Le CLOUD Act et les données canadiennes : ce que ça change pour votre entreprise
Une loi américaine de 2018 peut atteindre des données hébergées dans un centre de données canadien. Voici comment le CLOUD Act fonctionne, qui il touche vraiment, et à quoi ressemble une réponse proportionnée.
Ce qu’il faut retenir
Le CLOUD Act permet aux autorités américaines de contraindre un fournisseur relevant de la juridiction américaine à produire les données qu’il contrôle, peu importe le pays où elles se trouvent. Un environnement Microsoft 365 ou un compte AWS dans une région canadienne a une résidence canadienne — pas une juridiction canadienne. Pour la plupart des entreprises, ça appelle une décision de risque documentée, pas un abandon de l’infonuagique.
- La loi suit l’entreprise qui contrôle les données, pas le pays où se trouvent les serveurs.
- Les ordonnances passent par une procédure judiciaire ciblée, en matière criminelle — rien d’une surveillance ouverte des environnements canadiens.
- Les régions canadiennes gardent toute leur valeur : elles règlent la résidence et allègent les obligations de la Loi 25.
- La propriété du fournisseur, la garde des clés de chiffrement et le contrat sont les leviers que vous contrôlez vraiment.
D’où vient la loi — et ce qu’elle dit
La Clarifying Lawful Overseas Use of Data Act est entrée en vigueur en mars 2018, et elle existe à cause d’un litige. Dans l’affaire Microsoft Irlande, les procureurs américains exigeaient des courriels stockés à Dublin; Microsoft plaidait qu’un mandat américain s’arrêtait à la frontière américaine, et la cause s’est rendue jusqu’à la Cour suprême. Le Congrès a tranché en modifiant la Stored Communications Act : un fournisseur relevant de la juridiction américaine doit désormais produire les données « en sa possession, sous sa garde ou sous son contrôle », peu importe où il a choisi de les stocker. Le ministère américain de la Justice publie sa propre présentation de la loi (en anglais), et elle est sans détour sur ce point : c’est le contrôle qui décide, pas la géographie.
Deux limites gardent la loi plus étroite que sa réputation. Elle opère par la procédure criminelle ordinaire — un mandat ou une ordonnance visant des comptes précis — et ne confère aucun droit permanent de fouiller les données étrangères. Et elle donne au fournisseur un recours pour contester une ordonnance qui le placerait en conflit avec la loi d’un autre pays. Ni l’une ni l’autre ne fait disparaître la portée de la loi; les deux comptent quand on évalue le risque réel.
Pourquoi « hébergé au Canada » ne règle pas la question
Le réflexe rassurant, c’est la résidence : nos données sont à Toronto ou à Montréal, donc le droit canadien s’applique. Or, résidence et juridiction sont deux questions distinctes — on a consacré un article complet à la différence entre résidence et souveraineté des données. Un fournisseur sous contrôle américain qui stocke vos données dans un centre de données canadien reste un fournisseur sous contrôle américain; le code postal de l’immeuble ne change pas qui peut être sommé de produire ce qui s’y trouve.
L’exposition dépasse ce que la plupart des inventaires laissent voir. Dans le Canadian Technology Sovereignty Index d’Upper Harbour, une analyse de 768 outils SaaS et infonuagiques utilisés par des organisations canadiennes, 59 % relèvent d’une société mère américaine et donc du CLOUD Act, et seulement 19 % sont entièrement à propriété canadienne. Il y a fort à parier que votre propre inventaire — comptabilité, CRM, stockage de fichiers, courriel — suit une répartition semblable.
Ce que ça signifie pour votre environnement Microsoft 365 ou AWS
Microsoft et Amazon sont des entreprises américaines : les environnements dans Azure Canada Central ou Canada East et les charges de travail dans AWS ca-central-1 demeurent donc à la portée de la loi. C’est la lecture simple, et aucun paramètre de configuration n’y change rien. Ce que les régions canadiennes vous procurent reste bien réel : des engagements de résidence à présenter à un client ou à un auditeur, une latence moindre, et une évaluation allégée quand la Loi 25 demande où vont les renseignements personnels.
