Souveraineté des données pour PME québécoises —
comprendre le cloud, le local et les options pour la conformité Loi 25

Souveraineté des données — la question qui précède la cybersécurité

Une PME peut avoir mis en place le meilleur antivirus, les mots de passe les plus complexes et la sauvegarde la plus rigoureuse — si ses fichiers vivent chez un fournisseur soumis à une loi extraterritoriale, elle a transféré une partie de sa gouvernance à un État étranger sans le savoir. Comprendre la souveraineté des données vient avant de choisir les outils de sécurité.

Préalables conseillés : avant d'aborder cette page, parcourir la Formation Numérique de base et Loi 25 (cartographie des outils, accès, sauvegardes, IA, cybersécurité de base) et la Formation Gouvernance Loi 25 (politique, registres, EFVP, DPA, RPRP). Le présent guide approfondit le volet « où vivent mes données » en amont des cinq référentiels de sécurité numérique présentés dans la suite de la section.

Le CLOUD Act américain — la racine du problème

Concrètement, le CLOUD Act s'applique à la majorité des fournisseurs infonuagiques d'origine américaine : Amazon Web Services (AWS), Microsoft Azure et Microsoft 365, Google Cloud et Google Workspace, Dropbox, Salesforce, Slack, Zoom, Box, Notion, OpenAI (ChatGPT), Anthropic (Claude). La présence d'un datacenter à Toronto, Montréal ou Québec ne change rien — c'est la nationalité juridique de la société qui contrôle les données qui détermine l'exposition, pas la localisation des serveurs.

Ce risque n'est pas hypothétique. La Presse a documenté en avril 2025 que plusieurs organisations canadiennes — incluant des institutions publiques — ont été confrontées au dilemme entre obligations contractuelles locales et exigences extraterritoriales. Pour une PME québécoise traitant des renseignements personnels (RP) d'employés, de clients ou de fournisseurs, cela crée une tension structurelle avec la Loi 25.

Cloud, local, souverain — le vocabulaire à connaître

Cloud (infonuagique) — les données et les logiciels résident sur les serveurs d'un fournisseur tiers, accessibles via Internet. Trois sous-catégories existent :

• SaaS (Software as a Service) — vous utilisez un logiciel hébergé par le fournisseur. Exemples : Microsoft 365, Google Workspace, Salesforce, Dropbox. La PME ne gère ni le serveur ni le logiciel.
• PaaS (Platform as a Service) — le fournisseur héberge l'environnement, vous y déployez votre propre application. Exemples : Heroku, Microsoft Azure App Service. Surtout utilisé par les équipes de développement.
• IaaS (Infrastructure as a Service) — le fournisseur loue des serveurs virtuels que vous configurez vous-même. Exemples : AWS EC2, OVHcloud Public Cloud. C'est l'option quand on veut auto-héberger une solution comme Nextcloud sans posséder de serveur physique.

Local (on-premises) — les données et les logiciels résident sur des serveurs que la PME possède ou loue physiquement, généralement dans ses propres locaux. Exemples : NAS Synology dans le bureau, serveur Windows interne, ordinateur partagé. La PME contrôle directement l'accès physique au matériel.

Auto-hébergé (self-hosted) — variation hybride : la PME utilise une infrastructure infonuagique (IaaS chez OVH par exemple), mais y installe et y opère elle-même ses logiciels (Nextcloud, Dolibarr, Jitsi). Le contrôle légal des données reste avec la PME, qui choisit son fournisseur d'infrastructure en fonction de sa souveraineté.

Cloud souverain — service infonuagique opéré par une société dont la nationalité juridique n'expose pas aux lois extraterritoriales d'un pays tiers. Pour une PME québécoise, un fournisseur québécois ou canadien, ou un fournisseur d'un pays tiers reconnu (France, Pays-Bas, Suisse), qui héberge sur un datacenter canadien, constitue un cloud souverain.

