Cloud étranger, cloud 100 % québécois ou self-hosted :
décider sans parti pris idéologique

La question n'est plus « cloud ou pas cloud ». Quasiment toute PME utilise au moins un service infonuagique — ne serait-ce que pour le courriel. La vraie question est : qui contrôle juridiquement les données, peu importe le pays où elles sont physiquement entreposées? Et ce contrôle juridique est-il compatible avec ce que la Loi 25 oriente, sans rentrer dans la sur-conformité ni dans l'idéologie?

Le concept clé : résidence des données ≠ souveraineté des données

Beaucoup de fournisseurs vendent leur service en disant « vos données sont hébergées au Canada » — c'est de la résidence, la localisation physique. La souveraineté, elle, désigne la juridiction légale qui peut contraindre l'accès aux données. Les deux ne sont pas synonymes.

Microsoft a confirmé publiquement en 2025-2026 que si un ordre CLOUD Act légalement valide est émis, l'entreprise est obligée de s'y conformer, peu importe la localisation des données — y compris pour son option Advanced Data Residency Canada. La résidence canadienne renforce le dossier d'EFVP mais ne soustrait pas à la juridiction US.

Catégorie 1 — Cloud étranger

Microsoft 365, Google Workspace, Dropbox Business, Slack, Salesforce, AWS, Zoom. Solutions américaines ou européennes hébergées dans des datacenters mondiaux. C'est la catégorie utilisée par défaut par la majorité des PME québécoises.

Avantages

• Catalogue de fonctionnalités étendu — l'écart fonctionnel reste réel face aux alternatives québécoises pour certains usages spécifiques (intégrations métier, IA intégrée, automatisations avancées)
• Intégration multi-outils mature — l'écosystème Microsoft 365 ou Google Workspace s'intègre nativement avec des centaines d'applications tierces
• MFA centrale (authentification multi-facteur — la double vérification de l'identité au-delà du mot de passe seul) gérée d'un seul point — Microsoft Entra ID ou IDP Google centralisent l'authentification de toute l'organisation
• Prix prévisible par utilisateur et par mois — facilite la planification budgétaire
• Adoption rapide — vos employés connaissent déjà l'interface

Inconvénients

• Soumission au CLOUD Act et au FISA 702 — même avec une option de résidence canadienne, les données restent juridiquement accessibles aux autorités américaines
• EFVP requise au sens de la Loi 25 art. 17 — pour chaque flux de renseignements personnels qui transite par ces services, l'organisation québécoise doit produire une évaluation documentée
• Dépendance fournisseur — la sortie est techniquement possible mais coûteuse (exports, reformatage, formation à un nouvel outil)
• Inflation continue des tarifs observée année après année, sans pouvoir de négociation pour une PME

Catégorie 2 — Cloud 100 % québécois

Hébergeurs et fournisseurs cloud dont :

• le datacenter est physiquement au Québec
• l'entreprise propriétaire est canadienne (siège social et structure de propriété)
• la solution n'est pas soumise au CLOUD Act (aucune dépendance à un acteur US qui pourrait être contraint)

Cette catégorie est en croissance forte en 2026 — le gouvernement du Québec a annoncé en février 2026 une politique de souveraineté numérique avec 1,4 milliard de dollars alloués à environ 40 projets, et Sherweb a reçu un investissement de 125 millions d'Investissement Québec en mars 2026.

Avantages

• Souveraineté juridique complète — aucune juridiction étrangère ne peut contraindre l'accès
• Simplification documentaire Loi 25 — l'EFVP reste utile pour démontrer la diligence, mais la charge documentaire est nettement allégée par rapport à un cloud étranger
• Support en français, fuseau horaire local, proximité culturelle
• Alignement avec la politique publique québécoise — argument crédible pour les PME qui répondent à des appels d'offres publics

Inconvénients

• Catalogue de fonctionnalités plus restreint que les géants du cloud étrangers — certaines fonctions avancées (IA générative intégrée, intégrations applicatives larges) ne sont pas encore disponibles ou matures
• Interface parfois moins polie que les standards des grands acteurs — l'expérience utilisateur peut demander un temps d'adaptation
• Plus petits écosystèmes d'intégration tierce

Exemples vérifiés en 2026

• Micrologic (Québec) — fournisseur cloud québécois reconnu par Gartner comme « only Canadian Digital Sovereign » dans ses analyses publiques. Solution de cloud souverain destinée aux organisations qui ne tolèrent aucune exposition à une juridiction étrangère.
• Patrii Cloud (Montréal) — stack 100 % open-source bâti sur OpenStack et Ceph, donc sans dépendance à des licences propriétaires américaines. Tarifs accessibles aux PME, infrastructure transparente.
• Sherweb (Sherbrooke) — partenaire Microsoft Canada de l'année 2025. À nuancer : Sherweb est québécois mais revend des services Microsoft 365 qui restent, eux, sous CLOUD Act pour la portion Microsoft.
• OVHcloud Canada — qualifié par le gouvernement du Québec, opère un centre de données à Beauharnois. Maison mère française, donc hors CLOUD Act, mais dépend du régime juridique de l'Union européenne.
• Nuagerie, WHC, iWeb (Leaseweb), Ex2 / QCWeb Solutions — autres hébergeurs québécois reconnus, profils variables à valider cas par cas.

Note importante : un fournisseur peut héberger physiquement au Québec et rester sous contrôle juridique étranger via sa structure de propriété ou ses sous-traitants. Toujours vérifier siège social, propriété, juridictions des sous-traitants.

