La LPRPDE, la Loi 25 du Québec et la question de l'hébergement des données que chaque entreprise canadienne se pose sur l'IA

Toute entreprise canadienne qui évalue sérieusement un outil d'examen par IA finit par se poser la même question. Où vont réellement nos données, et qui peut y accéder une fois qu'elles ont quitté nos mains ? Cette question ne relève pas de la paranoïa. Il s'agit d'une diligence professionnelle. Le secret professionnel, la confidentialité des clients et l'exposition réglementaire dépendent tous de la réponse. Pour les équipes de soutien au litige et les avocats qui s'appuient sur elles, la résidence des données est souvent le facteur décisif, avant même la rapidité ou l'exactitude de l'outil. Cet article aborde cette préoccupation de front, en se référant aux deux lois que les cabinets canadiens invoquent le plus souvent : la LPRPDE et la Loi 25 du Québec. Nous expliquerons également comment un modèle intégré à Nuix modifie le calcul en conservant vos documents dans l'environnement que vous contrôlez déjà.

Ce que la LPRPDE requiert réellement

La loi fédérale sur la protection des renseignements personnels et les documents électroniques n'interdit pas l'envoi de renseignements personnels au-delà des frontières. Ce qu'elle exige, c'est la responsabilité. En vertu de la LPRPDE, une organisation demeure responsable des renseignements personnels même après leur transfert à un tiers pour traitement. Vous ne pouvez pas vous soustraire à cette obligation en sous-traitant simplement le travail. Le Commissariat à la protection de la vie privée soutient depuis longtemps qu'un transfert à des fins de traitement doit s'accompagner d'un niveau de protection comparable, contractuel ou autre, quel que soit l'endroit où les données aboutissent.

Pour la plupart des cabinets, la préoccupation pratique n'est pas le transfert en soi, mais la loi étrangère qui s'applique aux données une fois qu'elles sont arrivées à destination. Lorsque des documents de clients sont transférés vers le nuage d'un fournisseur situé dans une autre juridiction, ils s'exposent au régime de divulgation obligatoire de cette juridiction. C'est l'aspect auquel les avocats ne peuvent se soustraire par contrat, et c'est ce qui fait de la résidence des données une question professionnelle cruciale plutôt qu'une simple note de bas de page en matière d'approvisionnement.

La Loi 25 du Québec place la barre plus haut

La Loi 25 du Québec va plus loin que la LPRPDE sur un point crucial. Avant de communiquer des renseignements personnels à l'extérieur de la province, une organisation doit mener une évaluation des facteurs relatifs à la vie privée. Cette évaluation soupèse la sensibilité des renseignements, la finalité de leur utilisation, les mesures de protection en place et le cadre juridique de la juridiction de destination. Si l'évaluation démontre que les renseignements ne bénéficieraient pas d'une protection adéquate, le transfert ne doit pas avoir lieu.

Pour un cabinet québécois, ou tout cabinet traitant des données de résidents du Québec, cette évaluation n'est pas une simple formalité administrative. Il s'agit d'une décision documentée qui pourrait être révisée ultérieurement. Un outil d'IA qui achemine des documents vers des serveurs situés dans un autre pays vous oblige à mener et à défendre cette analyse pour chaque dossier. Un outil qui ne déplace jamais les données hors de votre environnement élimine en grande partie la question avant même qu'elle ne se pose.

Le problème du transfert transfrontalier

La raison d'être de ces lois est concrète. Les données sont généralement soumises aux lois du lieu où elles se trouvent physiquement. Plusieurs lois étrangères confèrent aux autorités un large pouvoir d'exiger la divulgation d'informations auprès des entreprises situées dans leur champ d'application, parfois indépendamment de l'emplacement des serveurs. Pour les documents protégés par le secret professionnel de l'avocat, il s'agit d'une exposition inacceptable, car dès qu'une autorité étrangère peut accéder aux documents, la confidentialité sur laquelle comptait votre client n'est plus entièrement entre vos mains.