Il vaut la peine de dire à quoi ressemble une ordonnance du CLOUD Act en pratique. Elle vise des comptes précis dans une enquête criminelle; ce n’est pas un flux permanent des environnements canadiens. Les grands fournisseurs publient des rapports sur les demandes des forces de l’ordre, affirment rediriger les gouvernements vers le client lorsque c’est possible, et ont déjà contesté des ordonnances devant les tribunaux. Rien de tout ça n’est une garantie. Ça signifie toutefois que, pour une PME typique, la probabilité qu’une ordonnance touche votre environnement est faible — et que la décision devant vous porte sur le risque résiduel acceptable, pas sur l’abandon des plateformes qui font tourner votre entreprise.
Où la Loi 25 et la LPRPDE entrent en jeu
La Loi 25 du Québec exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant toute communication de renseignements personnels hors du Québec, en pesant la sensibilité des données, les mesures de protection et le régime juridique de destination. Le CLOUD Act est exactement le genre de facteur que cette évaluation existe pour soupeser. Même avec une région canadienne, le soutien technique et les accès administratifs se font souvent depuis l’extérieur du Québec — c’est pourquoi les organisations prudentes mènent l’évaluation et la conservent au dossier plutôt que de supposer que la région règle tout.
Au fédéral, la LPRPDE passe par la responsabilité : votre organisation demeure responsable des renseignements personnels confiés à un fournisseur de services, y compris celui qui les traite à l’étranger. Les lignes directrices du Commissariat à la protection de la vie privée sur le transfert transfrontalier attendent des protections contractuelles et de la transparence — dire clairement aux gens que leurs renseignements peuvent être stockés ou traités dans un autre pays et devenir accessibles à ses tribunaux et à ses forces de l’ordre. Aucun des deux régimes n’interdit les fournisseurs américains. Les deux exigent que le choix soit examiné et documenté plutôt que fait par défaut.
Une réponse proportionnée : ce que vous contrôlez vraiment
Commencez par vérifier la propriété. La question est de savoir qui contrôle chaque fournisseur en remontant la chaîne — une marque canadienne avec une société mère américaine compte comme sous contrôle américain, et le CLOUD Act atteint les filiales. Classifiez ensuite : la plupart des données opérationnelles ne justifient pas de restructurer votre inventaire, mais les renseignements personnels visés par la Loi 25, les données de santé et les contrats publics peuvent justifier des mesures plus fortes.
À partir de là, les leviers sont concrets. Gardez vos charges de travail dans les régions canadiennes — nécessaires pour la résidence et la Loi 25, mais insuffisantes à elles seules. Regardez le chiffrement avec des clés détenues par le client pour les charges de travail qui le permettent; un fournisseur ne peut pas produire en clair ce qu’il ne peut pas déchiffrer, même si les grandes suites de productivité ont besoin d’un certain accès pour fonctionner, ce qui limite ce levier. Resserrez les contrats : clauses de traitement des données, engagement à vous aviser d’une demande gouvernementale quand la loi le permet, engagement à contester les ordonnances trop larges. Et pour les systèmes où la juridiction est une exigence ferme plutôt qu’une préférence, la réponse la plus nette est un fournisseur qui répond d’abord au droit canadien — c’est le raisonnement qu’on détaille sur notre page souveraineté des données.
Un risque à peser, pas un feu à éteindre
Pour la plupart des PME, le classement honnête place l’hameçonnage, les rançongiciels et les contrôles d’identité déficients bien au-dessus d’un mandat étranger sur la liste de ce qui risque de vous faire mal cette année. Le CLOUD Act mérite une réponse réfléchie, documentée une fois et revue quand votre inventaire ou vos obligations changent — pas une migration précipitée. Si vos clients, votre autorité de réglementation ou votre propre tolérance au risque font remonter la juridiction dans cette liste, c’est une conversation de cadrage qu’on aura avec plaisir.
