Cherchez « hébergement Web canadien » et vous trouverez des listicles classant les fournisseurs par prix et temps de disponibilité. La plupart sont du contenu d'affiliation, et la plupart des hébergeurs « canadiens » qu'ils recommandent sont des entreprises américaines avec un centre de données à Toronto. La distinction entre « serveurs au Canada » et « hébergement canadien » est rarement expliquée dans ces articles. Elle compte plus qu'on ne le pense.
Ce que « hébergement canadien » signifie habituellement
La plupart des fournisseurs qui annoncent des « serveurs canadiens » offrent exactement cela : des serveurs au Canada. L'entreprise est toujours américaine. Vos données sont toujours assujetties à la loi américaine. Cela importe si vous vous souciez de la souveraineté des données, que ce soit pour la conformité ou par préférence.
GoDaddy a son siège à Tempe, en Arizona (en anglais). Bluehost appartient à Newfold Digital (en anglais), une entreprise américaine formée en 2021 par la fusion d'Endurance International Group et de Web.com, dont le portefeuille de marques (en anglais) inclut HostGator, Network Solutions, Register.com et plusieurs autres. SiteGround est une entreprise bulgare (en anglais) dont le siège est à Sofia. Les trois apparaissent dans les listes « meilleur hébergement canadien », et les trois vous vendront volontiers un forfait avec un emplacement de serveur canadien. Aucune n'est une entreprise canadienne.
Il existe des fournisseurs véritablement canadiens. Web Hosting Canada (WHC) est basé à Montréal depuis 2003. HostPapa (en anglais) a son siège à Burlington, en Ontario. Ce sont de vraies entreprises canadiennes, mais elles offrent principalement de l'hébergement mutualisé traditionnel avec cPanel. L'essentiel, c'est qu'il faut vérifier. Un domaine « .ca » et une feuille d'érable sur la page d'accueil ne vous disent pas où l'entreprise est constituée ni quelle loi régit vos données.
Pour les soins de santé, les cabinets d'avocats, les services financiers et les contrats gouvernementaux, la juridiction canadienne est souvent une exigence ferme. Mais vous n'avez pas besoin d'une raison réglementaire. « Entièrement canadien » devient à la fois un avantage concurrentiel et une préférence personnelle.
De cPanel aux conteneurs
L'hébergement Web canadien signifiait autrefois une seule chose : l'hébergement mutualisé avec cPanel. Vous obteniez un accès à un panneau de contrôle, téléversiez des fichiers par FTP, configuriez une base de données MySQL via phpMyAdmin et mettiez en place des comptes courriel. WHC, HostPapa et des dizaines de fournisseurs plus petits ont bâti leurs entreprises sur ce modèle. Ça fonctionnait bien pour les sites WordPress et les applications PHP.
Le problème, c'est que le reste de l'industrie a avancé. Heroku (en anglais) a popularisé le déploiement par git push dans ses premières versions de plateforme. Les conteneurs Docker ont changé la façon dont les applications sont empaquetées. Vercel et Railway ont rendu le déploiement d'applications Node.js et Python trivial. Ces plateformes offraient une expérience développeur que l'hébergement mutualisé cPanel ne pouvait égaler.
Mais toutes ces plateformes modernes sont américaines. Heroku fonctionne sur AWS. Railway utilise une infrastructure américaine. Vercel déploie sur des réseaux périphériques sans option spécifiquement canadienne. Les développeurs canadiens qui voulaient une expérience de déploiement moderne devaient quitter l'infrastructure canadienne pour l'obtenir. Pendant des années, le choix était entre « juridiction canadienne avec des outils dépassés » et « expérience développeur moderne sur infrastructure américaine ». C'est cet écart que MapleDeploy a été construit pour combler.
La question de la latence
« Mon site ne sera-t-il pas lent pour les utilisateurs à l'extérieur du Canada? » C'est la première objection qu'on entend, et d'après notre expérience, les chiffres ne la soutiennent pas. Les latences aller-retour typiques depuis Toronto tournent autour de 10 ms vers Montréal, de 15 à 25 ms vers New York et Chicago, de 60 à 70 ms vers San Francisco, et sous les 90 ms vers Londres. Vos propres résultats varieront selon le chemin réseau et le fournisseur.
