Voici ce que la plupart des entreprises canadiennes ne réalisent pas : la LPRPDE ne peut pas protéger vos données du droit américain. Si votre fournisseur d'hébergement est une entreprise américaine, un tribunal américain peut le contraindre à remettre vos données en vertu du CLOUD Act, et votre conformité à la LPRPDE n'empêche pas cette divulgation. Peu importe que vos serveurs soient à Toronto. Peu importe que vos utilisateurs soient canadiens. Le cadre juridique applicable suit l'entreprise, pas le centre de données.
Cette tension entre la loi canadienne sur la vie privée et la juridiction américaine est au coeur du problème de souveraineté des données. Tout le reste en découle.
Ce que le CLOUD Act fait réellement
En 2018, les États-Unis ont adopté le Clarifying Lawful Overseas Use of Data Act (en anglais). Il donne aux forces de l'ordre américaines un mécanisme juridique pour contraindre les entreprises américaines à produire des données, peu importe où elles sont stockées. Toronto, Francfort, Sydney. Si l'entreprise d'hébergement est américaine, les autorités américaines peuvent émettre une demande (18 U.S.C. § 2713, en anglais).
Les demandes en vertu du CLOUD Act s'inscrivent dans les standards échelonnés du Stored Communications Act (en anglais) : les données de contenu (comme les courriels ou les fichiers stockés) exigent généralement un mandat fondé sur une cause probable, les données non liées au contenu peuvent être obtenues par une ordonnance en vertu du § 2703(d) selon un standard inférieur de « motifs raisonnables », et les informations de base sur l'abonné peuvent être obtenues par simple citation à comparaître. Ce n'est pas de la surveillance de masse. Les entreprises qui reçoivent une demande peuvent la contester, et certaines le font, particulièrement quand la conformité violerait les lois du pays où les données sont stockées. Microsoft a célèbrement contesté une demande pré-CLOUD Act pour des données stockées en Irlande (United States v. Microsoft Corp., en anglais), ce qui fait partie des raisons pour lesquelles la loi a été rédigée.
Cela dit, contester une demande gouvernementale de données est coûteux et long, et le standard juridique pour en émettre une n'est pas particulièrement élevé. Le CLOUD Act s'applique à tout fournisseur assujetti à la juridiction américaine, ce que le livre blanc du DOJ lui-même (en anglais) décrit comme s'étendant aux entreprises ayant des liens suffisants avec les États-Unis. En pratique, cela englobe les fournisseurs basés aux États-Unis comme AWS, Google Cloud, Azure, Heroku, Vercel, Render, Railway et DigitalOcean, ainsi que les entreprises étrangères ayant des activités importantes aux États-Unis.
Accords exécutifs et ententes bilatérales
Le CLOUD Act a aussi créé un cadre pour des accords exécutifs bilatéraux entre les États-Unis et d'autres pays. Ces accords permettent aux gouvernements étrangers de demander des données directement aux entreprises américaines sans passer par le processus plus lent des traités d'entraide juridique mutuelle (TEJM), et vice versa.
L'accord d'accès aux données États-Unis/Royaume-Uni (en anglais) a été la première entente de ce type, signée en 2019 et entrée en vigueur le 3 octobre 2022. En vertu de cet accord, les forces de l'ordre britanniques peuvent demander des données directement aux entreprises technologiques américaines pour des enquêtes sur des crimes graves, contournant entièrement les canaux TEJM. L'accord a été renouvelé de façon anticipée en novembre 2024 (en anglais). L'Australie a signé un accord similaire (en anglais) en décembre 2021, entré en vigueur le 31 janvier 2024.
Le Canada et les États-Unis ont annoncé le début des négociations CLOUD Act en mars 2022 (en anglais). Au début de 2026, aucune entente n'a été finalisée. Le Citizen Lab de l'Université de Toronto a soulevé des préoccupations quant à la compatibilité constitutionnelle (en anglais), notant que la Cour suprême du Canada a rejeté la « doctrine du tiers » américaine dans R. c. Bykovets, 2024 CSC 6. Les protections constitutionnelles canadiennes pour les données électroniques sont sensiblement différentes des protections américaines.
Les relations Canada-États-Unis dans leur ensemble ont compliqué les choses. Les tensions commerciales qui se sont intensifiées tout au long de 2025 ont rendu toute entente bilatérale politiquement délicate. Certains experts juridiques et organisations de libertés civiles ont recommandé au Canada de suspendre entièrement les négociations (en anglais) jusqu'à ce que des garanties plus solides puissent être assurées.
Qu'il y ait ou non un accord exécutif, le problème fondamental du CLOUD Act demeure. Les entreprises américaines sont déjà assujetties au droit américain. Un accord exécutif formaliserait un canal d'accès bidirectionnel aux données, mais l'exposition unidirectionnelle (les tribunaux américains contraignant les entreprises américaines) existe déjà aujourd'hui.