Ce que la Loi 25 exige concrètement

Article 10 — mesures de sécurité raisonnables. L'organisation qui détient des renseignements personnels doit prendre les mesures de sécurité propres à en assurer la protection. La loi ne prescrit pas les mesures, mais la jurisprudence et les références internationales (ISO 27001, CIS Controls, NIST CSF) servent de balises pour démontrer la diligence raisonnable.

Article 17 — communication à l'extérieur du Québec. Avant de communiquer un renseignement personnel à un destinataire situé à l'extérieur du Québec, l'organisation doit procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) qui considère notamment :

• La sensibilité des renseignements communiqués.
• La finalité de l'utilisation.
• Les mesures de protection en vigueur chez le destinataire, y compris contractuelles.
• Le régime juridique applicable dans le pays d'accueil, particulièrement la protection conférée aux renseignements personnels.

Une PME qui utilise Microsoft 365, Google Workspace ou un autre service américain a, de fait, une obligation d'EFVP documentée chaque fois que des renseignements personnels transitent par ces services — c'est-à-dire essentiellement en permanence dès qu'un courriel contient un nom, qu'un fichier client est partagé, ou qu'un dossier RH est stocké.

Article 18.3 — entente écrite avec sous-traitant. L'organisation qui confie des renseignements personnels à un sous-traitant (un fournisseur qui traite ces données pour son compte) doit signer une entente écrite encadrant cette communication. Microsoft, Google et autres SaaS américains offrent généralement des conditions de service (DPA — Data Processing Agreement), mais celles-ci sont rédigées selon le droit américain et peuvent ne pas répondre à toutes les exigences précises de l'article 18.3.

Politique de confidentialité publique. Depuis 2023, la politique doit indiquer si l'organisation communique des renseignements personnels à l'extérieur du Québec. Pour la majorité des PME québécoises sur M365, cette mention est devenue obligatoire.

Les normes ISO du cloud — 27017 et 27018

ISO/IEC 27017 — sécurité du cloud. Extension d'ISO 27002 spécifiquement destinée aux services cloud. Elle ajoute 7 contrôles propres au cloud :

• Définition claire des rôles partagés entre fournisseur cloud et client (la fameuse shared responsibility).
• Surveillance des services cloud par le client.
• Durcissement des machines virtuelles.
• Suppression d'actifs lors du départ d'un client.
• Et trois autres contrôles techniques liés à l'isolation et à la conformité.

ISO/IEC 27018 — protection des PII dans le cloud public. Cible spécifiquement la protection des informations personnelles identifiables (PII) chez un fournisseur cloud agissant comme processeur. Une nouvelle version 2025 alignée avec ISO 27002:2022 apporte des contrôles de confidentialité plus prescriptifs. Principes couverts : consentement et choix, légitimité du traitement, minimisation, limitation d'usage et de rétention, exactitude, garanties de sécurité, transparence, responsabilité.

Hébergeurs souverains au Canada — options vérifiées en 2026

Catalogue d'alternatives libres ou souveraines — par fonction

Suite bureautique (Word, Excel, PowerPoint).

• LibreOffice — suite bureautique libre maintenue par The Document Foundation. Gratuite, multiplateforme (Windows, macOS, Linux), lit et écrit nativement les formats .docx, .xlsx, .pptx en plus du standard ouvert ODF. Interface très proche de Microsoft Office.
• OnlyOffice — alternative récente, propose des éditeurs en ligne pour documents, tableurs et présentations. Disponible en version cloud ou auto-hébergée. Tarifs professionnels à partir d'environ 5 euros par utilisateur par mois pour la version cloud. Compatible Microsoft Office.
• Collabora Online — version cloud et collaborative de LibreOffice, permettant l'édition de documents directement dans le navigateur avec une compatibilité totale avec les formats ODF et Microsoft. S'intègre nativement à Nextcloud.

Stockage et partage de fichiers (OneDrive, SharePoint, Google Drive, Dropbox).