Pour mettre les choses en contexte, une requête de base de données typique prend des dizaines de millisecondes, et un appel API à un service tiers en ajoute souvent des centaines de plus. La latence réseau entre Toronto et n'importe quelle grande ville nord-américaine est habituellement un arrondi dans le temps de réponse des applications. Vos utilisateurs ne remarqueront pas la différence entre un serveur à Toronto et un serveur en Virginie.
Si vous bâtissez une application grand public mondiale optimisée pour des utilisateurs à Singapour ou à Sydney, utilisez le déploiement en périphérie. Mais pour les entreprises canadiennes desservant des utilisateurs nord-américains, ce qui couvre la plupart des SaaS B2B, outils internes, projets clients et travaux d'agence, l'hébergement canadien à région unique est le bon choix.
La LPRPDE et le cadre fédéral
La LPRPDE est la loi fédérale canadienne sur la confidentialité. Elle exige des organisations qu'elles protègent les renseignements personnels et soient responsables de leur gestion. Un détail qui surprend beaucoup de gens : la LPRPDE n'exige pas explicitement que les données restent au Canada. Vous pouvez transférer des renseignements personnels à l'extérieur du Canada, pourvu que vous mainteniez des protections comparables et que votre politique de confidentialité divulgue le transfert.
Cela dit, « protections comparables » fait beaucoup de travail dans cette phrase. Si votre fournisseur d'hébergement est une entreprise américaine, vos données sont assujetties au CLOUD Act peu importe où les serveurs se trouvent physiquement. Un tribunal américain peut contraindre une entreprise américaine à produire des données stockées n'importe où dans le monde. Soutenir que votre exposition au CLOUD Act constitue une « protection comparable » au maintien des données sous juridiction canadienne est un argument difficile à défendre, surtout devant un organisme de réglementation qui examine vos pratiques après un incident.
En pratique, garder les données sur une infrastructure canadienne sous un fournisseur de juridiction canadienne est la façon la plus simple de répondre aux exigences de responsabilité de la LPRPDE. Pas de divulgation de transfert transfrontalier, pas d'évaluation d'adéquation, pas de protections contractuelles complexes avec des sous-traitants étrangers. Cela élimine une catégorie entière de travail de conformité.
Les lois provinciales ajoutent des exigences
La LPRPDE établit le plancher, pas le plafond. Plusieurs provinces ont leur propre législation en matière de confidentialité qui va plus loin.
La loi 25 du Québec est la plus significative. Sa dernière phase est entrée en vigueur le 22 septembre 2024, complétant un déploiement de trois ans. Elle exige une évaluation des facteurs relatifs à la vie privée avant de transférer des renseignements personnels à l'extérieur du Québec. Si votre application fonctionne sur une infrastructure américaine, cela compte comme un transfert transfrontalier. L'évaluation doit déterminer si la juridiction de destination offre une protection adéquate, et pour une infrastructure américaine soumise au CLOUD Act, cette analyse est complexe et son résultat, incertain. Garder les données au Canada élimine entièrement cette exigence pour vos données applicatives.
La Loi sur la protection des renseignements personnels sur la santé de l'Ontario (LPRPS, ou PHIPA en anglais) régit spécifiquement les données de santé. Si vous construisez quoi que ce soit qui traite des renseignements sur les patients, des dossiers cliniques ou des données personnelles liées à la santé pour des résidents de l'Ontario, la LPRPS s'applique. Elle restreint la façon dont les renseignements personnels sur la santé peuvent être divulgués à l'extérieur de l'Ontario et exige que les dépositaires prennent des mesures raisonnables pour les protéger. Les entreprises en démarrage dans le domaine de la santé, les plateformes de télésanté et les entreprises de technologie de la santé devraient considérer l'hébergement canadien comme une exigence de base, pas comme un complément optionnel.
La PIPA (en anglais) de la Colombie-Britannique s'applique largement aux organisations du secteur privé opérant en C.-B. Bien qu'elle n'impose pas explicitement le stockage des données au Canada, elle exige que les renseignements personnels transférés à l'extérieur de la C.-B. reçoivent une protection équivalente. Pour le secteur public de la C.-B., les règles sont plus strictes : la Freedom of Information and Protection of Privacy Act (FIPPA), article 30.1 (en anglais) exige généralement que les renseignements personnels détenus par les organismes publics soient stockés et accessibles uniquement au Canada, sous réserve d'exceptions limitées.
