Résidence ou souveraineté des données?
On emploie « résidence » et « souveraineté » comme synonymes, mais la nuance décide si une loi américaine peut atteindre vos données — même hébergées au Canada.
En deux mots
La résidence, c’est l’endroit où vos données sont stockées; la souveraineté, ce sont les lois qui peuvent les atteindre. Un fournisseur sous contrôle américain qui héberge au Canada demeure assujetti au droit américain — le CLOUD Act notamment.
- Le CLOUD Act vise qui contrôle les données, pas l’emplacement des serveurs.
- Les régions canadiennes (Azure Canada, AWS ca-central-1) règlent la résidence, pas la souveraineté.
- C’est la propriété canadienne du fournisseur qui renforce le plus votre position.
Qu’est-ce que la résidence des données?
La résidence des données désigne l’endroit où vos données sont physiquement stockées. Lorsque vos charges de travail, vos sauvegardes et votre journalisation vivent dans des régions infonuagiques canadiennes — Microsoft Azure Canada Central (Toronto) et Canada Est (ville de Québec), ou AWS ca-central-1 (Montréal) — vos données résident au Canada. C’est une exigence concrète et vérifiable : on peut nommer la région, la documenter et la démontrer.
La résidence canadienne est une bonne chose, et c’est souvent la première question que pose un client ou un vérificateur. Mais elle ne répond qu’à une partie du problème. Savoir où vivent vos données ne dit pas encore qui peut légalement en exiger l’accès. Pour ça, il faut regarder non pas la géographie du serveur, mais la juridiction de l’organisation qui contrôle les données.
Pourquoi la souveraineté est-elle plus forte que la résidence?
La souveraineté des données concerne le contrôle et la juridiction : quelles lois régissent vos données et qui peut être contraint de les remettre. C’est là toute la distinction. Le CLOUD Act américain contraint à la divulgation selon qui contrôle les données, et non selon l’emplacement des serveurs. Une entreprise sous propriété américaine peut donc être sommée de divulguer les données qu’elle détient, même lorsque ces données sont physiquement stockées sur des serveurs situés au Canada.
Autrement dit, garder vos données en sol canadien ne les protège pleinement que lorsque l’organisation qui les contrôle répond elle-même au droit canadien. Si votre fournisseur infonuagique ou votre firme de cybersécurité a son siège social aux États-Unis, l’hébergement dans une région canadienne ne met pas vos données hors de portée d’une loi étrangère. La résidence est une question de lieu; la souveraineté, une question de pouvoir légal.
Pourquoi un fournisseur à propriété canadienne change-t-il la donne?
C’est la propriété canadienne du fournisseur — et pas seulement une région canadienne — qui renforce le plus votre position. L’exposition est plus grande qu’on ne le croit. Dans le Canadian Technology Sovereignty Index d’Upper Harbour, une analyse de 768 outils SaaS et infonuagiques utilisés par des organisations canadiennes, seulement 18 % sont entièrement à propriété canadienne, tandis que 54 % sont exposés au CLOUD Act américain. Choisir un fournisseur à propriété canadienne, c’est sortir de ce 54 %.
Soyons clairs sur la portée. La propriété canadienne et l’hébergement au Canada réduisent le risque qu’un gouvernement étranger puisse exiger l’accès à vos données par une loi comme le CLOUD Act; ils ne suppriment pas tout risque imaginable. La grande infrastructure infonuagique demeure souvent fournie par des acteurs mondiaux, et une architecture solide reste nécessaire. Sincennes TI est une entreprise à propriété canadienne établie à Gatineau et Ottawa — et non la succursale canadienne d’une firme américaine. L’organisation avec qui vous faites affaire répond au droit canadien, et c’est ce qui retire votre relation contractuelle du champ d’application d’une loi étrangère.
Quel est le lien avec la Loi 25 et la LPRPDE?
La distinction entre résidence et souveraineté n’est pas que théorique : elle se traduit par une obligation concrète. La Loi 25 du Québec exige des organisations qu’elles évaluent les risques pour la vie privée avant de communiquer des renseignements personnels à l’extérieur du Québec et qu’elles s’assurent d’une protection adéquate. Concrètement, un transfert transfrontalier doit faire l’objet d’une évaluation des facteurs relatifs à la vie privée (EFVP) avant que les données ne quittent la province.
