Souveraineté des données

Souveraineté des données canadiennes, par construction.

La résidence signifie que vos données sont au Canada. La souveraineté des données signifie qu'elles relèvent uniquement du droit canadien — et d'aucun autre.

La résidence des données n'est pas la souveraineté des données.

La plupart des plateformes qui annoncent une « résidence canadienne des données » sont des sociétés constituées aux États-Unis. Le disque est à Toronto ou à Montréal; la société mère est au Delaware ou en Californie. Cette société mère peut être contrainte par un tribunal américain en vertu du CLOUD Act de divulguer vos données — peu importe l'emplacement du disque.

L'Indice canadien de souveraineté technologique de 2026 indique qu'environ 80 % des outils SaaS annonçant une résidence canadienne des données demeurent assujettis au droit américain. Seulement un sur cinq, environ, est à la fois résident canadien et propriété canadienne.

Canner appartient à cette minorité — et a été conçu pour cela.

Ce que le CLOUD Act fait réellement.

Le CLOUD Act — le Clarifying Lawful Overseas Use of Data Act, adopté en 2018 — permet aux autorités fédérales américaines de délivrer des assignations, des mandats et des ordonnances de divulgation à toute société assujettie au droit américain. Cela vise généralement toute société constituée aux États-Unis, ayant des activités américaines substantielles, ou détenue par une société mère américaine. L'emplacement physique des données n'est pas une défense.

Aucun accord exécutif Canada–États-Unis en vertu du CLOUD Act n'est en vigueur. Les négociations sont au point mort depuis plus de trois ans. Un accord Royaume-Uni–États-Unis existe — et une divulgation de 2025 a révélé que le Royaume-Uni s'en est servi pour exiger en secret une porte dérobée de chiffrement mondiale auprès d'un grand fournisseur technologique américain.

Les commentaires juridiques canadiens en 2025-2026 convergent vers une règle claire : une entité constituée et exploitée entièrement au Canada échappe généralement à la portée du CLOUD Act. Une filiale canadienne d'une société mère américaine, non.

Comment Canner est structurée.

La souveraineté des données doit être conçue au niveau de la société, pas au niveau du centre de données. Voici à quoi cela ressemble pour Canner :

  • Propriété canadienne

    Canner est entièrement canadienne et opère depuis le Québec. Aucune société mère américaine. Aucune affiliation américaine. Aucun investisseur étranger.

  • Exploitation et personnel canadiens

    Tout le personnel est au Canada. Le traitement des paiements, le soutien et les opérations sont régis par le droit canadien et québécois.

  • Hébergement québécois sur infrastructure canadienne

    Le calcul, le stockage et les bases de données des locataires fonctionnent sur des VPS d'Hébergement Web Canada à Montréal, sur le réseau d'Hydro-Québec — plus de 99 % d'énergie renouvelable.

  • Aucun transit réseau étranger par défaut

    Cloudflare gère uniquement le DNS et l'émission de certificats TLS — aucun proxy de trafic, aucun cache de bordure. Les requêtes de votre application ne transitent pas par un réseau edge américain en exploitation normale.

Où cela compte — par public.

  • Si vous êtes au Québec

    La Loi 25 du Québec est entrée pleinement en vigueur en septembre 2024. Les amendes administratives atteignent 10 millions $ CA ou 2 % du chiffre d'affaires mondial; les amendes pénales atteignent 25 millions $ CA ou 4 %. L'article 17 de la Loi exige une évaluation des facteurs relatifs à la vie privée avant tout transfert de renseignements personnels hors Québec. L'hébergement sur Canner satisfait à ce critère par défaut, en gardant les données au Québec.

  • Si vous êtes ailleurs au Canada

    La LPRPDE au fédéral, la PIPA en C.-B., la PIPA en Alberta et la LPRPS en Ontario (pour les renseignements de santé) s'appliquent simultanément. L'architecture qui satisfait la Loi 25 satisfait ces régimes par construction — une plateforme résidente et contrôlée au Canada évite les problèmes de responsabilité transfrontalière qui sous-tendent la plupart des lignes directrices provinciales.

