25 avril 2026

Ce que « hébergé au Canada » signifie vraiment en 2026 : CLOUD Act, Loi 25 et la nouvelle équation

Le CLOUD Act se moque de l'emplacement de vos serveurs

Le Clarifying Lawful Overseas Use of Data Act (2018) permet aux autorités américaines de contraindre toute société constituée aux États-Unis — ou une filiale étrangère sous contrôle américain — à produire des données, peu importe où elles se trouvent physiquement. AWS, Microsoft, Google, Vercel et la plupart des grands fournisseurs entrent dans cette catégorie. Un centre de données canadien est un emplacement physique ; l'entité qui détient les clés opérationnelles est celle qui est légalement contrainte.

En 2025, plus de 2 000 demandes au titre du CLOUD Act ont touché des données canadiennes. Environ 88 % de ces demandes ont été divulguées sans qu'aucun tribunal canadien ne les examine — et dans bien des cas sans que l'organisation concernée ne soit avertie, parce que les demandes étaient accompagnées d'une ordonnance de bâillon. Si vous tournez sur un fournisseur sous contrôle américain, la réponse pratique à « mes données quittent-elles la juridiction canadienne ? » est oui, et vous ne le saurez pas forcément quand.

Les clés de chiffrement gérées par le client (CMEK) sont parfois présentées comme la réponse. C'est une couche de défense significative, mais pas un bouclier complet. Le fournisseur contrôle toujours les métadonnées, les informations de compte, les noms de fichiers, les structures de partage et les journaux d'activité — tous compellables par une ordonnance CLOUD Act. Le chiffrement aide pour le contenu des fichiers ; il n'aide pas pour tout le reste qu'une ordonnance peut demander.

La Loi 25 a maintenant des dents

La Loi 25 du Québec (anciennement projet de loi 64) est entrée en vigueur par phases entre 2022 et 2024 et est maintenant pleinement opérationnelle. La fourchette de pénalités va de 15 000 $ à 25 000 000 $ CAD — ou 4 % du chiffre d'affaires mondial, selon le plus élevé. La Commission d'accès à l'information (CAI) a imposé 2,3 M$ en amendes pour le seul premier trimestre 2026.

La cible d'application la plus conséquente est l'article 17, la norme de protection équivalente pour les transferts transfrontaliers. La CAI a été claire : signer une entente de traitement des données avec un fournisseur de cloud américain ne satisfait pas l'article 17. Les organisations doivent démontrer des contrôles techniques empêchant tout accès non autorisé — y compris par le fournisseur de cloud lui-même. En février 2026, une entreprise de technologie de la santé a été condamnée à 850 000 $en vertu de l'article 91 pour avoir traité des données de patients via une infrastructure cloud américaine sans évaluations de facteurs relatifs à la vie privée adéquates (article 3) ni consentement approprié (article 14).

En septembre 2025, une société de services financiers a été condamnée à 450 000 $pour avoir transféré des données clients vers des plateformes d'analyse américaines. La décision de la Cour fédérale citait spécifiquement l'échec de l'organisation à tenir compte des implications du CLOUD Act dans son évaluation des facteurs relatifs à la vie privée — liant explicitement les deux régimes. Les enquêtes en vertu de la LPRPDE ont augmenté d'environ 40 % sur la même période.

Pourquoi l'argument « région canadienne » ne tient plus

La contre-argumentation habituelle veut que les hyperscalers ont massivement investi dans des centres de données canadiens, et qu'une région canadienne suffit aux exigences de résidence. La position de la CAI, exprimée dans les décisions récentes, est que résidence et souveraineté sont deux questions distinctes. La résidence est un fait physique ; la souveraineté, un fait juridique. Un cloud établi aux États-Unis qui exploite une région canadienne garde les données physiquement au Canada, mais ne les met pas à l'abri du processus juridique américain.