Catégorie 3 — Self-hosted ou local

L'organisation héberge les solutions elle-même sur son propre matériel — soit dans ses locaux, soit sur un serveur loué auprès d'un hébergeur québécois mais entièrement géré par l'organisation ou son partenaire d'infogérance.

Avantages

• Contrôle maximal — l'organisation maîtrise entièrement où sont les données, qui y accède, comment elles sont protégées
• Transferts zéro hors Québec — aucune EFVP art. 17 requise pour les flux internes
• Coût licence quasi nul avec les solutions de logiciel libre (code source ouvert et redistribuable gratuitement) — LibreOffice, OnlyOffice Docs Community, Nextcloud
• Indépendance face à l'inflation tarifaire des fournisseurs SaaS

Inconvénients

• Exige une expertise interne ou un partenaire d'infogérance québécois compétent — sans expertise, le self-hosted devient un risque opérationnel
• Mises à jour à gérer régulièrement — chaque version comporte des correctifs de sécurité qu'il faut appliquer
• Sauvegardes à organiser entièrement par l'organisation — voir le module 3 sur la règle 3-2-1-1-0
• Investissement initial matériel (serveur, NAS, équipements réseau) — récupéré sur la durée mais qui peut peser dans le budget la première année

Exemples 2026

• LibreOffice — suite bureautique offline complète, gratuite, format ouvert ODF. Pour le travail individuel sur poste.
• OnlyOffice Docs Community — suite Web compatible Microsoft Office (format Open XML), gratuite jusqu'à 20 connexions simultanées, idéale pour une PME de 5 à 20 personnes.
• Nextcloud Hub — plateforme collaborative complète (fichiers, calendrier, contacts, vidéo, messagerie) qui s'intègre avec OnlyOffice ou Collabora pour l'édition de documents.

Précédents européens 2025-2026 souvent cités : le Danemark a annoncé en 2025 le remplacement de Microsoft 365 dans toute son administration publique. Le Land de Schleswig-Holstein (Allemagne) migre 25 000 postes de Microsoft Office vers LibreOffice et de Windows vers Linux. Ces décisions sont des précédents politiques à échelle d'État — pas des modèles directement applicables à une PME de 5 à 30 personnes.

Cadrage Loi 25 honnête — ce que la loi exige vraiment

L'article 17 de la Loi 25 (en vigueur depuis septembre 2023) n'impose pas littéralement que toutes les données restent au Québec. Il impose qu'une EFVP soit réalisée avant tout transfert hors Québec, et que le transfert n'ait lieu que si la protection est démontrée équivalente. Les critères de l'EFVP sont quatre :

• Sensibilité des renseignements personnels transférés
• Finalité de leur utilisation
• Mesures de protection en place, y compris contractuelles (le contrat de service est l'instrument privilégié par le législateur québécois)
• Régime juridique applicable dans l'État de destination — c'est ici que le CLOUD Act devient pertinent

En pratique, ce cadre oriente vers le Canada ou le Québec parce que c'est plus simple à documenter et à défendre — mais ce n'est pas une obligation absolue. Un cloud étranger reste un choix défendable s'il est bien documenté par une EFVP sérieuse. C'est précisément cette nuance que le module 4 développe — comment évaluer un fournisseur SaaS de façon structurée.

Grille de critères de souveraineté Québec

Pour qu'une solution se qualifie comme « cloud 100 % québécois » sans approximation, quatre critères doivent être réunis :

• Datacenter physiquement au Québec — emplacement précis confirmé par écrit, pas seulement « au Canada »
• Entreprise canadienne — siège social et structure de propriété documentés
• Aucune dépendance CLOUD Act — pas de sous-traitant américain ou d'entreprise sous juridiction US dans la chaîne de traitement
• Entente de traitement de données (DPA — Data Processing Agreement) qui confirme par écrit les trois points précédents et engage le fournisseur

Quand chaque catégorie convient à votre PME

Cloud étranger — pour les PME qui ont besoin d'un catalogue de fonctionnalités large, peu de renseignements personnels sensibles à traiter, des employés habitués à Microsoft ou Google, et la capacité documentaire de soutenir une EFVP correcte.

Cloud 100 % québécois — pour les PME qui veulent simplifier leur charge de conformité Loi 25, qui font affaire avec des clients sensibles à la souveraineté (organismes publics, secteur santé, professions réglementées), ou qui veulent réduire leur exposition à l'inflation tarifaire des géants du cloud étrangers.

Self-hosted ou local — pour les PME qui ont une expertise interne (ou un partenaire d'infogérance fiable au Québec), des données très sensibles, une exigence contractuelle de contrôle total, ou simplement une volonté forte d'indépendance.

Cas mixte fréquent — la plupart des PME finissent avec un panachage : bureautique cloud (Microsoft 365 ou Google Workspace) pour les outils du quotidien, et données vraiment sensibles (dossiers clients, contrats, données médicales) sur une plateforme québécoise ou self-hosted. C'est une approche défendable à condition de documenter clairement quel flux va où.

Pièges à éviter

En résumé

Trois catégories — cloud étranger, cloud 100 % québécois, self-hosted — avec chacune ses forces et ses faiblesses. Aucune n'est universellement supérieure. Le bon choix dépend de la sensibilité de vos données, de l'expertise disponible, de votre tolérance à la complexité documentaire et de votre stratégie commerciale. Ce qui n'est pas négociable : savoir où sont les données, qui peut juridiquement y accéder, et avoir documenté ce choix par une EFVP correcte. Le module 4 développe précisément comment évaluer un fournisseur pour produire cette documentation.