Le Québec a bâti l’un des dispositifs de protection des données les plus avancés au Canada. Mais face aux capacités des grands modèles de langage, ce dispositif repose sur des hypothèses que la technologie a déjà invalidées.
Quelque part au Québec, un comité d’éthique de la recherche examine un protocole. Un chercheur propose d’affiner un grand modèle de langage à partir de dizaines de milliers de dossiers cliniques. Le comité compte cinq membres : une bioéthicienne, un juriste spécialisé en droit de la santé, une médecin, un chercheur en sciences infirmières et un représentant communautaire. Cinq personnes compétentes, consciencieuses, animées par la volonté de protéger les patients.
Aucune d’entre elles n’a de formation en apprentissage automatique, en sécurité des modèles ou en cybersécurité computationnelle. Aucun texte normatif ne l’exige. Aucune formation recommandée ne l’offre.
Elles approuvent le protocole. Elles ont fait leur travail. La question est de savoir si ce travail, tel qu’il est défini aujourd’hui, suffit encore.
Le système tel qu’il est : des fondations solides pour un autre monde
Il existe au Québec un contrat social implicite autour des données de santé. Quand vous consultez un médecin, passez une IRM, recevez un diagnostic, vous confiez des informations parmi les plus intimes qui soient à un système qui promet de les protéger. Et ce système existe. Il est structuré, il est encadré, et il a produit des avancées réelles.
L’Énoncé de politique des trois conseils — l’ÉPTC 2, dans sa version de 2022 — constitue le cadre normatif central pour l’éthique de la recherche au Canada. Il régit les comités d’éthique de la recherche (CER) et impose des principes puissants : proportionnalité des risques, minimisation, consentement éclairé. Ces principes sont génériques par conception — ils visent à couvrir l’ensemble des méthodologies de recherche, y compris celles qui n’existaient pas au moment de la rédaction. En théorie, un CER peut invoquer la proportionnalité pour exiger qu’un chercheur démontre que son modèle d’IA ne mémorisera pas de séquences identifiantes. En théorie.
Le Québec a complété cet édifice par un arsenal législatif récent et, sur plusieurs plans, pionnier au Canada. La Loi 25, en vigueur depuis septembre 2024, a renforcé considérablement la gouvernance des données personnelles : transparence accrue, sanctions pouvant atteindre 25 millions de dollars. La Loi sur les renseignements de santé et de services sociaux (LRSSS) a créé un cadre juridique spécifique à la circulation des données de santé. Le Règlement sur l’anonymisation, en vigueur depuis mai 2024, fait du Québec le premier territoire au Canada à encadrer spécifiquement ces pratiques. Les évaluations des facteurs relatifs à la vie privée (EFVP) sont obligatoires pour les projets impliquant des données sensibles.
Les choses bougent aussi du côté institutionnel. Le MSSS a publié un Plan directeur sur l’IA en santé 2024-2027 qui reconnaît l’importance de la gouvernance responsable. La Commission d’accès à l’information (CAI) a commencé à intégrer, dans ses évaluations, une analyse des risques d’inférence par capacités computationnelles. Certains CER québécois, de leur propre initiative, ont commencé à inviter des experts en informatique à titre consultatif pour les protocoles impliquant l’IA.
Ce n’est pas de l’inaction. C’est un système en transition. La question — la vraie question — est de savoir si cette transition est assez rapide face à ce que la technologie est devenue.
Ce que l’IA a changé : quand le risque mute
Pour comprendre l’urgence, il faut mesurer l’ampleur du décalage. Ce n’est pas une question d’ajustements à la marge. C’est un changement de nature du risque.
Un clinicien qui consulte un dossier patient agit sur des données isolées, dans un contexte défini, avec une mémoire humaine limitée. Un grand modèle de langage entraîné sur des millions de dossiers ne consulte pas : il apprend. Il établit des corrélations transversales entre des variables que personne n’aurait pensé à croiser. Cette différence n’est pas quantitative — elle est qualitative.