De nombreux outils d'IA d'usage général sont conçus comme des logiciels-services (SaaS). Vous téléchargez les documents vers le fournisseur, l'infrastructure de celui-ci les traite, et le résultat vous est retourné. Cette architecture est pratique, mais elle signifie que les documents les plus sensibles de votre client résident désormais, même brièvement, dans un système qui ne vous appartient pas et dans une juridiction que vous n'avez peut-être pas choisie. Nous avons abordé les fondements de cette préoccupation dans notre précédent article sur la souveraineté des données et les raisons pour lesquelles les organisations canadiennes choisissent l'IA canadienne, et cela reste le point de départ de toute évaluation sérieuse.

Comment un modèle intégré à Nuix maintient les données sur place

C'est ici que le modèle d'intégration importe plus que n'importe quelle liste de fonctionnalités. Claira n'est pas une destination distincte vers laquelle vous envoyez des documents. Elle fonctionne comme une couche d'analyse par IA à l'intérieur de Nuix Discover, la plateforme que votre équipe utilise et régit déjà. Lorsque Claira analyse un document, ce dernier reste dans votre base de données Nuix Discover. L'analyse s'effectue sur le texte qui s'y trouve déjà, et les résultats, y compris les champs codés et les justifications écrites, sont réenregistrés dans Nuix Discover, là où vos réviseurs s'attendent à les trouver.

L'effet pratique est que la question de la résidence des données est résolue par votre propre infrastructure existante plutôt que par le nuage d'un nouveau fournisseur. Si votre environnement Nuix se trouve dans un centre de données canadien, votre examen se déroule dans ce centre de données canadien. Il n'y a pas de lac de données distinct chez un fournisseur tiers qui accumulerait des copies des documents de votre client, et il n'y a pas de transfert transfrontalier à justifier dans une évaluation des facteurs relatifs à la vie privée. Les fonctionnalités sur lesquelles compte votre équipe, telles que Case Context, le codage objectif et la numérisation en lot, s'exécutent toutes au sein de cette même frontière, de sorte que l'adoption de l'IA ne signifie pas une refonte de la cartographie de vos données.

Bâtir un dossier défendable

La conformité ne concerne pas uniquement le lieu où se trouvent les données. Il s'agit également de pouvoir démontrer votre démarche. La même architecture qui maintient les documents en place produit également une piste de vérification. Étant donné que Claira enregistre son raisonnement directement dans Nuix Discover, chaque décision de codage s'accompagne d'une justification que vous pouvez lire, réviser et produire en cas de contestation. Ce registre soutient la responsabilité attendue par la LPRPDE et l'évaluation documentée requise par la Loi 25.

Pour obtenir des précisions sur le chiffrement, le traitement des données et la conformité, nous mettons à votre disposition une référence dédiée dans notre documentation sur la confidentialité et la sécurité, et nous encourageons les cabinets à la consulter en parallèle avec leurs propres politiques internes. Le but n'est pas de vous demander de nous croire sur parole, mais de vous fournir les détails que vos collègues responsables de la gestion des risques et de la conformité exigeront avant de donner leur approbation.

Où commencer

La résidence des données ne doit pas être l'obstacle qui freine la décision d'adopter l'IA. Pour la plupart des cabinets canadiens, la meilleure approche consiste à se demander si un outil conserve le traitement au sein de l'environnement auquel vous faites déjà confiance. Si c'est le cas, il devient beaucoup plus facile de satisfaire aux exigences de responsabilité de la LPRPDE et aux évaluations de la Loi 25, car les données ne franchissent jamais les limites de sécurité que vous avez déjà établies.

Si votre cabinet évalue actuellement des solutions d'IA pour l'examen de documents et que la question de la résidence des données est celle qui vous retient, c'est précisément le genre de discussion qu'il convient d'avoir dès le départ. Vous pouvez réserver une séance de travail avec nous afin d'examiner comment le modèle intégré à Nuix s'adapte à votre environnement spécifique et à vos obligations particulières. La bonne réponse à la question « où vont nos données » devrait être simple. Avec la bonne architecture, elle l'est : les données restent là où elles se trouvent déjà.