Pourquoi la LPRPDE seule ne suffit pas
La LPRPDE est la loi fédérale canadienne sur la vie privée, exigeant des organisations qu'elles protègent les renseignements personnels. Beaucoup d'entreprises canadiennes supposent que la conformité à la LPRPDE signifie que leurs données sont protégées. Mais la LPRPDE régit ce que les organisations canadiennes doivent faire. Elle n'a aucune autorité sur ce qu'un tribunal américain peut contraindre une entreprise américaine à faire.
Si vous hébergez chez AWS, Vercel ou Railway, et qu'un tribunal américain émet une demande en vertu du CLOUD Act, votre conformité à la LPRPDE est sans pertinence dans ce processus. L'entreprise d'hébergement répond au processus juridique américain, pas canadien. Votre politique de résidence des données, votre évaluation des facteurs relatifs à la vie privée, votre accord de traitement des données avec le fournisseur : rien de tout cela ne prévaut sur une ordonnance d'un tribunal américain adressée à une entreprise américaine.
Le gouvernement du Canada lui-même a reconnu cette lacune. Dans son livre blanc sur la souveraineté des données et le nuage public, le gouvernement note qu'un fournisseur de services cloud ayant des opérations étrangères pourrait être contraint de se conformer à un mandat, une ordonnance judiciaire ou une citation à comparaître d'une force de l'ordre étrangère cherchant à obtenir des données du gouvernement du Canada, et que selon certaines lois étrangères, la divulgation pourrait avoir lieu sans préavis au gouvernement du Canada.
La résidence des données seule ne suffit pas. Héberger chez une entreprise canadienne signifie que les demandes de données passent par les tribunaux canadiens selon des normes juridiques canadiennes, ce qui est un cadre différent (et pour les entreprises canadiennes, plus prévisible).
Les lois provinciales sur la vie privée ajoutent d'autres couches
La LPRPDE est le seuil fédéral, mais plusieurs provinces ont leur propre législation en matière de vie privée qui crée des obligations supplémentaires. Ces lois provinciales ne peuvent pas non plus contrer le CLOUD Act, mais elles augmentent les enjeux de conformité liés au choix d'un mauvais fournisseur d'hébergement.
La Loi 25 du Québec, dont les dispositions finales sont entrées en vigueur en septembre 2024 (en anglais), est la plus importante. Elle exige une évaluation des facteurs relatifs à la vie privée (EFVP) chaque fois que des renseignements personnels sont transférés hors du Québec. Les organisations doivent préciser la destination, l'objectif du transfert et les risques associés. Les amendes pénales atteignent 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé (en anglais). Héberger chez un fournisseur canadien au Canada simplifie considérablement les choses. Héberger chez un fournisseur américain signifie que votre EFVP doit tenir compte de l'exposition au CLOUD Act, un risque difficile à atténuer sur papier.
La Loi sur la protection des renseignements personnels sur la santé de l'Ontario (LPRPS, ou PHIPA en anglais) régit les données de santé. Bien que la LPRPS n'impose pas explicitement un stockage exclusivement canadien pour les organisations du secteur privé, les dépositaires de renseignements sur la santé font face à des exigences strictes en matière de sécurité, de contrôles d'accès et de pistes de vérification. Héberger des dossiers de patients chez un fournisseur sous juridiction américaine crée une tension difficile à résoudre dans un audit de conformité : votre cadre de protection des données dit une chose, mais la juridiction légale de votre fournisseur dit autre chose.
La loi sur la protection des renseignements personnels de la Colombie-Britannique (PIPA) exige des organisations qu'elles protègent les renseignements personnels transférés aux fins de traitement. Pour les organismes publics, la loi sur l'accès à l'information et la protection de la vie privée de la C.-B. (FIPPA) interdisait historiquement le stockage de renseignements personnels hors du Canada, bien que le projet de loi 22 de 2021 ait assoupli ces restrictions, sous réserve d'une évaluation des facteurs relatifs à la vie privée (en anglais).
La tendance est constante dans toutes ces lois provinciales. Aucune ne peut empêcher une demande en vertu du CLOUD Act. Mais toutes créent des obligations de conformité qui deviennent plus difficiles à satisfaire quand votre infrastructure est assujettie à un cadre juridique étranger.
Ce que cela signifie en pratique
Pour être juste, le Canada et les États-Unis ont un traité d'entraide juridique (TEJM), ce qui signifie que les forces de l'ordre canadiennes peuvent demander des données par des mécanismes transfrontaliers similaires. Aucune juridiction n'est un bouclier parfait. La différence est le processus : une demande TEJM passe par des canaux diplomatiques et judiciaires dans les deux pays. Une demande en vertu du CLOUD Act est émise directement par un tribunal américain à une entreprise américaine. Pour les entreprises canadiennes, la préoccupation est moins « est-ce qu'un gouvernement peut un jour accéder aux données » et plus « quel cadre juridique régit cet accès ».
Pour un blogue personnel, rien de tout cela n'a d'importance. Mais pour des industries spécifiques, le CLOUD Act crée une exposition réelle et documentée.