  • Si vous vendez au gouvernement ou aux secteurs réglementés

    En août 2025, Services partagés Canada a publié une demande d'information pour un nuage public entièrement souverain — données traitées, transmises et stockées exclusivement au Canada, réservé aux fournisseurs entièrement détenus et contrôlés par des personnes canadiennes. La politique fédérale Achetons canadien est en vigueur depuis décembre 2025, et le Cadre de souveraineté numérique du gouvernement du Canada (2024) traite la nationalité du fournisseur comme un critère de premier ordre. Canner est conçue pour répondre « non assujettie au CLOUD Act » de façon affirmative, par écrit.

Vocabulaire de la souveraineté des données, en bref.

Résidence des données
L'exigence que les renseignements personnels soient stockés sur un support physique situé dans une juridiction donnée (par exemple, le Canada). Nécessaire mais insuffisant pour la souveraineté des données.
Souveraineté des données
État dans lequel les renseignements personnels relèvent uniquement des lois de la juridiction où ils résident — et d'aucune procédure juridique étrangère. Exige que l'entité exploitante soit elle-même locale.
CLOUD Act américain
Le Clarifying Lawful Overseas Use of Data Act (2018). Autorise les autorités fédérales américaines à contraindre toute société assujettie au droit américain à divulguer des données, peu importe leur emplacement.
LPRPDE
La Loi sur la protection des renseignements personnels et les documents électroniques (fédérale, Canada). Régit la façon dont les organisations privées collectent, utilisent et divulguent les renseignements personnels.
Loi 25 du Québec
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c. 25). Le régime de protection des renseignements personnels le plus strict du secteur privé au Canada.
Évaluation des facteurs relatifs à la vie privée (EFVP)
Une évaluation formelle qu'un transfert de renseignements personnels ou une nouvelle activité de traitement satisfait au régime juridique applicable. Exigée par l'article 17 de la Loi 25 pour les transferts hors Québec.

Les questions des développeurs et des équipes de conformité.

Canner est-elle assujettie au CLOUD Act américain?
Non. Canner est entièrement de propriété et d’exploitation canadiennes, sans société mère, filiale ni lien juridique américain. Vos données relèvent uniquement du droit canadien — la LPRPDE au fédéral et la Loi 25 au Québec.
Une région canadienne d’AWS suffit-elle pour la conformité à la Loi 25?
Pas à elle seule. Une région canadienne d’un fournisseur américain garde les données au Canada, mais les laisse sous juridiction américaine via le CLOUD Act, ce qui déclenche tout de même une évaluation des facteurs relatifs à la vie privée pour le transfert sous la Loi 25. Canner élimine cette exposition parce que l’entreprise elle-même est canadienne.
Canner signe-t-elle une entente de traitement des données?
Oui. Une entente conçue pour la LPRPDE et la Loi 25 du Québec est offerte sur n’importe quel forfait en module ponctuel à 149 $ CA, et incluse dans le forfait Entreprise.
Pouvez-vous fournir une attestation de résidence pour mon évaluation des facteurs relatifs à la vie privée?
Oui. Nous fournissons une déclaration signée indiquant où résident vos données et quelles lois s’y appliquent, prête à joindre à une ÉFVP sous la LPRPDE ou la Loi 25 — en module à 149 $ CA, ou incluse avec Entreprise.
Prenez-vous en charge les évaluations de transfert de la Loi 25?
Comme Canner n’a aucun lien américain, l’hébergement chez nous évite le transfert transfrontalier qui déclenche une telle évaluation. Nous fournissons l’attestation de résidence et l’entente de traitement pour le documenter.

Vos données restent canadiennes.

Forfait gratuit disponible. Aucune carte requise pour commencer avec Démarrage.