Où vont les données quand une IA répond au téléphone? Le portrait honnête.

Votre client appelle votre entreprise. Un agent vocal IA lui répond. Pendant la conversation, le client mentionne son nom, son numéro de compte, et peut-être même le problème qu'il a avec votre produit.

Où est-ce que cette information va, exactement? Qui y a accès? Est-ce que ça reste au Canada? Et est-ce que c'est conforme à la loi?

Ce sont des questions légitimes. Et si vous les posez à certains fournisseurs d'agents vocaux IA, vous allez recevoir des réponses vagues ou des claims trop beaux pour être vrais. Cet article démêle le vrai du faux en langage clair.

---

Pas besoin d'être ingénieur pour comprendre. Voici ce qui arrive quand un client parle à un agent vocal IA, en version simplifiée.

L'appel téléphonique passe par une infrastructure de téléphonie. C'est le système qui connecte le numéro de téléphone de votre client au système de l'agent IA. Chez certains fournisseurs, cette infrastructure est au Canada. Chez d'autres, elle passe par des fournisseurs américains comme Twilio.

La voix du client est envoyée à un modèle d'intelligence artificielle pour être comprise et analysée. C'est le cerveau de l'agent. Les modèles les plus utilisés sont ceux d'OpenAI (ChatGPT), de Google (Gemini) et d'Anthropic (Claude). Ces modèles fonctionnent sur des serveurs situés principalement aux États-Unis.

La réponse de l'agent est générée par ce même modèle, puis transformée en voix et renvoyée au client par le réseau téléphonique.

---

Quand on dit que les données « passent » par des serveurs américains, ça veut dire quoi concrètement?

Ça veut dire que pendant la durée de l'appel, le contenu vocal est traité sur des serveurs aux États-Unis pour que l'IA puisse comprendre ce que le client dit et formuler une réponse. Une fois l'appel terminé, ce qui reste dépend du fournisseur d'IA.

OpenAI, Google et Anthropic ont tous des politiques claires là-dessus. En mode API (le mode utilisé par les entreprises, pas le mode grand public), ces fournisseurs s'engagent généralement à ne pas utiliser vos données pour entraîner leurs modèles. L'audio est traité pour générer une réponse, puis il n'est pas retenu à long terme.

Ce qui veut dire que vos données ne sont pas « stockées aux États-Unis » de manière permanente. Elles transitent par des serveurs américains le temps du traitement. C'est une distinction importante.

Par contre, il faut être réaliste. Pendant ce transit, les données sont techniquement sur un serveur américain, et elles sont donc soumises aux lois américaines, incluant le CLOUD Act qui permet aux autorités américaines de demander l'accès à des données hébergées par des entreprises américaines.

Est-ce que le FBI va écouter les appels de support technique de votre PME de Longueuil? Non. Mais le cadre légal le permet en théorie, et c'est une réalité qu'il faut connaître.

---

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est la loi québécoise qui encadre comment les entreprises gèrent les données personnelles de leurs clients. Toutes ses dispositions sont en vigueur depuis septembre 2024.

En résumé, elle demande trois choses :

Le consentement. Vous devez obtenir un consentement clair de la personne avant de collecter ses données, et lui expliquer pourquoi vous les collectez.

La protection. Vous devez protéger les données et limiter l'accès aux gens qui en ont besoin.

Les droits individuels. La personne a le droit de savoir quelles données vous avez sur elle, de les corriger et, dans certains cas, de demander leur suppression.

Est-ce que toutes les PME qui utilisent ChatGPT, Zoom, Salesforce, Google Workspace ou n'importe quel outil SaaS américain ont fait cette évaluation? Probablement pas. Mais la loi le demande, et c'est important de le savoir.

---

C'est ici que ça devient intéressant. Parce que dans le marché des agents vocaux IA au Québec, vous allez voir des claims comme :

« Données 100% hébergées au Canada. »

« Infrastructure entièrement canadienne. »

« Vos données ne quittent jamais le pays. »

Posez une question simple : quel modèle d'IA utilise votre agent?