Les chiffres sont sans appel. GPT-4 atteint une précision de 84 % — et jusqu’à 95 % dans ses trois meilleures hypothèses — pour déterminer des attributs personnels sensibles (âge, sexe, localisation, état de santé) à partir de texte apparemment anodin. Dans certaines configurations, plus de 50 % d’un jeu de données utilisé pour affiner un modèle peut être extrait verbatim. La déidentification protégeait les patients quand les outils de réidentification étaient primitifs. Le bouclier est resté le même ; l’arme a changé.
Une taxonomie entière de nouvelles menaces s’est développée. On peut désormais déterminer si le dossier d’un patient spécifique faisait partie des données d’entraînement d’un modèle — c’est ce qu’on appelle un test d’appartenance, avec des taux de précision atteignant 0,9 dans certains contextes cliniques. On peut reconstruire des données d’origine — y compris des images médicales — à partir des réponses du modèle, par une technique dite d’inversion. On peut extraire des séquences textuelles mot pour mot, incluant des noms, des diagnostics, des numéros d’identification.
Un fait particulièrement contre-intuitif : les modèles spécialisés en médecine affichent une vulnérabilité plus élevée aux requêtes malveillantes que les modèles généralistes. La spécialisation censée améliorer la pertinence clinique amplifie simultanément les risques de sécurité — probablement parce que le modèle apprend des corrélations plus fortes et plus spécifiques dans son domaine.
Certains répondront — et ils n’ont pas entièrement tort — que ces risques sont démontrés en laboratoire, sur des modèles génériques, et que la transposition directe aux modèles médicaux développés en contexte réglementé est plus nuancée. Le volume de données cliniques est souvent plus restreint, les mesures de sécurité plus avancées que celles des modèles grand public. C’est vrai. Mais la trajectoire est claire : ce qui était difficile — impossible, croyait-on — devient trivial. Ce qui était coûteux devient accessible. Ce qui était improbable devient systématique. Attendre qu’un incident québécois documenté confirme le risque, c’est confondre la preuve et la prudence.
Les gardiens : quand le texte normatif ne suit plus
L’ÉPTC 2 ne contient pas un seul mot sur l’intelligence artificielle, l’apprentissage automatique ou la cybersécurité. C’est le texte qui encadre la recherche sur l’IA en santé au Canada.
Ses défenseurs rétorqueront que c’est par conception : l’ÉPTC 2 est écrit en principes généraux (proportionnalité, minimisation, consentement) qui s’appliquent à toute méthodologie de recherche, y compris l’IA. C’est un argument qui se vaut. Mais un principe général ne remplace pas une compétence spécifique. La proportionnalité permet en théorie de refuser un projet mal conçu. Encore faut-il que les évaluateurs sachent identifier qu’il est mal conçu. Quand un chercheur soumet un protocole impliquant l’affinage d’un modèle de langage sur des données cliniques, la question n’est pas de savoir si le principe de proportionnalité existe. La question est de savoir si les personnes autour de la table ont les compétences pour évaluer si une technique d’anonymisation résiste aux attaques par inférence, si l’architecture du système introduit des canaux de fuite, ou si le modèle risque de mémoriser des séquences identifiantes.
La formation ne comble pas cette lacune. La formation FER-2022, recommandée par les trois organismes subventionnaires fédéraux, comprend environ quatre heures de contenu en ligne. Aucun module ne traite de l’IA, des modèles de langage, de la cybersécurité ou des risques d’inférence computationnelle. Cette formation n’est d’ailleurs pas obligatoire pour les membres des CER eux-mêmes.
