"Je suis désolé, Big Tech me suggère que vous êtes coupable."

Cet article est en réponse à cet article de La Presse: https://www.lapresse.ca/dialogue/chroniques/2025-10-06/bientot-pres-de-chez-vous-un-juge-assiste-par-l-ia.php

Ce que dit (officiellement) le projet pilote québécois

La Cour supérieure a publié un Cadre de gouvernance en matière d’IA (sept. 2025). On y lit : projet pilote d’« agents conversationnels » pour tâches administratives, linguistiques et documentaires; aucune assistance au processus décisionnel, refus des demandes hors cadre; hébergement exclusif au Canada dans un environnement sécurisé de type « bac à sable »; publication d’un rapport à l’hiver 2026. Le document rappelle explicitement le principe d’indépendance judiciaire et la prudence face aux hallucinations. Ces éléments valident les affirmations rapportées dans l’article partagé.

Conclusion provisoire : le pilotage est prudent et bien balisé. Mais le choix d’architecture compte autant que les garde-fous fonctionnels.

Où ça coince : architecture étrangère ≠ neutralité juridictionnelle

1) Extraterritorialité (CLOUD Act) : la juridiction l’emporte sur la géographie

Même si les données résident au Canada, un fournisseur soumis au droit américain peut être légalement contraint de produire des données (dans certaines conditions), via le CLOUD Act. Le DOJ le présente comme un mécanisme d’accès transfrontalier « pour crimes graves »; des analyses juridiques canadiennes rappellent que la localisation ne neutralise pas le contrôle exercé par un fournisseur américain — au mieux, il y a des mécanismes de « comity » mais pas de garantie absolue. Autrement dit : la dépendance à Microsoft reste une dépendance au droit américain.

Au Québec, la Loi 25 exige une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec et des protections contractuelles adéquates. Mais elle n’abolit pas le risque d’une requête étrangère visant un prestataire américain opérant ici.

Pour des tribunaux, c’est un problème d’indépendance fonctionnelle autant que de conformité : la chaîne de garde informationnelle ne doit pas dépendre d’un ordre étranger.

2) Surface d’attaque et incidents récents dans l’écosystème Microsoft

En 2023, des comptes de hauts responsables US ont été compromis via Exchange Online; en 2024, l’organe fédéral CSRB a publié un rapport très critique sur la posture de sécurité de Microsoft, jugeant l’attaque « évitable » et appelant à des réformes. Microsoft dit avoir renforcé ses pratiques, mais le constat public demeure préoccupant.

En 2024, une panne mondiale due à un correctif défectueux de CrowdStrike a mis à genoux des millions d’appareils Windows, illustrant la fragilité systémique d’un écosystème hyper-concentré autour de Windows/M365 dans les secteurs critiques (transport, banque, santé). Même si l’erreur vient d’un tiers, l’impact est amplifié par la dépendance à Microsoft sur l’ensemble de la chaîne.

Pour la justice, cela pose une question simple : peut-on tolérer qu’un incident logiciel sur une chaîne d’approvisionnement privée empêche les juges d’accéder à leurs outils de travail ou à leurs brouillons de jugement ?

3) Verrouillage technico-économique (lock-in)

Forrester (2025) et la presse spécialisée soulignent les risques de dépendance au cloud public américain : coûts de sortie élevés, formats/protocoles propriétaires, dépendance au rythme de roadmap d’un seul éditeur. Dans le secteur public, cette concentration fragilise la résilience et l’autonomie de décision.

Microsoft publie des engagements de résidence des données pour M365/Copilot et des contrôles de protection « enterprise ». C’est positif, mais contractuel et opéré par l’éditeur lui-même; ce n’est pas une garantie contre une contrainte légale extraterritoriale, ni une assurance d’opérabilité en totale autonomie par l’institution judiciaire.

Pourquoi c’est aussi une question d’indépendance judiciaire

L’indépendance judiciaire (individuelle et institutionnelle) implique que les décisions et le fonctionnement des tribunaux demeurent à l’abri d’influences externes — ce qui inclut les dépendances opérationnelles à des tiers. Les Lignes directrices du Conseil canadien de la magistrature (2024) encadrent l’usage de l’IA et insistent : pas de délégation du pouvoir décisionnel et vigilance sur l’intégrité du système. Ajouter une dépendance critique à un fournisseur étranger soumis à d’autres lois, c’est créer une zone grise entre « administration » et « influence externe ». 

Contre-exemples inspirants : l’option « cloud de confiance » (SecNumCloud)

En Europe, des modèles « opérés localement » émergent pour neutraliser l’extraterritorialité (ex. Bleu : Microsoft 365/Azure exploités par Orange + Capgemini sous supervision française; S3NS : Google Cloud opéré par Thales, certification SecNumCloud visée). Ce sont des architectures où l’opérateur et le contrôle opérationnel/juridique sont nationaux, même si une brique technologique américaine est utilisée. Ce n’est pas parfait, mais c’est nettement plus souverain qu’une simple localisation. 

