Souveraineté numérique — la vérité sur mon infrastructure

Plusieurs consultants Loi 25 affichent un sceau « hébergé au Québec » sans expliquer la mécanique sous-jacente. Cette page fait l'inverse : elle détaille composante par composante l'infrastructure que j'utilise pour mes mandats, identifie où la souveraineté est complète et où elle est en zone grise, et explique pourquoi.

Mon infrastructure actuelle, composante par composante

Je traite des renseignements personnels dans le cadre de mes mandats de contrôle qualité, d'analyse et d'accompagnement. Mes clients ont le droit de savoir précisément où ces données transitent et reposent. Voici l'état au moment de la rédaction.

Composante Fournisseur Souveraineté
Site web kavenchamberland.com WHC — Web Hosting Canada
Entreprise québécoise, serveurs au Canada 		✓ Souveraineté complète
Courriel @kavenchamberland.com WHC — Web Hosting Canada
SMTP mail.kavenchamberland.com, mêmes serveurs québécois 		✓ Souveraineté complète
Nextcloud cloud.kavenchamberland.com
stockage de livrables clients, partages sécurisés 		VPS Vultr — datacenter Toronto
Serveur physique au Canada, entreprise américaine (The Constant Company LLC, Delaware) 		⚠ Zone grise
Outils LLM pour mes analyses internes
détail des modèles dans l'encart ci-dessous 		Anthropic en direct + OpenRouter (GPT, Llama, Mistral, DeepSeek)
Tous fournisseurs hors Canada. Anonymisation systématique avant transmission. 		⚠ Zone grise (mitigée par anonymisation)
Modèles LLM utilisés selon le service

Services qui peuvent traiter des renseignements personnels (anonymisés avant requête) :

Bilan Gouvernance Loi 25 et Diagnostic Stratégique — rapports avec résultats croisés. Le croisement peut faire émerger des renseignements personnels, traités selon le protocole suivant : Anthropic Claude en API directe, anonymisation systématique avant transmission, entente de protection des données (DPA) en place. Anthropic est une entreprise californienne, juridiction US (CLOUD Act).

Services sans renseignements personnels (observations publiques, données agrégées) :

  • Phase Bilan : Analyse numérique, Audit visibilité publique site web, Recherche de subventions
  • Contrôles qualité individuels : Contrôle qualité site web, Contrôle qualité gouvernance, Contrôle qualité numérique
  • Phase Implantation : Analyse d'intégration IA

Quatre modèles fixes sont disponibles via OpenRouter (entreprise américaine, gateway US). Chaque workflow sélectionne le modèle le plus adapté à la section qu'il exécute, selon les forces respectives de chaque modèle. Tous les appels transitent par les serveurs OpenRouter avant d'atteindre le modèle final, ce qui maintient la requête sous juridiction américaine.

  • OpenAI (GPT) — Entreprise américaine. CLOUD Act.
  • Meta (Llama) — Entreprise américaine. CLOUD Act.
  • Mistral AI — Entreprise française. RGPD à l'origine, mais transit par OpenRouter US.
  • DeepSeek — Entreprise chinoise. Juridiction chinoise au modèle final, transit par OpenRouter US.

Dernière révision : 2026-05-12. Configuration stabilisée pour les prochains mois. Liste des modèles inchangée tant qu'aucune mise à jour n'est reportée ici.

La zone grise CLOUD Act — ce que ça signifie réellement

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) permet au gouvernement américain de demander à toute entreprise sous juridiction américaine de remettre les données qu'elle stocke, même si ces données se trouvent physiquement sur un serveur dans un autre pays. Concrètement :

  • Vultr est constituée au Delaware (USA). Le datacenter physique à Toronto n'y change rien pour le CLOUD Act.
  • Anthropic (Claude) est une entreprise californienne. Même quand le traitement passe par les centres canadiens, le contrôle reste américain.
  • La Loi 25 (articles 17 et 18) impose une analyse de l'impact des transferts hors Québec et des ententes contractuelles spécifiques (DPA). La zone grise ne disparaît pas avec un bon DPA — elle est encadrée, pas résolue.

