Une région AWS canadienne ne rend pas votre hébergement canadien.
Si l'entreprise qui exploite l'infrastructure est constituée aux États-Unis, le droit américain s'applique — y compris le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), qui oblige les entreprises américaines à produire des données stockées n'importe où dans le monde en réponse aux demandes des forces de l'ordre américaines. Ce n'est pas l'emplacement physique du serveur qui détermine la compétence. C'est le domicile juridique de l'entreprise qui l'exploite.
Cette distinction est importante pour toute entreprise canadienne assujettie à la LPRPDE, à la Loi 25 ou aux exigences d'approvisionnement du gouvernement fédéral. Et compte tenu de la façon dont la plupart des entreprises technologiques canadiennes sont actuellement hébergées, presque aucune n'en a pleinement tenu compte.
Ce que dit réellement le CLOUD Act
Le CLOUD Act a été adopté le 23 mars 2018, modifiant le Stored Communications Act. Le texte opérationnel se trouve à 18 U.S.C. § 2713 :
A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.
La phrase clé est « regardless of whether such communication, record, or other information is located within or outside of the United States. » Cela signifie que choisir ca-central-1 sur AWS, ou opter pour la « région canadienne » de Vercel, n'exempte pas vos données des procédures judiciaires américaines. Les données se trouvent dans un bâtiment canadien, mais elles relèvent du droit américain.
L'analyse de 2026 de la Balsillie School le confirme directement : lorsque des Canadiens utilisent des services fournis par des entreprises ayant leur siège aux États-Unis — Microsoft, Google, Amazon Web Services, Apple, Meta — leurs données relèvent de la compétence du CLOUD Act, peu importe où elles sont physiquement stockées.
Comment cela s'applique à Vercel, Netlify, Railway et Render
Les quatre plateformes sont constituées aux États-Unis. Les quatre sont assujetties au CLOUD Act. Voici ce que cela signifie en pratique :
Vercel est constituée au Delaware. Même si votre application Next.js se déploie sur un nœud périphérique proche du Canada, l'entreprise qui exploite cette infrastructure est américaine. Un mandat américain peut obliger Vercel à produire les données de votre application, vos variables d'environnement, le contenu de vos bases de données et vos journaux de déploiement.
Netlify est constituée au Delaware. Même compétence, même exposition.
Railway est une entreprise américaine. Pareil.
Render est une entreprise américaine. Pareil.
Choisir une « région canadienne » dans n'importe laquelle de ces plateformes change l'emplacement physique des bits. Cela ne change pas la compétence juridique régissant l'accès à ces bits.
Ce que la LPRPDE et la Loi 25 exigent réellement
Ni la LPRPDE ni la Loi 25 n'interdisent explicitement l'hébergement de données à l'extérieur du Canada ou l'utilisation d'une infrastructure détenue par des intérêts étrangers. Mais les deux créent une exposition importante à la responsabilité lorsque des compétences étrangères peuvent accéder aux données à l'insu ou sans le consentement de la personne concernée.
La Loi 25 exige que les organisations réalisent une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels à l'extérieur du Québec. En vertu des articles 17 et 17.1, l'évaluation doit déterminer si les renseignements personnels bénéficieront d'une protection juridique équivalente dans la compétence réceptrice. Si votre fournisseur d'hébergement est assujetti au CLOUD Act, la réponse est potentiellement non — parce que les autorités américaines peuvent contraindre l'accès sans en aviser la personne concernée ni l'organisation canadienne.
Les sanctions de la Loi 25 sont substantielles. La Commission d'accès à l'information du Québec (CAI) peut imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions CA$ ou 2 % du chiffre d'affaires mondial, et les tribunaux peuvent imposer des amendes pouvant atteindre 25 millions CA$ ou 4 % du chiffre d'affaires mondial pour les infractions graves.
