Skip to main content
Back to blog
Infonuagique4 février 20269 min read

Hébergement infonuagique : garder ses données au Canada ou non ?

Les enjeux concrets de l'emplacement de vos données infonuagiques pour une PME québécoise — cadre juridique, Loi 25, CLOUD Act et considérations pratiques.

Hébergement infonuagique : garder ses données au Canada ou non ?

Votre comptable utilise un logiciel en ligne. Vos courriels sont dans Microsoft 365. Vos fichiers sont sur OneDrive ou SharePoint. Votre CRM tourne dans le nuage. Mais savez-vous dans quel pays, physiquement, ces données se trouvent ?

Pour beaucoup de dirigeants de PME au Québec, la réponse est « aucune idée ». Et jusqu'à récemment, ça n'avait pas beaucoup de conséquences. Aujourd'hui, entre la Loi 25 québécoise, le CLOUD Act américain et les tensions géopolitiques qui ne diminuent pas, l'emplacement de vos données est devenu une question d'affaires qu'il faut aborder de front.

Pourquoi l'emplacement de vos données est-il devenu un enjeu ?

Quand vos données sont stockées sur un serveur physique, ce serveur se trouve quelque part. Ce « quelque part » détermine quelles lois s'appliquent à vos données — pas les lois du pays où se trouve votre entreprise, mais celles du pays où se trouvent les serveurs et, dans certains cas, celles du pays où le fournisseur a son siège social.

C'est cette réalité juridique qui transforme une question technique en question d'affaires. Vos données clients, vos informations financières et vos secrets commerciaux pourraient théoriquement être accessibles à des autorités étrangères dans certaines circonstances, selon l'endroit où elles sont hébergées.

Ce que dit la Loi 25 au Québec

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25) est pleinement en vigueur depuis septembre 2024. Elle ne contient pas d'interdiction pure et simple d'héberger des données à l'étranger. Mais elle impose des conditions précises.

Avant de transférer des renseignements personnels à l'extérieur du Québec, une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP). Cette évaluation doit tenir compte de la sensibilité des renseignements, de la finalité de leur utilisation, des mesures de protection qui seront appliquées et du cadre juridique du pays de destination.

Concrètement, si vos données de clients québécois sont hébergées aux États-Unis, vous devez pouvoir démontrer que vous avez évalué les risques et que le niveau de protection offert est adéquat. Ce n'est pas impossible, mais c'est un exercice de diligence raisonnable que l'hébergement au Canada simplifie considérablement.

La Commission d'accès à l'information du Québec (CAI) est l'organisme qui surveille l'application de la Loi 25. Son site web (cai.gouv.qc.ca) publie des guides pratiques sur les obligations des entreprises.

Le CLOUD Act américain : ce que ça change

Le Clarifying Lawful Overseas Use of Data Act a été adopté par le Congrès américain en 2018. Son principe est le suivant : si une entreprise est constituée aux États-Unis ou y a des opérations significatives, le gouvernement américain peut lui ordonner de fournir des données qu'elle détient, peu importe où ces données sont physiquement stockées dans le monde.

Microsoft, Google et Amazon sont des entreprises américaines. Même si vos données Microsoft 365 résident dans le centre de données d'Azure à Québec, le CLOUD Act donne théoriquement aux autorités américaines un levier juridique pour y accéder dans le cadre d'une enquête.

En pratique, ces demandes sont encadrées par des procédures judiciaires et ne ciblent pas les PME québécoises au hasard. Le risque pour une entreprise de 30 employés à Trois-Rivières est faible. Mais il n'est pas nul, et pour certains secteurs — défense, technologies sensibles, santé — il mérite une attention particulière.

Les quatre scénarios d'hébergement

Les PME québécoises ont essentiellement quatre options. Chacune vient avec ses compromis.

Hébergement chez un fournisseur canadien

Un fournisseur d'infonuagique constitué au Canada, qui exploite des centres de données sur le territoire canadien. Ses données sont soumises exclusivement aux lois canadiennes et québécoises. Le CLOUD Act ne s'applique pas puisque l'entreprise n'est pas américaine.

C'est l'option qui offre le niveau le plus élevé de protection juridique pour vos données. Le compromis : la gamme de services est parfois moins étendue que chez les géants américains, et les coûts peuvent être légèrement plus élevés pour des services équivalents. Le service en français et la connaissance du contexte québécois sont cependant des avantages réels.

Utilisation d'un hyperscaleur avec région canadienne

Microsoft Azure a des centres de données à Toronto (Canada Centre) et à Québec (Canada Est). Amazon Web Services exploite une région à Montréal (ca-central-1). Google Cloud a une région à Montréal (northamerica-northeast1).

Vos données sont physiquement au Canada, ce qui simplifie la conformité à la Loi 25 sur le plan de la localisation. Vous bénéficiez d'une infrastructure de classe mondiale avec une disponibilité élevée.

Le bémol : ces entreprises sont soumises au CLOUD Act. Le risque est théorique pour la plupart des PME, mais il existe. Et la configuration pour garantir que vos données restent dans les régions canadiennes demande une attention particulière — ce n'est pas toujours le réglage par défaut.