Garder les données dans des régions canadiennes simplifie cette obligation. Lorsqu’un transfert hors Québec est tout de même nécessaire, l’évaluation doit être délibérée, documentée et défendable plutôt qu’accidentelle. La logique vaut aussi à l’échelle fédérale : la LPRPDE encadre depuis longtemps la responsabilité d’une organisation à l’égard des renseignements personnels confiés à un tiers, y compris à l’étranger. Comprendre la différence entre l’endroit où vivent vos données et les lois qui les régissent, c’est exactement ce que ces régimes vous demandent de démontrer.
Résidence et souveraineté, côte à côte
| Résidence des données | Souveraineté des données | |
|---|---|---|
| La question posée | Où vos données sont-elles physiquement stockées? | Quelles lois régissent vos données — et qui peut en exiger l’accès? |
| Ce qui la détermine | La géographie du serveur (p. ex. Azure Canada Central/Est, AWS ca-central-1) | La juridiction de l’organisation qui contrôle les données |
| Face au CLOUD Act américain | Aucune protection en soi — la loi vise le contrôle, pas l’emplacement | Un fournisseur à propriété canadienne répond au droit canadien |
| Comment la vérifier | Nommer et documenter la région d’hébergement | Vérifier la propriété et le siège social du fournisseur |
| Lien avec la Loi 25 | Simplifie l’EFVP exigée avant tout transfert hors Québec | Détermine si un régime étranger peut atteindre les données malgré tout |
Questions fréquentes
La résidence des données et la souveraineté des données, est-ce la même chose?
Non. La résidence des données concerne l’endroit où vos données sont physiquement stockées — par exemple dans une région canadienne d’Azure ou d’AWS. La souveraineté des données concerne les lois qui les régissent et qui peut être contraint d’en remettre l’accès. On peut avoir une résidence canadienne sans souveraineté complète si l’organisation qui contrôle les données répond à une juridiction étrangère.
Mon fournisseur américain stocke mes données au Canada — est-ce suffisant?
Pas nécessairement. L’emplacement physique du serveur n’est qu’une partie de l’équation. Si l’entreprise qui contrôle les données a son siège aux États-Unis, des lois comme le CLOUD Act peuvent la contraindre à divulguer les données qu’elle détient, même lorsque ces serveurs se trouvent au Canada. C’est la propriété canadienne du fournisseur — et pas seulement une région canadienne — qui renforce le plus votre position.
Qu’est-ce que le CLOUD Act américain et pourquoi me concerne-t-il?
Le CLOUD Act est une loi américaine qui peut contraindre une entreprise sous juridiction américaine à divulguer les données qu’elle détient, peu importe le pays où ces données sont stockées. Il s’applique selon qui contrôle les données, et non selon l’emplacement des serveurs. C’est pourquoi un fournisseur sous propriété américaine qui héberge dans un centre de données canadien peut tout de même y être assujetti.
Quel est le lien entre la souveraineté des données et la Loi 25?
La Loi 25 exige des organisations qu’elles évaluent les risques pour la vie privée avant de transférer des renseignements personnels hors du Québec et qu’elles s’assurent d’une protection adéquate. Garder les données dans des régions canadiennes simplifie cette obligation et, lorsqu’un transfert est nécessaire, il faut documenter l’évaluation pour qu’elle soit délibérée et défendable.
Combien coûte un test d’intrusion au Québec?
Les fourchettes réelles par type de test, ce qui fait varier le prix — et les pièges des soumissions trop basses pour être vraies.
Cyberassurance : les contrôles exigés de votre PME
Les assureurs exigent MFA, EDR et sauvegardes testées avant de couvrir. Ce que les souscripteurs vérifient — et comment arriver préparé.
Vous voulez garder vos données au Canada?
Parlez à une firme à propriété canadienne qui conserve vos données au Canada — à Gatineau et Ottawa, en français comme en anglais.