Si la réponse est OpenAI, Gemini, Claude, ou n'importe quel modèle de langage majeur, les données passent par des serveurs américains pendant le traitement. Point. Il n'y a pas de version « canadienne » de GPT-4 qui tourne dans un data center à Montréal.

Ce que ces fournisseurs veulent probablement dire, c'est que leur propre infrastructure (la téléphonie, le CRM, la base de données, les enregistrements) est au Canada. Et c'est peut-être vrai. Mais le coeur du système, le modèle d'IA qui comprend et génère les réponses, est chez OpenAI à San Francisco, chez Google à Mountain View, ou chez Anthropic à San Francisco.

On dit ça en sachant que ça s'applique aussi à nous. L'infrastructure téléphonique d'InstantCallR est propriétaire et hébergée au Canada. Les enregistrements, les transcriptions, les données CRM, tout ça reste au Canada. Mais quand l'agent IA comprend ce que le client dit et formule une réponse, ça passe par les serveurs d'OpenAI ou de Gemini aux États-Unis.

On préfère vous le dire clairement plutôt que de le cacher derrière un claim marketing.

---

La situation n'est pas binaire entre « tout est parfaitement sécuritaire » et « vos données sont en danger ». Voici ce que vous pouvez contrôler en pratique.

Choisir un fournisseur dont l'infrastructure est au Canada

La téléphonie, les enregistrements, les transcriptions, les données CRM. Tout ce qui est stocké de manière permanente devrait être sur des serveurs canadiens. Ça, c'est contrôlable et c'est non négociable.

Vérifier les politiques de données du fournisseur d'IA

OpenAI, Google et Anthropic offrent des versions API avec des engagements de non-rétention des données. Ça veut dire que vos données sont traitées puis effacées, pas stockées ni utilisées pour entraîner les modèles. Demandez à votre fournisseur d'agent vocal IA quelle version de l'API il utilise et quels engagements de confidentialité il a obtenu.

Limiter ce que l'IA entend

Si votre agent vocal IA est utilisé pour du support technique ou de la prise de rendez-vous, les informations échangées sont rarement ultra-sensibles. Par contre, si vos appels impliquent des numéros de carte de crédit, des informations médicales ou des données financières détaillées, vous pouvez configurer l'agent pour transférer ces portions de la conversation à un humain.

Documenter votre démarche

La Loi 25 demande une évaluation des facteurs relatifs à la vie privée avant de transférer des données hors Québec. Faites-la. Documentez les risques, les mesures de mitigation, et les engagements de vos fournisseurs. En cas de vérification, c'est votre documentation qui vous protège.

L'option on-premise pour les cas critiques

Pour les entreprises avec des exigences strictes en matière de souveraineté des données (secteur financier, santé, gouvernement), la vraie réponse à long terme est le déploiement on-premise. Ça veut dire que le modèle d'IA tourne directement sur les serveurs de l'entreprise, au Canada. Les données ne quittent jamais l'environnement du client.

---

La peur autour des données et de l'IA est souvent disproportionnée par rapport aux risques réels. Mettons les choses en perspective.

Ce qui est un vrai risque

Un fournisseur qui utilise vos données pour entraîner ses modèles sans votre consentement. C'est pourquoi il est important de vérifier que votre fournisseur utilise les versions API de ces modèles, pas les versions grand public.

Un stockage permanent de données sensibles sur des serveurs sans chiffrement adéquat. Demandez à votre fournisseur comment les données sont chiffrées au repos et en transit.

Un incident de sécurité (brèche, fuite) chez votre fournisseur. Vérifiez ses certifications de sécurité (SOC 2, ISO 27001) et sa politique de notification en cas d'incident.

Ce qui est un risque perçu mais minime

Le gouvernement américain qui écoute les appels de support technique de votre PME. En théorie, le CLOUD Act le permet. En pratique, les autorités américaines ont d'autres priorités que les appels clients d'une entreprise de plomberie au Québec.