La comparaison internationale est éclairante. Aucune juridiction majeure n’a encore mandaté formellement l’inclusion d’experts en IA dans les comités d’éthique. Le retard est partagé. Mais des initiatives émergent. Aux États-Unis, un sous-comité fédéral a publié des recommandations reconnaissant que les comités d’éthique manquent de compétences techniques pour évaluer les projets d’IA. Des universités développent des suppléments spécifiques. En Europe, des projets financés développent des formations ciblées. Au Canada, au niveau fédéral, aucune action formelle comparable n’a été documentée — même si, au Québec, des universités comme l’Université de Montréal et McGill ont commencé, depuis 2024, à développer leurs propres suppléments IA pour les demandes aux CER. Ce mouvement est réel, mais il est informel, inégal, et dépend de la bonne volonté locale.
Les précédents : une chronologie de la confiance mal placée
L’histoire de l’IA en santé est jalonnée d’épisodes où des institutions ont fait confiance à des systèmes qu’elles ne comprenaient pas pleinement. Ce ne sont pas des fables dystopiques. Ce sont des faits.
En 1997, une chercheuse du MIT a démontré que 87 % de la population américaine pouvait être identifiée de manière unique par trois variables seulement : date de naissance, sexe et code postal. Elle a réidentifié le gouverneur du Massachusetts à partir de données de santé prétendument anonymisées. Si trois variables suffisaient en 1997, que faut-il attendre d’un modèle capable d’en analyser des centaines simultanément ?
En 2015, Google DeepMind a obtenu l’accès aux données de 1,6 million de patients du système de santé britannique sans consentement adéquat. Le commissaire à l’information a conclu que l’hôpital partenaire avait violé la législation. Le cas illustre le glissement de périmètre : un projet de recherche initial qui se transforme en accès massif à des données non liées au périmètre annoncé.
En 2019, une étude publiée dans Science a révélé qu’un algorithme utilisé par des hôpitaux américains pour prioriser les soins présentait un biais racial systématique : à niveau de maladie égal, les patients noirs recevaient des scores de risque significativement inférieurs. L’algorithme utilisait les coûts de santé passés comme indicateur de la gravité future, reproduisant mécaniquement les inégalités d’accès aux soins.
Plus récemment, des chercheurs de Google Brain et de l’ETH Zurich ont démontré qu’il était possible d’extraire des centaines de séquences textuelles mot pour mot à partir de grands modèles de langage, incluant des noms, des numéros de téléphone, des adresses. Des gigaoctets de données peuvent être extraits de modèles récents.
Le fil conducteur n’est pas la malveillance. C’est la confiance — la confiance d’institutions qui ont approuvé, déployé ou toléré des systèmes dont elles ne mesuraient pas les risques. Ce pattern se reproduit aujourd’hui dans un contexte où les enjeux sont plus élevés.
Ce que nos tribunaux ont compris — et ce qu’ils n’ont pas encore vu venir
La jurisprudence québécoise révèle un système juridique qui a développé des réflexes solides face aux intrusions dans les données sensibles. Ces réflexes sont précieux. Mais ils ont été façonnés par un monde où les menaces étaient ponctuelles, individuelles et traçables.
En 2026, le Tribunal administratif du travail a conclu qu’un employeur s’était approprié un dossier médical complet qui ne lui était pas destiné. Le tribunal a souligné qu’il existait des moyens moins intrusifs — un résumé par le médecin-conseil plutôt que la captation du dossier complet. C’est exactement la logique de minimisation qu’il faudrait transposer à l’IA. Si le droit exige la minimisation pour un employeur qui consulte un seul dossier, quelle exigence devrait s’appliquer à un modèle entraîné sur des millions ?
En 2014, un arbitre québécois a accepté des outils de surveillance GPS sur des véhicules de travail — mais seulement en imposant six conditions cumulatives : finalité étroite, intrusion minimale, absence de conservation des traces, accès restreint, politique écrite, interdiction d’usage disciplinaire. Six conditions pour un GPS. En 2026, aucune exigence comparable n’encadre un modèle de langage entraîné sur des millions de dossiers médicaux.