Prenons une startup en santé en Ontario qui développe un portail patient. La LPRPS exige des contrôles stricts sur les renseignements personnels sur la santé. Si cette startup héberge sur AWS ou Vercel, un tribunal américain pourrait contraindre l'accès aux dossiers de patients sans aucune supervision judiciaire canadienne. Essayez d'expliquer ce risque dans un audit de conformité.
Ou un cabinet d'avocats qui stocke les dossiers de ses clients sur une infrastructure hébergée aux États-Unis. Le secret professionnel est une pierre angulaire du système juridique canadien. Une demande en vertu du CLOUD Act adressée au fournisseur d'hébergement contourne entièrement le processus juridique canadien. Le Barreau ne voit pas ce type d'exposition d'un bon oeil.
Les services financiers font face à un examen similaire. La ligne directrice B-13 du BSIF, en vigueur depuis le 1er janvier 2024, établit les attentes quant à la gestion des risques technologiques et cybernétiques par les institutions financières fédérales. Bien que la B-13 soit fondée sur des principes plutôt que prescriptive sur l'emplacement des données, les institutions doivent démontrer qu'elles comprennent et peuvent gérer les risques juridictionnels et liés aux tiers. L'infrastructure hébergée aux États-Unis est un risque qui doit être documenté, justifié et atténué.
Les agences qui traitent des contrats gouvernementaux font souvent face à des exigences explicites de résidence des données dans les appels d'offres. Utiliser une infrastructure cloud américaine, même avec des régions de centres de données canadiens, peut disqualifier une soumission.
L'alternative canadienne
Une véritable souveraineté des données canadiennes signifie plus que « serveurs au Canada ». Elle nécessite une juridiction canadienne (l'entreprise est assujettie au droit canadien, pas américain), une infrastructure canadienne (serveurs physiques dans des centres de données canadiens), et des fournisseurs de services canadiens (infrastructure sous-jacente non assujettie à la juridiction américaine). Beaucoup de fournisseurs d'« hébergement canadien » sont des filiales américaines ou utilisent une infrastructure cloud américaine.
MapleDeploy est détenu et exploité par des Canadiens, sans dépendances cloud américaines pour vos données d'application. Le traitement des paiements utilise Stripe, une entreprise américaine, pour des raisons de conformité PCI. Nous offrons le virement Interac comme alternative entièrement canadienne. Consultez notre article sur pourquoi nous utilisons Stripe.
Nous voulons être honnêtes sur les limites de ceci. La juridiction canadienne signifie que les demandes de données passent par les tribunaux canadiens, ce qui est un cadre plus prévisible pour les entreprises canadiennes. Mais ce n'est pas un bouclier impénétrable. Les tribunaux canadiens peuvent et coopèrent avec les gouvernements étrangers par le biais de traités et d'assistance judiciaire. Et comme petite entreprise, nous avons moins de ressources juridiques pour contester une demande gouvernementale qu'une grande entreprise. Ce que nous pouvons garantir, c'est le cadre juridique : le droit canadien régit vos données, et toute demande d'accès doit passer par le processus juridique canadien.
Évaluer les fournisseurs d'hébergement
Quand vous évaluez des fournisseurs d'hébergement, posez ces questions. Les réponses vous en diront plus que n'importe quelle page marketing.
Qui est propriétaire du service, et où la société mère est-elle constituée? Un nom de marque canadien ne sert à rien si la société mère est une corporation américaine assujettie à la juridiction américaine. Vérifiez la structure corporative, pas seulement le nom de domaine.
Utilisent-ils une infrastructure cloud américaine en arrière-plan? Beaucoup de fournisseurs d'hébergement canadiens fonctionnent sur AWS, Google Cloud ou Azure. Même si vos données sont dans une région de Toronto, le fournisseur d'infrastructure est toujours une entreprise américaine. Demandez spécifiquement si le calcul, le stockage et le réseau sous-jacents sont fournis par une entreprise sous juridiction américaine.
Peuvent-ils fournir une attestation de résidence des données? Une déclaration écrite et claire que vos données sont stockées et traitées exclusivement au Canada, sur une infrastructure non assujettie à la juridiction américaine. S'ils hésitent ou vous redirigent vers une politique de confidentialité générique, c'est révélateur.
Quelle est leur politique pour les demandes de données de gouvernements étrangers? Comment traitent-ils les demandes des forces de l'ordre de gouvernements non canadiens? Avisent-ils les clients? Contestent-ils les demandes qui entrent en conflit avec le droit canadien? Un fournisseur qui n'a pas réfléchi à cette question n'y est pas préparé.
Le CLOUD Act ne va pas disparaître. Pour les entreprises canadiennes avec des obligations de conformité ou des clients qui se soucient de la souveraineté des données, comprendre ce paysage n'est pas optionnel. MapleDeploy offre le déploiement par git push, des bases de données gérées et une expérience de développement moderne, construit sur Coolify, un logiciel libre. Le tout sur une infrastructure canadienne hors juridiction américaine.
Juridiction canadienne par défaut
Vos données, régies par le droit canadien. Essayez MapleDeploy gratuitement pendant 30 jours.