Un pirate informatique qui intercepte un appel en cours. Les connexions entre votre infrastructure et les serveurs d'IA sont chiffrées (TLS/SSL). Intercepter un appel en transit demanderait des ressources considérables pour un gain minimal.

Le vrai éléphant dans la pièce

La réalité, c'est que la majorité des entreprises qui s'inquiètent de la souveraineté des données avec l'IA utilisent déjà Gmail, Google Drive, Salesforce, Slack, Microsoft 365 et Zoom. Toutes ces plateformes traitent des données sur des serveurs américains. Certaines contiennent des informations bien plus sensibles que ce qui se dit lors d'un appel de support technique.

Ça ne veut pas dire qu'on devrait ignorer la question pour l'IA vocale. Ça veut dire qu'il faut la traiter avec le même pragmatisme qu'on applique au reste de nos outils.

---

Est-ce qu'un agent vocal IA est conforme à la Loi 25?

Oui, à condition de prendre certaines mesures. La Loi 25 n'interdit pas le transfert de données hors du Québec. Elle exige que vous fassiez une évaluation des facteurs relatifs à la vie privée avant de le faire, et que la protection offerte dans l'autre juridiction soit adéquate. Les grandes plateformes d'IA américaines offrent des engagements contractuels de protection des données qui sont généralement considérés adéquats. Documentez votre démarche, et vous serez en conformité.

Est-ce que les appels sont enregistrés et stockés aux États-Unis?

Ça dépend du fournisseur. Chez InstantCallR, les enregistrements et les transcriptions sont stockés au Canada. Le traitement par le modèle d'IA passe par des serveurs américains le temps de l'appel, mais le contenu n'est pas retenu de manière permanente par le fournisseur d'IA. Demandez les détails à votre fournisseur, chaque configuration est différente.

Un fournisseur qui dit « données 100% au Canada », c'est vrai?

Demandez-lui quel modèle d'IA il utilise. S'il utilise OpenAI, Gemini, Claude ou tout autre modèle majeur, les données transitent par des serveurs américains pendant le traitement. Le claim « 100% au Canada » est probablement vrai pour son infrastructure propre, mais pas pour la couche IA. La seule façon d'avoir des données qui ne quittent jamais le Canada est un déploiement on-premise avec un modèle hébergé localement.

Mon entreprise est petite. Est-ce que je dois vraiment m'inquiéter de tout ça?

Si vos appels concernent de la prise de rendez-vous, du support technique standard ou de la qualification de prospects, le niveau de sensibilité est relativement faible. Prenez les mesures de base (fournisseur avec infrastructure au Canada, API avec non-rétention des données, documentation de votre démarche) et vous serez en bonne posture. Si vos appels impliquent des données de santé, des informations financières ou des dossiers juridiques, consultez un expert en conformité.

Est-ce que mes clients doivent savoir qu'ils parlent à une IA?

La Loi 25 exige la transparence sur la collecte et l'utilisation des données. Si l'appel est enregistré ou si les données sont traitées par un tiers, il est de bonne pratique d'en informer le client, soit au début de l'appel, soit dans votre politique de confidentialité.

C'est quoi l'option on-premise exactement?

C'est un modèle de déploiement où le système d'IA fonctionne entièrement sur les serveurs de votre entreprise (ou dans un centre de données canadien de votre choix). Aucune donnée ne transite par des serveurs étrangers. C'est la solution la plus sécuritaire, mais aussi la plus complexe et coûteuse à mettre en place. C'est pertinent pour les entreprises avec des exigences réglementaires strictes. Pour la majorité des PME, les mesures standard sont suffisantes.

---

Dernière mise à jour : avril 2026. Cet article est informatif et ne constitue pas un avis juridique. Pour des questions spécifiques sur la conformité de votre entreprise à la Loi 25, consultez un professionnel du droit.