Refuser tout fournisseur sous juridiction américaine signifierait, pour la plupart des PME québécoises, refuser la quasi-totalité des outils numériques utiles actuellement. La question n'est donc pas « comment éviter la zone grise » mais « comment la documenter, l'encadrer et la communiquer honnêtement ».

Ce que ça change concrètement pour mes mandats

Pour les services Contrôle qualité gouvernance, Contrôle qualité site web, Contrôle qualité numérique et Analyse d'intégration IA, voici la mécanique réelle :

  • Réception du formulaire client — par courriel via WHC (souveraineté complète) ou par formulaire web hébergé sur le site (WHC).
  • Production du rapport — je travaille majoritairement sur des observations du site public, de la documentation publique, ou des données anonymisées. Les LLM ne reçoivent jamais d'identifiants directs (nom, courriel, numéro client) — ils reçoivent des observations agrégées ou des fragments anonymisés.
  • Livraison du rapport — PDF envoyé par courriel WHC, ou déposé sur Nextcloud (VPS Vultr Toronto) avec lien temporaire et mot de passe transmis séparément. Le client peut demander une livraison exclusivement par courriel WHC s'il le préfère.
  • Conservation — je conserve les rapports finalisés sur Nextcloud (zone grise) pour la durée du mandat puis selon la politique de rétention convenue. Les brouillons et données de travail sont effacés à la fin du mandat.

Si la zone grise CLOUD Act est un enjeu critique pour votre organisation (ex. cabinet juridique, professionnels de la santé, organisme public), une option 100 % souveraine est disponible sur demande : production du rapport avec une LLM locale hébergée sur mon infrastructure, hors cloud américain. Légèrement moins performante et beaucoup plus lente que les modèles cloud, mais aucun renseignement ne quitte la juridiction canadienne. Prix ajusté sur devis, à discuter à l'étape de cadrage du mandat.

Pour comprendre l'enjeu vous-même

Quatre ressources gratuites sur le site pour creuser la question du transfert de données et de la sécurité de votre infrastructure :

  • Chronologie Gouvernance — la Loi 25, articles 17 et 18 sur les transferts hors Québec, et les autres lois et normes encadrant la circulation des renseignements personnels.
  • Hub Sécurité numérique — CIS Controls, OWASP Top 10, NIST CSF, sécurité du courriel (SPF/DKIM/DMARC) et de la surface web (TLS/HTTPS) — pour structurer la sécurité de vos propres outils.
  • Formation Site web et Loi 25 — politique de confidentialité conforme, évaluation des outils tiers (Google Analytics, chatbots), bannière de consentement, traitement des transferts hors Québec côté site.
  • Formation Numérique de base — inventaire des outils numériques (obligation Loi 25), évaluation des sous-traitants numériques, séparation usages personnel/professionnel.

Stratégie d'amélioration

La migration de Nextcloud et des outils LLM vers une infrastructure 100 % souveraine — fournisseur québécois ou canadien sous juridiction canadienne — est dans ma feuille de route d'évolution. Aucune date d'engagement publique tant que je n'ai pas validé une solution qui répond aux contraintes techniques (puissance, fiabilité, support) et économiques (prix viable pour une PME consultante).

📣 Appel ouvert aux fournisseurs québécois et canadiens

Si vous êtes une entreprise québécoise ou canadienne qui offre des services VPS ou GPU 100 % souverains — gouvernance, propriété, juridiction et serveurs canadiens —, je suis activement intéressé. Mes recherches actuelles n'ont pas permis d'identifier d'offre qui réponde à mes besoins (puissance suffisante pour héberger Nextcloud et faire tourner des modèles LLM locaux, fiabilité, support technique, prix viable pour une PME consultante).

Je suis aussi intéressé à vous référer auprès de mes clients PME québécoises lorsque la question de la souveraineté numérique fait partie de leur mandat de conformité.

Me contacter →

Une question sur la souveraineté de vos données ?

Si la zone grise CLOUD Act est un enjeu critique pour votre organisation, ou si vous cherchez à comprendre quels outils numériques utiliser en restant conforme à la Loi 25, contactez-moi. Un appel d'orientation gratuit de 30 minutes permet d'en discuter sans engagement.

Planifier un appel d'orientation →