Pour les organisations couvertes par la Loi 25 — ce qui inclut désormais toute entité traitant les renseignements personnels de résidents québécois — cette distinction est devenue une question d'application. La même logique commence à s'étendre aux enquêtes en vertu de la LPRPDE au fédéral et aux cadres provinciaux comme la PHIPA en Ontario pour les données de santé.

Ce qui a changé au niveau des marchés publics

Les exigences fédérales de marchés cloud, mises à jour en juin 2026, favorisent explicitement les fournisseurs avec résidence et contrôles de souveraineté canadiens, avec des avantages de notation de 10 à 15 % dans les appels d'offres concurrentiels. L'Ontario a mis à jour ses normes de qualification des fournisseurs pour inclure des évaluations de souveraineté des données, et la Colombie-Britannique a fait de l'infrastructure canadienne un préalable pour certains contrats technologiques.

Traduit : si vous soumissionnez sur du travail gouvernemental, les contrôles de souveraineté ne sont plus un atout ; ils sont notés. Et la diffusion vers les secteurs réglementés — santé, finance, services publics — suit le même schéma.

La vraie question est architecturale

La vraie question n'est pas juridique — elle est architecturale. Qui contrôle les clés opérationnelles de vos données ? Si la réponse est une entité constituée aux États-Unis (ou n'importe quelle filiale), vous êtes dans la portée du CLOUD Act peu importe où les octets se trouvent physiquement. Si la réponse est un opérateur canadien tournant sur du matériel dans votre province, vous ne l'êtes pas.

En pratique, trois options existent : rester sur les hyperscalers et documenter le risque résiduel dans votre EFVP (le chemin le plus courant) ; utiliser un cloud souverain canadien comme ThinkOn ou Cloud.ca ; ou s'auto-héberger sur du bare-metal chez un opérateur canadien (WHC, Alentus, Canadian Web Hosting, GloboTech, eStruxture). Pour les charges analytiques en particulier, la troisième option est souvent à la fois moins chère et plus rapide que la première — la comparaison n'est plus un compromis vs commodité.

La nouvelle équation

Jusqu'en 2024, l'argument du coût allait dans l'autre sens : les hyperscalers étaient supposés moins chers, donc la prime de résidence était une vraie dépense. Cette équation s'est inversée pour les charges en régime stable. Une location de serveur dédié à plat chez un hébergeur canadien tourne entre 80 $ et 3 200 $ par mois selon l'échelon, avec une facturation prévisible. La même charge sur BigQuery / Snowflake + Vercel / Heroku peut tourner entre 100 $ et 4 400 $+ par mois, avec une facturation par balayage qui crée des surprises — le genre de surprises qui apparaissent après une seule requête ad-hoc sur une table de 10 To.

Ajoutez les avantages de notation aux marchés publics, la posture de conformité Loi 25, et l'amélioration de latence (quelques millisecondes en province vs 30–50 ms transfrontalier), et l'argument pour l'infrastructure canadienne souveraine cesse d'être politique. Il devient la réponse normale pour la plupart des projets analytiques.

Première étape pratique

Si vous avez un cloud actuel et que vous n'êtes pas certain où il se situe sur ce spectre, l'artefact utile le moins cher est une évaluation des facteurs relatifs à la vie privée qui cartographie explicitement les flux de données et identifie quels fournisseurs tombent sous des régimes juridiques étrangers. La CAI a été claire que les EFVP de qualité standardisée ne tiendront pas ; ils veulent des flux de données tracés. Une fois ce document en main, le choix architectural devient généralement évident.

La page de destination compagnon, Stack canadien, parcourt la comparaison opérateur-par-opérateur en prix, performance et latence de façon interactive — choisissez votre province, la taille de votre jeu de données et le nombre d'utilisateurs simultanés, et vous verrez l'option canadienne adaptée, la meilleure alternative canadienne, et l'équivalent BigQuery / Snowflake + Vercel / Heroku côte à côte.