Plusieurs décisions arbitrales récentes illustrent le traitement de la consultation illicite de dossiers médicaux par des employés du réseau de la santé. Le système sait penser en termes de personne fautive qui ouvre un dossier sans droit, découverte par journalisation informatique. Mais un grand modèle de langage change l’échelle : il ne « regarde » pas un dossier par curiosité — il absorbe des régularités sur des milliers de dossiers simultanément. Le droit de la vie privée au Québec repose sur une architecture de la traçabilité : qui a consulté quoi, quand, pourquoi. Et encore, les systèmes actuellement en place pour s’assurer de la journalisation ne garde aucune trace du pourquoi. On assume que le professionnel était de bonne foie et avait le droit d’accéder. Quand un modèle absorbe des régularités à travers un corpus entier, il n’y a plus de « consultation » à tracer. Il y a un apprentissage diffus, massif et irréversible.
La Cour d’appel du Québec, dans l’affaire Beaulieu c. Facebook, a soulevé la question de la responsabilité des biais algorithmiques — signal que les tribunaux voient déjà le problème. L’affaire Royer c. Capital One illustre le risque de dépendance aux tiers technologiques : une faille chez un sous-traitant a permis l’accès à des données confidentielles. Dans un monde où des modèles d’IA en santé sont souvent développés ou hébergés par des entreprises privées, ce précédent résonne.
La jurisprudence en matière de fuites de données révèle une autre difficulté structurelle : le « risque informationnel pur » — la simple détention non autorisée de données — ne constitue pas nécessairement un préjudice indemnisable. Or, l’IA transforme précisément ce risque en capacité concrète d’exploitation. Le droit répare mal un préjudice qu’il peine encore à nommer.
Ces trois principes traversent le corpus : l’accès à des renseignements médicaux doit être proportionné ; les technologies intrusives doivent être strictement finalisées et gouvernées ; les atteintes informationnelles sont difficiles à réparer. Ce sont d’excellents principes. Ils devraient s’appliquer avec une rigueur redoublée aux systèmes d’IA en santé. Le problème est qu’ils n’ont jamais été mis à l’épreuve du changement d’échelle que représentent les grands modèles de langage.
Les zones grises réglementaires : quand chaque texte est solide et que l’ensemble ne tient plus
Le Règlement sur l’anonymisation impose de démontrer que les risques résiduels de réidentification sont « très faibles ». Mais très faible par rapport aux capacités de 2020 ou à celles de 2026 ? Le texte ne le dit pas. La CAI a commencé à intégrer les risques computationnels dans ses évaluations — c’est un mouvement encourageant. Mais le Règlement lui-même ne fournit aucune guidance spécifique sur les techniques d’inférence propres aux grands modèles de langage.
La LRSSS introduit un consentement pouvant être implicite pour la recherche en santé. La question juridique qui en découle est vertigineuse : le consentement implicite du patient pour un soin médical couvre-t-il l’utilisation secondaire de ses données pour entraîner un modèle d’IA ? La loi ne tranche pas. Et il faut le reconnaître : cette zone grise pourrait aussi bien être interprétée de manière restrictive — le consentement au soin ne suffit pas pour l’IA — que de manière permissive. Une cour n’a pas encore tranché. Le silence est un risque pour tout le monde.
Les gabarits d’EFVP de la CAI n’intègrent pas encore les vecteurs d’attaque spécifiques aux grands modèles de langage : extraction de données d’entraînement, tests d’appartenance, inversion de modèle. L’outil préventif existe ; son calibrage est en retard sur la menace.
Et au-dessus de tout cela, le vide fédéral. Le projet de loi C-27 est mort au feuilleton en janvier 2025. En avril 2026, le Canada n’a toujours pas de loi fédérale spécifique à l’IA. Le Québec a une marge de manœuvre provinciale importante en matière de santé — il n’est pas obligé d’attendre Ottawa pour agir. Mais les organisations qui développent l’IA opèrent dans une mosaïque de lois générales dont aucune n’a été conçue pour encadrer l’entraînement de modèles de langage à partir de données cliniques.
Ce n’est pas un seul maillon qui est défaillant. C’est la chaîne entière qui n’a pas encore été recalibrée.
