts s'intensifie.
Questions fréquentes
Utiliser ChatGPT ou Claude est-il interdit par la Loi 25 ?
Non, aucun outil n'est interdit en soi. La Loi 25 encadre le transfert de renseignements personnels hors Québec. Un usage sans données personnelles identifiables, ou après une évaluation des facteurs relatifs à la vie privée documentée, reste possible. Le risque naît du versement de données sensibles dans un service soumis au CLOUD Act.
Un hébergement canadien suffit-il à respecter la Loi 25 ?
Non. Selon la Commission d'accès à l'information, un centre de données au Canada n'écarte pas le CLOUD Act si le fournisseur est une entreprise américaine. Les autorités américaines peuvent exiger l'accès aux données quelle que soit leur localisation physique, ce qui fragilise la démonstration d'une protection équivalente.
Quelles sanctions risque une entreprise québécoise non conforme ?
La Loi 25 prévoit des sanctions administratives jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et des amendes pénales jusqu'à 25 millions ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. La Commission d'accès à l'information cible en priorité les défaillances systémiques de gouvernance.
Qu'est-ce que le CLOUD Act en pratique ?
Le CLOUD Act est une loi américaine de 2018 permettant aux autorités des États-Unis d'obtenir des données détenues par une entreprise américaine, où qu'elles soient stockées. Il s'applique aux grands fournisseurs de cloud et d'IA, ce qui crée un conflit direct avec les exigences de transfert de la Loi 25 québécoise.
Sources
- Radio-Canada, « CLOUD Act : un sous-ministre s'inquiète de la "dépendance toxique" du Québec », 2 juin 2026 : https://ici.radio-canada.ca/rci/fr/nouvelle/2257365/cloud-act-sous-ministre-inquiet-quebec-donnees
- LégisQuébec, Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25), articles 17, 90 et 91 : https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1
- Commission d'accès à l'information du Québec, protection des renseignements personnels et Loi 25 : https://www.cai.gouv.qc.ca/
- La Presse Affaires, « Votre recours à l'IA au boulot pourrait être illégal », 1 mai 2026 : https://www.lapresse.ca/affaires/2026-05-01/entorse-possible-a-la-loi-25/votre-recours-a-l-ia-au-boulot-pourrait-etre-illegal.php
- U.S. Department of Justice, Clarifying Lawful Overseas Use of Data Act (CLOUD Act) : https://www.justice.gov/criminal/criminal-oia/cloud-act
Voir tous les articles