Le principe de responsabilité de la LPRPDE (principe 4.1) exige que les organisations assurent un niveau de protection équivalent lorsque des renseignements personnels sont transférés à un tiers aux fins de traitement — y compris un fournisseur d'hébergement. Si ce fournisseur est assujetti à des ordonnances d'accès d'un gouvernement étranger, l'équivalence de la protection est compromise.
Ce que signifie réellement un « hébergement souverain »
Pour qu'un hébergement soit véritablement souverain, chaque maillon de la chaîne doit se trouver hors de toute compétence étrangère :
L'entreprise doit être constituée au Canada — et non être une filiale canadienne d'une société mère américaine. L'infrastructure doit être physiquement située au Canada. Aucune société mère, filiale ou entité de contrôle ne peut être assujettie à des ordonnances étrangères de production de données. Le personnel opérationnel ayant accès aux données des clients doit se trouver au Canada. Les sauvegardes et la reprise après sinistre doivent demeurer sous compétence canadienne.
Si l'un de ces éléments manque, l'« hébergement canadien » est une affirmation marketing, et non une réalité juridique. La page sur la souveraineté décortique le test structurel plus en détail, avec des références pour chaque exigence.
Le problème des 92 %
Une analyse de 2026 réalisée par Policy Options a révélé que 92 % des outils d'opérations de développement utilisés au Canada relèvent d'une compétence étrangère. Il n'existe presque aucune solution de rechange détenue par des intérêts canadiens dans la plupart des catégories — non pas parce que les entreprises canadiennes ne créent pas de logiciels, mais parce que la couche d'infrastructure a été presque entièrement cédée aux plateformes américaines.
C'est l'écart que Canner existe pour combler. Canner est une plateforme de déploiement constituée au Canada, qui fonctionne exclusivement sur une infrastructure située au Québec, et qui n'est assujettie ni au CLOUD Act ni à aucune loi étrangère d'accès aux données. Lorsque nous disons que vos données restent au Canada, nous voulons dire que l'entité juridique qui contrôle vos données est canadienne — pas seulement le bâtiment où elles sont stockées. Les pratiques techniques précises qui appuient cela se trouvent sur la page sur la sécurité; le flux de travail pratique pour les agences canadiennes dont les clients posent des questions à ce sujet est dans le billet sur le flux de travail des agences.
Foire aux questions
Le choix d'une région canadienne sur AWS rend-il mes données conformes à la LPRPDE?
Choisir ca-central-1 garantit que vos données sont physiquement stockées au Canada, mais l'entité juridique qui contrôle l'infrastructure (Amazon Web Services, Inc.) est constituée aux États-Unis et assujettie au CLOUD Act. Le principe de responsabilité de la LPRPDE exige que vous en teniez compte dans vos pratiques de protection de la vie privée.
Vercel est-il conforme à la LPRPDE?
Vercel est une entreprise constituée aux États-Unis et assujettie au CLOUD Act. Utiliser Vercel signifie que vos données — y compris les variables d'environnement, le contenu des bases de données et les journaux d'application — sont à la portée des procédures judiciaires américaines, peu importe la région de déploiement. La « conformité » dépend de votre contexte précis de traitement des données et de votre évaluation des risques, mais cela crée un écart de compétence qu'une ÉFVP devrait aborder.
Le gouvernement américain peut-il réellement accéder à mes données sur AWS Canada?
Oui, si un mandat ou une assignation valide est délivré en vertu du Stored Communications Act tel que modifié par le CLOUD Act. AWS doit obtempérer, peu importe où les données sont stockées.
Quelle est la différence entre la résidence des données et la souveraineté des données?
La résidence des données signifie que vos données sont physiquement stockées dans un pays donné. La souveraineté des données signifie que la compétence juridique régissant l'accès à ces données correspond au pays où elles sont stockées. Vous pouvez avoir une résidence des données canadienne sur AWS (les bits sont à Montréal) sans souveraineté des données canadienne (l'entreprise est américaine). La souveraineté exige à la fois la résidence physique et la compétence juridique.