La tendance dans les provinces est vers des protections plus fortes et un examen plus rigoureux des flux de données transfrontaliers. Bâtir sur une infrastructure canadienne aujourd'hui signifie que vous n'aurez pas à migrer quand la prochaine vague d'exigences provinciales arrivera.
Ce qu'il faut chercher
Évaluer un fournisseur d'hébergement pour la résidence des données canadienne va au-delà de vérifier un menu déroulant d'emplacement de serveur. Voici ce qui compte vraiment.
Juridiction, pas seulement géographie. Qui possède l'entreprise? Où est-elle constituée? Une adresse postale canadienne sur le site Web ne veut pas dire grand-chose si la société mère est américaine. Vérifiez les registres des sociétés, pas les pages marketing. Si le fournisseur utilise AWS, GCP ou Azure en coulisses, vos données sont chez une entreprise américaine peu importe l'emplacement du serveur.
Documentation de conformité. Peuvent-ils fournir une attestation de résidence des données? Ont-ils une politique de confidentialité publiée qui couvre leur gestion des demandes gouvernementales d'accès aux données? Si vous êtes dans une industrie réglementée, vous aurez besoin de cette documentation. Les fournisseurs qui ne peuvent pas la produire n'y ont probablement pas réfléchi.
Expérience développeur. C'est là que les hébergeurs canadiens traditionnels sont en retard. Pouvez-vous déployer depuis un dépôt git? Supportent-ils les langages et bases de données dont votre application a besoin? Y a-t-il une API? Si l'expérience développeur ressemble à 2010, votre équipe la combattra tous les jours.
Modèle de tarification. La tarification par projet ou par ressource s'accumule vite si vous exécutez plusieurs applications. Certains fournisseurs facturent séparément les bases de données, les certificats SSL, les domaines et la bande passante. Un tarif mensuel fixe pour un environnement dédié est plus simple à budgéter et évolue de façon plus prévisible.
Politiques de sauvegarde et de récupération. Où sont stockées les sauvegardes? Sont-elles aussi au Canada? À quelle vitesse pouvez-vous restaurer? Certains fournisseurs stockent les sauvegardes sur une infrastructure américaine même quand les serveurs principaux sont canadiens, ce qui crée une lacune de résidence des données facile à manquer.
Propriété de l'infrastructure. Plusieurs fournisseurs revendent une infrastructure cloud américaine, ce qui signifie que vos données sont toujours chez une entreprise américaine à la couche infrastructure. Demandez s'ils possèdent ou louent leurs serveurs, et auprès de qui. « Nous utilisons AWS Canada » n'est pas la même chose que « Nous exploitons notre propre infrastructure au Canada ».
L'option moderne
Vous n'avez plus à choisir entre « PaaS convivial pour les développeurs » et « juridiction canadienne ». MapleDeploy vous offre les deux : déploiement par git push, SSL automatique, PostgreSQL, MySQL, Redis et MongoDB en un clic. Une véritable juridiction canadienne, pas seulement des serveurs canadiens. Voyez comment nous nous comparons à Heroku, Railway, Vercel, Render, Fly.io et DigitalOcean.
Chaque client obtient une machine virtuelle dédiée sur une infrastructure canadienne à Toronto. Pas de serveurs partagés, pas de dépendances cloud américaines pour vos données applicatives. Le fournisseur d'infrastructure sous-jacent, LunaNode (en anglais), est une entreprise constituée en Colombie-Britannique qui exploite son propre matériel. C'est la juridiction canadienne à chaque couche.
Si la juridiction ne vous importe pas, utilisez ce qui coûte le moins cher. Si vous préférez garder vos projets sur une infrastructure canadienne, vous pouvez maintenant le faire sans renoncer à l'expérience de développement moderne. Notre guide de démarrage détaille la procédure complète, de l'inscription à une application en ligne.
Un hébergement qui répond à la question
Juridiction canadienne, pas seulement des serveurs canadiens. Essayez MapleDeploy gratuitement pendant 30 jours.