L’asymétrie d’expertise : quand le privé sait et le public encadre
Il y a un problème structurel que personne ne semble vouloir nommer : une concentration significative des experts en sécurité de l’IA travaille pour les entreprises qui développent les modèles, pas pour les institutions qui les autorisent.
Le Québec n’est pas un désert en IA — loin de là. MILA, l’Université de Montréal, McGill comptent des chercheurs de renommée mondiale. Mais l’expertise en sécurité des modèles, en attaques adverses, en extraction de données d’entraînement — cette expertise de pointe est massivement concentrée dans les laboratoires d’Anthropic, d’OpenAI, de Google DeepMind, de Meta AI. Les institutions publiques québécoises — universités, hôpitaux, ministères, organismes de régulation — ne jouent pas dans la même ligue en termes de recrutement sur ce créneau spécifique.
Certains objecteront que les projets de recherche québécois en IA santé sont menés par des chercheurs académiques, pas par les géants technologiques, et que la dynamique de dépendance est donc différente. C’est en partie vrai. Mais à mesure que des systèmes d’IA commerciaux sont déployés dans les hôpitaux — pour le diagnostic, le triage, l’aide à la décision —, la question devient incontournable : les institutions qui autorisent ces déploiements ont-elles l’expertise pour en évaluer les risques de manière indépendante ?
L’épisode de Sidewalk Labs à Toronto a illustré cette dynamique : un quartier « intelligent » proposé par Alphabet, abandonné après des préoccupations majeures sur la gouvernance des données par un acteur privé. L’affaire DeepMind/NHS montre le même pattern. Quand l’expertise est concentrée du côté de celui qui développe, et que celui qui encadre en dépend pour évaluer le risque, la régulation risque de devenir une formalité plutôt qu’un contre-pouvoir.
Ce qu’il faudrait faire : cinq chantiers urgents
Ce texte n’est pas un réquisitoire. C’est un appel à l’accélération. Le Québec a les fondations. Il a les principes juridiques, les institutions et — chose rare — une culture de protection des données qui fait l’envie du reste du Canada. Mais les fondations ne suffisent plus si l’édifice n’est pas mis à jour. Voici cinq chantiers qui pourraient être engagés rapidement.
Premièrement, intégrer l’IA dans les cadres normatifs. L’ÉPTC 2 doit être complété par une guidance spécifique sur l’évaluation des risques liés aux grands modèles de langage. Des universités américaines ont développé des suppléments IA pour les demandes aux comités d’éthique. Des institutions québécoises ont commencé à faire de même, mais de manière informelle. Il faut formaliser ce mouvement et le rendre obligatoire.
Deuxièmement, renforcer les CER. Pas en remplaçant les bioéthiciens et les juristes — leur expertise reste indispensable — mais en mandatant l’accès à une expertise en sécurité des modèles pour tout protocole impliquant l’IA. Cela pourrait prendre la forme d’un consultant externe, d’un expert invité ou d’un réseau mutualisé entre institutions.
Troisièmement, mettre à jour la formation. La formation FER doit intégrer, avant la fin de 2026, un module substantiel sur les risques computationnels de l’IA en santé : mémorisation, inférence, extraction, opacité. Quatre heures sans un mot sur l’IA, en 2026, c’est un anachronisme.
Quatrièmement, clarifier les zones grises juridiques. La LRSSS doit trancher la question du consentement pour l’entraînement de modèles d’IA. Le Règlement sur l’anonymisation doit calibrer son seuil de « risque très faible » à la lumière des capacités computationnelles actuelles. Les gabarits d’EFVP doivent intégrer les vecteurs d’attaque propres aux grands modèles de langage. Mieux vaut que le gouvernement clarifie ces points que d’attendre qu’un tribunal soit forcé de le faire dans l’urgence d’un litige.
Cinquièmement, accélérer les travaux en cours. Le groupe de travail interministériel sur l’IA responsable, le Plan directeur du MSSS, les travaux de la CAI — ces initiatives existent et méritent d’être reconnues. Mais elles doivent déboucher sur des règles contraignantes, pas seulement sur des réflexions. La question est simple : à quelle vitesse ces réflexions se traduiront-elles en obligations ?