À l’inverse, l’actualité récente rappelle que Microsoft a reconnu publiquement ne pas pouvoir garantir la protection totale des données EU contre une injonction américaine — ce qui alimente, en Europe, la préférence pour des architectures opérées localement (ou purement européennes). 

Vérification des faits (par rapport à l’article partagé)

• Usage pilote par ~20 juges, aide à la recherche/rédaction seulement, refus des requêtes sur l’issue du litige : confirmé par le Cadre de gouvernance (portée, restrictions, prudence, indépendance).
• Hébergement au Canada / bac à sable : également confirmé par le Cadre (données chiffrées, hébergées au Canada; environnement fermé; rapport public prévu à l’hiver 2026).
• Contexte de sécurité Microsoft : critiques formelles du CSRB (avril 2024) sur l’incident Exchange Online 2023; audition parlementaire américaine très tendue (juin 2024).
• Risque structurel d’extraterritorialité : documentations DOJ/analyses canadiennes (Osler).

Position Blue Fox

Nous condamnons le recours à une architecture étrangère pour l’IA judiciaire, car il est incompatible avec une approche robuste de souveraineté numérique et fragilise l’indépendance judiciaire. Peu importe la prudence des fonctionnalités, la dépendance de fond (juridique, opérationnelle, sécuritaire) demeure.

Recommandations concrètes (capables d’être mises en chantier dès maintenant) 

1. Option souveraine opérée localement
   Lancer un appel d’offres pour une plateforme d’IA opérée par un opérateur canadien sous droit canadien (société de droit québécois), au besoin sous licence d’une techno étrangère mais opérée ici (à la manière de Bleu/S3NS). Clauses : contrôle exclusif des clés, certifications canadiennes, plans d’isolement/désengagement, auditabilité complète.
2. Chaîne de données “zéro export” + chiffrement vérifiable
   Au-delà de l’adresse des serveurs, imposer des garde-fous cryptographiques (HSM en juridiction canadienne, séparation des rôles, journalisation inviolable), interdiction contractuelle d’acheminer prompts/réponses hors Canada, et droit d’inspection par un tiers indépendant. (Rappel : la résidence n’annule pas le CLOUD Act.)
3. Modèles ouverts et hybrides
   Étudier un mix modèles ouverts hébergés au Canada (pour les tâches internes à faible risque, ex. recherche de références, aides terminologiques) et services spécialisés (reconnaissance vocale, traduction) opérés localement. L’objectif : réduire le lock-in, garder la portabilité, et préserver la maîtrise de la pile technique.
4. Clause d’indépendance judiciaire dans tout contrat
   Intégrer expressément que tout arrêt de service, changement unilatéral, ou demande d’accès étrangère doit pouvoir être contesté et défendu par un opérateur canadien, avec plan de continuité ne dépendant pas du bon vouloir d’un éditeur étranger. Appuyer ces clauses sur la doctrine canadienne d’indépendance.
5. Transparence & reddition de comptes
   Publier (au moins sous forme agrégée) les journaux d’accès, les métriques d’hallucination, et les incidents liés aux agents IA, avec audits externes.

Mot de la fin

Le cadre actuel de la Cour supérieure est sérieux et rassurant sur l’usage fonctionnel de l’IA. Mais l’infrastructure compte tout autant : si elle est étrangère, la souveraineté numérique et l’indépendance judiciaire restent exposées — par le droit, par la sécurité, par l’économie des plateformes. Il est temps de relocaliser l’opérationnel, de diversifier les briques techniques et de réduire la dépendance pour que la justice québécoise reste maîtresse de ses outils autant que de ses jugements. 

Sources clés

• Cour supérieure du Québec – Cadre de gouvernance IA (sept. 2025) : périmètre, restrictions, hébergement canadien, indépendance, rapport hiver 2026. Cour Supérieur du Québec
• CLOUD Act (présentation DOJ) + analyse Osler (2025) : portée extraterritoriale, comity, implications en sol canadien. Department of Justice
• CJC (2024) – Lignes directrices IA pour les tribunaux : prudence, indépendance, non-délégation de l’adjudication. Canadian Judicial Council
• CSRB/DHS, Reuters, AP – incidents et critiques sécurité visant l’écosystème Microsoft (Exchange Online 2023; critiques 2024). Department of Homeland Security+2Reuters+2
• CrowdStrike 19 juillet 2024 – panne mondiale impactant massivement l’écosystème Windows/Microsoft. Reuters
• Modèles de “cloud de confiance” (France) – Bleu/Orange-Capgemini (Microsoft opéré localement) ; S3NS/Thales-Google (SecNumCloud). Data Center Dynamics+1