• Nextcloud — plateforme libre de stockage et collaboration auto-hébergée. Inclut partage de fichiers, calendrier, contacts, vidéoconférence (Nextcloud Talk), édition collaborative. Version communautaire gratuite. C'est la référence pour les organisations qui veulent rapatrier complètement leurs données.
• ownCloud — la racine historique de Nextcloud. Approche plus institutionnelle, tarification entreprise.
• Seafile — plateforme de partage de fichiers à plus forte performance pour de grands volumes. Plus technique.

Courriel et calendrier (Outlook, Exchange, Gmail).

• Thunderbird (Mozilla) — client courriel libre, compatible IMAP/SMTP standards, support des comptes professionnels (DKIM, OpenPGP, MFA). À combiner avec un serveur de courriel souverain.
• Serveurs courriel souverains : Infomaniak (Suisse), Mailo (France), services courriel chez PlanetHoster, WHC ou OVHcloud Canada.
• Nextcloud Calendar et Nextcloud Contacts — gestion d'agenda et de contacts via CalDAV et CardDAV, protocoles standards compatibles avec Thunderbird, iOS et Android.

Visioconférence et messagerie instantanée (Teams, Zoom, Slack).

• Jitsi Meet — vidéoconférence libre, instances gratuites publiques disponibles, instance privée auto-hébergeable.
• BigBlueButton — alternative pour la formation et l'enseignement, riche en fonctionnalités pédagogiques.
• Nextcloud Talk — vidéoconférence intégrée à la plateforme Nextcloud, idéal si Nextcloud est déjà déployé.
• Rocket.Chat, Mattermost — alternatives libres à Slack, auto-hébergeables.

Gestion de la relation client et planification (Salesforce, HubSpot, Asana).

• Dolibarr — ERP et CRM libre français qui combine gestion commerciale, facturation, comptabilité et gestion des stocks dans une plateforme unifiée. Populaire dans les PME francophones.
• EspoCRM — CRM libre, interface moderne, déploiement sur vos propres serveurs ou hébergeur souverain.
• SuiteCRM — CRM libre dérivé de SugarCRM, plus institutionnel.
• OpenProject, Kanboard — gestion de projet libre, alternatives à Asana et Trello.

Signature électronique (DocuSign, Adobe Sign).

• DocuSeal, OpenSign — solutions libres auto-hébergeables pour la signature électronique de documents.

Sauvegarde et archivage.

• Restic, BorgBackup, Duplicati — outils libres de sauvegarde avec chiffrement avant envoi vers une destination de stockage (NAS local, stockage objet OVHcloud Beauharnois, autre fournisseur souverain).

Étude de cas — PME électricien-construction Côte-Nord, 10 employés

Diagnostic Loi 25 initial.

• Renseignements personnels présents : employés (dossiers RH dans OneDrive), clients (devis, factures, photos de chantier dans Outlook et OneDrive), fournisseurs et sous-traitants (contacts, ententes), candidatures spontanées par courriel.
• EFVP transfrontalière requise (M365 stocke aux États-Unis selon les conditions par défaut).
• Mention de transfert hors Québec manquante dans la politique de confidentialité.
• DPA Microsoft Online Services existant mais souvent non signé explicitement par la PME — à formaliser.
• Aucune cartographie des outils tiers — écart article 10 sur les mesures de sécurité raisonnables.

Migration progressive en quatre phases.

Phase 1 — Bureautique locale (2 à 4 semaines).

• Installation de LibreOffice sur les 10 postes (Windows reste, Acomba et AutoCAD restent).
• Formation interne de 1 à 2 heures par employé sur les équivalents Writer / Calc / Impress.
• Conversion progressive des modèles internes (.docx → .odt ou conservation .docx selon préférence).
• Bénéfice immédiat : moins de licences Office actives à renouveler, prise d'autonomie sur le format ODF.

Phase 2 — Stockage et partage souverain (4 à 8 semaines).