Ce que cela signifie : entre la fausse assurance et l’action
Rassemblons les pièces.
Des comités d’éthique dont aucun texte n’exige qu’ils comprennent l’IA, même si certains s’adaptent. Des lois pionnières mais calibrées sur les risques d’une époque antérieure. Des gabarits d’évaluation en cours de révision mais pas encore à jour. Un vide fédéral béant. Une concentration de l’expertise en sécurité du côté de ceux qui développent les modèles. Et, en face, des modèles capables d’inférer des attributs personnels avec 84 à 95 % de précision, de mémoriser et restituer des données d’entraînement, de reconstituer des images médicales à partir de leurs propres sorties.
Il n’y a pas, à ce jour, de cas documenté public où un grand modèle de langage entraîné sur des données de santé québécoises a causé une fuite de données patient. Le risque est démontré en laboratoire et dans d’autres contextes ; l’extrapolation au Québec est raisonnable mais reste une extrapolation. C’est précisément pour cela qu’il faut agir maintenant — avant que la preuve ne se fasse aux dépens d’un patient.
Si les évaluateurs ne comprennent pas les risques, leur approbation ne protège personne — elle rassure. L’approbation éthique devait être un garde-fou. Quand l’évaluateur ne comprend pas le risque, elle devient un dispositif de légitimation. Le tampon n’est pas vide — les CER font un travail rigoureux dans leur domaine de compétence. Mais ce domaine s’est élargi au-delà de ce que les textes et les formations leur permettent d’évaluer.
Il ne s’agit pas de jeter la pierre à quiconque. Les membres des CER ne sont pas négligents. Le gouvernement n’est pas inerte. Le Québec n’est pas en retard par laxisme — il est en transition. Mais une transition à la vitesse des cycles de révision institutionnels ne suffit pas quand la technologie évolue par cycles de mois. Le Québec a les outils, les principes et l’expertise pour devenir un leader en gouvernance éthique de l’IA en santé. Il ne lui manque que l’urgence.
Le problème n’est pas que nos institutions soient incompétentes. Le problème est que le risque a changé de nature — et que le système qui nous protège n’a pas encore fini de s’en rendre compte. La bonne nouvelle, c’est qu’il a commencé. La mauvaise, c’est que l’IA, elle, n’attend pas.
Jurisprudence citée :
- Cardinal c. Centre de services scolaire Marguerite-Bourgeoys, 2026 QCTAT 436 (AZ-52189463) — captation disproportionnée d’un dossier médical
- Travailleurs québécois de la pétrochimie, section locale 194 c. Énergie Valero, 2014 QCTA 78 (AZ-51045904) — encadrement strict des technologies de surveillance (GPS)
- Syndicat des infirmières… c. CISSS de la Gaspésie, 2022 QCTA 190 — consultation illicite de dossiers médicaux
- Syndicat des travailleuses et travailleurs… c. CISSS de Lanaudière, 2022 QCTA 397 — consultation illicite de dossiers médicaux
- APTS c. CIUSSS Mauricie–Centre-du-Québec, 2022 QCTA 499 — consultation illicite de dossiers médicaux
- Syndicat… c. CISSS de Lanaudière, 2023 QCTA 473 — consultation illicite de dossiers médicaux
- Beaulieu c. Facebook inc., 2022 QCCA 1736 — responsabilité des biais algorithmiques
- Royer c. Capital One Bank (Canada Branch), 2025 QCCA 217 (AZ-52099741) — fuite de données et dépendance aux tiers technologiques
- Li c. Equifax inc., 2019 QCCS 4340 — fuites de renseignements personnels
- Lévy c. Nissan Canada inc., 2019 QCCS 3957 — fuites de renseignements personnels
- Zuckerman c. Target, 2017 QCCS 110 — fuites de renseignements personnels.