Approche hybride

Vous hébergez vos données les plus sensibles (renseignements personnels de clients, données financières, propriété intellectuelle) chez un fournisseur canadien ou sur vos propres serveurs, et vous utilisez les services d'un hyperscaleur pour les charges de travail moins sensibles (site web, applications internes sans données personnelles, environnements de développement).

C'est l'approche la plus courante chez les PME qui prennent la souveraineté des données au sérieux sans vouloir renoncer aux avantages des grandes plateformes. Le compromis : c'est plus complexe à gérer et ça demande une classification claire de vos données par niveau de sensibilité.

Hébergement sur site

Vos serveurs sont dans vos locaux, sous votre contrôle physique direct. Aucune donnée ne quitte votre bâtiment (sauf les sauvegardes hors site, qu'il faut aussi localiser).

Le contrôle est maximal, mais la responsabilité aussi. Vous êtes responsable de la sécurité physique (accès au local serveur, protection incendie, alimentation de secours), de la maintenance du matériel, des mises à jour logicielles et de la redondance. Sans expertise interne, ce modèle est difficile à gérer correctement.

De plus, l'absence de redondance géographique signifie qu'un sinistre dans vos locaux (incendie, dégât d'eau, vol) peut entraîner une perte totale si les sauvegardes hors site ne sont pas fiables.

Aspects techniques à considérer

La latence

La distance physique entre vos utilisateurs et le centre de données affecte la performance des applications. Un serveur à Montréal offrira une latence inférieure pour vos employés au Québec qu'un serveur en Virginie.

Pour le courriel ou le stockage de fichiers, la différence est imperceptible. Pour la téléphonie IP, les visioconférences ou les applications transactionnelles en temps réel, quelques millisecondes de latence supplémentaire peuvent affecter l'expérience.

Les centres de données canadiens des grands fournisseurs offrent des performances comparables à leurs installations américaines pour les utilisateurs situés au Canada. Le choix d'une région canadienne n'implique pas de compromis sur la performance.

La disponibilité

Les centres de données des hyperscaleurs au Canada offrent les mêmes niveaux de disponibilité (typiquement 99,95 % à 99,99 %) que leurs installations ailleurs dans le monde. Les fournisseurs canadiens spécialisés offrent aussi des niveaux de disponibilité élevés, souvent avec des ententes de service formelles.

Le coût

L'hébergement au Canada chez un fournisseur canadien coûte généralement un peu plus cher que l'équivalent américain — la taille du marché et les économies d'échelle jouent en faveur des États-Unis. Cependant, quand on ajoute les coûts de conformité supplémentaires liés à l'hébergement étranger (ÉFVP, mesures contractuelles, suivi), l'écart se réduit.

Guide pratique de décision

Voici une grille simple pour orienter vos choix.

Vos données incluent des renseignements personnels de résidents québécois (noms, courriels, adresses, numéros de téléphone de clients, employés ou fournisseurs) ? Privilégiez l'hébergement au Canada. Si vous utilisez un hyperscaleur, configurez explicitement la résidence des données dans une région canadienne et documentez-le.

Vous utilisez Microsoft 365 ? Vérifiez la configuration de votre tenant. Microsoft permet de spécifier la région de résidence des données. Pour les clients canadiens, les données peuvent être configurées pour rester dans les centres de données canadiens. Documentez ce choix dans votre ÉFVP.

Votre secteur est réglementé (santé, finance, services professionnels) ? Vérifiez les exigences spécifiques de votre ordre professionnel ou de votre cadre réglementaire. Certains imposent des restrictions explicites sur la localisation des données.

Vous soumissionnez sur des contrats gouvernementaux ? Le gouvernement du Québec et le gouvernement fédéral exigent de plus en plus que les données soient hébergées au Canada. C'est souvent un critère d'admissibilité aux appels d'offres.

Vos données n'incluent aucun renseignement personnel ni information confidentielle ? Le choix de la localisation devient alors principalement une question de performance et de coût.

La documentation : votre meilleur allié

Quel que soit votre choix d'hébergement, documentez-le. Tenez un inventaire de l'emplacement de vos données — quel service, quel fournisseur, quel pays, quelle région. Réalisez les ÉFVP requises par la Loi 25 pour tout transfert hors Québec. Conservez les contrats et les ententes de traitement des données avec vos fournisseurs.

Cette documentation n'est pas seulement une obligation légale — c'est aussi un outil de gestion des risques qui vous permet de prendre des décisions éclairées et de répondre aux questions de vos propres clients et partenaires.

Un choix d'affaires, pas seulement technique

L'emplacement de vos données infonuagiques est une décision qui touche à la conformité, à la gestion des risques et à la stratégie d'affaires. Il n'y a pas de réponse unique — le bon choix dépend de votre secteur, de vos données, de vos obligations et de votre tolérance au risque.

Ce qui est certain, c'est que l'époque où on pouvait ignorer la question est révolue. La Loi 25 exige que vous y réfléchissiez, et vos clients s'attendent de plus en plus à ce que vous puissiez leur dire où sont leurs données.

Adsum Technologies accompagne les PME québécoises dans leurs décisions d'hébergement infonuagique, en tenant compte des enjeux juridiques, techniques et économiques propres à chaque situation. Pour une consultation sur votre stratégie d'hébergement, visitez adsumtech.ca.

Newsletter

Receive our best articles and IT tips directly in your inbox.

Need help with your IT?

Our team is here to support you. Contact us for a free assessment.