• Déploiement Nextcloud chez OVHcloud Beauharnois (Public Cloud ou VPS) ou chez PlanetHoster.
• Migration des fichiers de OneDrive et SharePoint vers Nextcloud, structure de dossiers préservée.
• Configuration des sauvegardes automatiques (BorgBackup vers stockage objet OVH ou NAS Synology local).
• Mise en place du chiffrement côté serveur (responsabilité TI ou consultant TI).
• Bénéfice Loi 25 : EFVP transfrontalière non requise pour ces données, mention « États-Unis » retirée de la politique de confidentialité.

Phase 3 — Messagerie souveraine (2 à 4 semaines).

• Migration du domaine de courriel vers un serveur québécois (PlanetHoster, WHC, ou serveur dédié OVH Beauharnois).
• Configuration Thunderbird sur les 10 postes (synchronisation contacts et calendrier via Nextcloud CalDAV/CardDAV).
• Configuration DKIM, SPF et DMARC au moment du transfert (recoupe la fiche Sécurité du courriel de la section).
• Période transitoire : redirection automatique des courriels reçus sur l'ancien domaine M365 pendant 6 à 12 mois.

Phase 4 — Outils complémentaires selon besoins.

• Visio : remplacement de Teams par Jitsi Meet ou Nextcloud Talk pour les appels internes.
• Signature électronique : DocuSeal pour les contrats clients à la place de DocuSign.
• Si CRM existant : évaluation Dolibarr ou EspoCRM. Sinon, déploiement à venir selon croissance.

Estimation des coûts Microsoft 365 vs alternatives souveraines pour 10 utilisateurs.

À compter du 1^er juillet 2026, les tarifs Microsoft publics annoncent une hausse :

• Microsoft 365 Business Basic : environ 9,50 $ CAD par utilisateur par mois → environ 1 140 $ CAD par année pour 10 utilisateurs.
• Microsoft 365 Business Standard : environ 19 $ CAD par utilisateur par mois → environ 2 280 $ CAD par année pour 10 utilisateurs.
• Microsoft 365 Business Premium : environ 40 $ CAD par utilisateur par mois → environ 4 800 $ CAD par année pour 10 utilisateurs.

Une suite équivalente fondée sur LibreOffice, Nextcloud et Thunderbird, hébergée chez un fournisseur souverain canadien, présente les coûts approximatifs suivants :

• Licences logicielles : 0 $ (LibreOffice, Nextcloud version communautaire, Thunderbird, Jitsi).
• Hébergement Nextcloud chez OVHcloud Beauharnois ou PlanetHoster : selon plan, environ 240 $ à 1 800 $ CAD par année (du VPS à un serveur dédié).
• Hébergement courriel souverain : environ 60 $ à 300 $ CAD par année selon fournisseur.
• Coût humain TI initial (déploiement, migration des données) : 1 à 3 journées, à comptabiliser honnêtement selon le tarif du TI interne ou contractuel.
• Coût humain TI récurrent : 2 à 4 heures par mois pour les mises à jour et les sauvegardes.

Nuances honnêtes — souveraineté ne veut pas dire sécurité absolue

• Un Nextcloud mal configuré chez OVH peut être moins sécurisé qu'un Microsoft 365 bien configuré. Le choix souverain doit s'accompagner d'une mise en œuvre rigoureuse (MFA, chiffrement, sauvegardes testées, mises à jour).
• Tous les SaaS américains ne sont pas équivalents en exposition réelle. Microsoft offre des contrôles spécifiques pour les institutions européennes (EU Data Boundary), Google Workspace propose des « Sovereign Controls » dans certaines régions. Ces dispositifs réduisent l'exposition pratique sans toutefois éliminer juridiquement l'application du CLOUD Act.
• L'auto-hébergement a un coût caché en compétences. Pour une PME sans TI interne, choisir un fournisseur SaaS souverain québécois est souvent plus réaliste qu'un Nextcloud auto-géré. La souveraineté ne signifie pas auto-hébergement obligatoire.
• La migration n'est pas un événement unique. Elle se planifie par phases, avec retour arrière toujours possible pendant la période transitoire. Les outils libres permettent en général d'exporter les données dans des formats standards à tout moment.