Questions fréquentes
Le CLOUD Act s’applique-t-il aux données stockées au Canada?
Oui, dès que l’entreprise qui contrôle les données relève de la juridiction américaine. La loi oblige les fournisseurs à produire les données en leur possession, sous leur garde ou sous leur contrôle, peu importe où elles sont stockées — le centre de données canadien d’un fournisseur américain n’offre donc aucune protection en soi. Ce qui limite la portée, c’est la procédure : les ordonnances passent par la voie criminelle et visent des comptes précis, et le fournisseur peut contester une ordonnance qui entre en conflit avec la loi d’un autre pays.
Le CLOUD Act est-il une surveillance de masse des entreprises canadiennes?
Non. C’est une loi de production, pas un programme de collecte : les autorités américaines ont besoin d’une procédure judiciaire, comme un mandat, liée à des comptes précis dans une enquête criminelle. Les grands fournisseurs publient des rapports sur les demandes des forces de l’ordre et affirment rediriger les gouvernements vers le client lorsque c’est possible. Pour une PME canadienne typique, la probabilité réaliste qu’une ordonnance touche vos données est faible — l’intérêt de l’évaluer est d’en juger délibérément, pas de supposer qu’elle est nulle.
Héberger dans une région canadienne nous protège-t-il du CLOUD Act?
Pas à lui seul. Les régions canadiennes règlent l’endroit où résident vos données — la résidence — et ça vaut la peine : elles répondent aux attentes des clients et des auditeurs et simplifient les évaluations exigées par la Loi 25. Mais la loi suit la juridiction du fournisseur plutôt que l’emplacement du serveur, si bien que la région canadienne d’un fournisseur sous contrôle américain reste à sa portée. Considérez les régions canadiennes comme nécessaires, mais insuffisantes.
Peut-on continuer d’utiliser Microsoft 365 ou AWS tout en respectant la Loi 25?
Oui. La Loi 25 n’interdit pas les fournisseurs américains; elle exige qu’une communication de renseignements personnels hors du Québec soit évaluée d’abord — une EFVP qui pèse la sensibilité des données, les mesures de protection et le régime juridique de destination, CLOUD Act compris. Avec des régions canadiennes, une configuration sensée et des évaluations documentées, Microsoft 365 et AWS demeurent des choix défendables pour la plupart des organisations. Ce qui fait trébucher les entreprises, c’est de sauter l’évaluation; le choix de plateforme, lui, se défend généralement bien.
Qu’est-ce qui réduit réellement notre exposition?
Quatre leviers, en ordre d’effort croissant. Vérifiez qui possède chaque fournisseur en remontant la chaîne de propriété, parce qu’une société mère américaine emporte la juridiction américaine avec elle. Classifiez vos données pour que les mesures plus fortes aillent là où elles se justifient. Utilisez des clés de chiffrement détenues par le client quand la charge de travail le permet, ce qui limite ce qu’un fournisseur peut produire en clair. Et inscrivez les protections au contrat — avis des demandes gouvernementales quand la loi le permet, engagement à contester les ordonnances trop larges. Pour les systèmes où la juridiction est une exigence ferme, un fournisseur à propriété canadienne demeure l’option la plus nette.
Résidence ou souveraineté des données?
Deux termes qu’on confond — mais la différence décide si une loi américaine peut atteindre vos données.
Réaliser une EFVP : guide pratique pour PME
Quand la Loi 25 exige une EFVP et comment la réaliser, étape par étape — la version pratique du guide de la CAI, à l’échelle d’une PME.
Pas certain d’où en sont vraiment vos données?
On trace où résident vos données, qui les contrôle et ce que la Loi 25 attend — puis on vous remet un plan à la mesure du risque réel.