La Loi 25 du Québec fait les manchettes — les amendes de 25 millions de dollars canadiens, les évaluations des facteurs relatifs à la vie privée obligatoires, le droit à la portabilité des données. Si vous êtes développeur ou fondateur à Toronto, Vancouver ou Calgary, il est facile de tout ranger sous « un enjeu québécois ».
Ça ne l'est pas. La loi sur la vie privée change quand on franchit une frontière provinciale. Le problème de souveraineté, lui, ne change pas. Voici la carte pour le reste du Canada — et pourquoi la réponse est la même d'un océan à l'autre.
La mosaïque, en bref
Le fédéral et la plupart des provinces : la LPRPDE. La Loi sur la protection des renseignements personnels et les documents électroniques régit le traitement des données du secteur privé au fédéral et dans chaque province qui n'a pas adopté sa propre loi essentiellement similaire. Cela inclut l'Ontario — le plus grand marché du Canada — qui n'a pas de loi générale sur la vie privée pour le secteur privé.
La Colombie-Britannique et l'Alberta : la PIPA.Les deux ont leur propre Personal Information Protection Act, chacune déclarée « essentiellement similaire » à la LPRPDE et s'appliquant à sa place aux activités qui demeurent à l'intérieur de la province. L'Alberta modernise activement son régime ; une révision législative de 2025 a recommandé des sanctions administratives et des règles plus strictes, et la consultation s'est poursuivie jusqu'en 2026.
Le Québec : la Loi 25. La plus stricte du lot, maintenant pleinement en vigueur, avec les amendes les plus élevées et l'évaluation explicite des transferts transfrontaliers.
Une précision mérite d'être faite, parce que la confusion est fréquente : le projet de loi 194 de l'Ontario n'est pas une loi sur la vie privée pour le secteur privé. Il réforme le régime du secteur public (FIPPA) pour les organismes gouvernementaux. Les entreprises de l'Ontario demeurent sous la LPRPDE.
Des lois différentes, une exposition identique
Voici la partie qui ne change pas à la frontière. Chacun de ces régimes vous tient vous responsable des renseignements personnels que vous confiez à un sous-traitant — et chacun d'eux est miné de la même façon par le CLOUD Act américain.
Si votre fournisseur d'hébergement est à propriété américaine, les autorités américaines peuvent réquisitionner vos données, peu importe dans quelle ville canadienne se trouve le serveur. C'est vrai que votre responsabilité passe par la LPRPDE à Ottawa, la PIPA à Victoria ou la Loi 25 à Montréal. Une région canadienne ne règle pas le problème, parce que l'exposition vient de qui contrôle l'exploitant, pas de l'endroit où tourne le disque.
Ce qui veut dire que la solution de souveraineté est aussi identique partout : une plateforme qui est elle-même entièrement à propriété et à exploitation canadiennes échappe au CLOUD Act, et répond à la préoccupation de responsabilité transfrontalière qui ancre tous ces régimes à la fois. Vous n'avez pas besoin d'un fournisseur différent pour chaque province. Vous avez besoin d'un fournisseur qui est réellement canadien.
Misez sur l'argument neutre quant à la juridiction
Si vous vendez à des clients d'un bout à l'autre du pays, un argumentaire axé uniquement sur la Loi 25 s'adresse à une seule province et laisse le reste de glace. L'accroche qui fonctionne partout est celle qui se trouve sous tout le reste : à propriété canadienne, à exploitation canadienne, hors du CLOUD Act américain. Cette phrase est vraie pour un acheteur LPRPDE de l'Ontario, un acheteur PIPA de la C.-B. et un acheteur Loi 25 du Québec, de manière égale — et c'est la phrase que l'approvisionnement fédéral inscrit maintenant dans ses propres exigences.
Ce que cela signifie pour vous
Où que vous soyez au Canada, la posture de conformité est la même : gardez les données au Canada, et gardez l'exploitant canadien. Canner fait les deux — hébergé au Québec, 100 % à propriété canadienne — et l'appuie avec la documentation que votre régime exige : une entente de traitement des données conçue pour la LPRPDE et la Loi 25, et une attestation écrite de résidence des données pour votre dossier de confidentialité, offerte sur tout forfait ou incluse dans le forfait Entreprise. Le mécanisme complet se trouve sur notre page sur la souveraineté.