Articulation avec les autres référentiels en sécurité numérique

La question de la souveraineté précède logiquement la sécurité technique — mais elle s'articule étroitement avec les cinq référentiels présentés dans la suite de la section formations sécurité numérique :

• CIS Controls v8.1 IG1 — le contrôle 3 (Data Protection) et le contrôle 15 (Service Provider Management) recoupent directement la cartographie des outils tiers et l'évaluation des fournisseurs. Le contrôle 11 (Data Recovery) impose des sauvegardes — qui doivent elles aussi vivre dans une juridiction choisie.
• NIST CSF — la fonction Identify inclut la cartographie des actifs informationnels et des fournisseurs. La fonction Protect couvre les mesures de sécurité dont la localisation des données fait partie.
• Sécurité du courriel (SPF, DKIM, DMARC) — la migration du courriel vers un serveur souverain est l'occasion idéale de mettre en place ces trois protocoles correctement. Voir la fiche dédiée.
• OWASP Top 10 et sécurité de surface Web (TLS, HTTPS, en-têtes HTTP) — concernent l'application Web hébergée, qui devrait elle aussi vivre chez un hébergeur souverain pour une cohérence complète.

Le rôle de Kaven dans un mandat de souveraineté des données

Ce guide structure la conversation entre la direction, le RPRP et l'équipe TI. Kaven n'implante pas les solutions techniques — l'installation de Nextcloud, la configuration du courriel souverain, le déploiement de Jitsi, la mise en place des sauvegardes, la migration du domaine, le durcissement des serveurs : tout cela relève d'un TI interne ou d'un fournisseur informatique contractuel.

Ce que Kaven fait :

• Cartographier les outils utilisés et les flux de renseignements personnels.
• Identifier les écarts de conformité Loi 25 (EFVP manquantes, mentions de transfert absentes, DPA non signés).
• Documenter et prioriser les correctifs en termes de risque légal et opérationnel.
• Servir d'interlocuteur entre direction, RPRP et équipe TI pour traduire les exigences en actions concrètes phasées.
• Tenir le registre des correctifs et préparer la documentation de gouvernance (politique de confidentialité, registre, EFVP).

À retenir

1. La localisation des serveurs ne suffit pas — c'est la nationalité juridique du fournisseur qui détermine l'exposition aux lois extraterritoriales comme le CLOUD Act américain.
2. Microsoft 365 et Google Workspace exposent une PME québécoise au CLOUD Act, même quand leurs datacenters sont au Canada. Quatre obligations Loi 25 en découlent par défaut : EFVP, mention politique, DPA signé, droit à la portabilité.
3. Les fournisseurs souverains existent et sont vérifiables — PlanetHoster, WHC, OVHcloud Canada et Vexxhost pour les PME ; Telus Sovereign AI Factory pour les grands projets. Tous combinent datacenter canadien et nationalité juridique non exposée au CLOUD Act.
4. Les alternatives libres couvrent l'essentiel — LibreOffice, Nextcloud, Thunderbird, Jitsi, Dolibarr, DocuSeal et d'autres remplacent fonctionnellement les SaaS américains dominants. Les logiciels métiers (Acomba, AutoCAD, plateformes sectorielles) restent en place.
5. La migration se fait par phases — bureautique d'abord, puis stockage, puis courriel, puis outils complémentaires. Chaque phase est réversible. Le gain principal est la conformité Loi 25 native ; l'économie financière est un bénéfice secondaire.
6. Souveraineté n'égale pas sécurité absolue — choisir un fournisseur souverain ne dispense d'aucune mesure de cybersécurité. La souveraineté répond à la question « qui peut accéder légalement », pas à toutes les autres questions.