Le CLOUD Act américain et vos données : une explication claire et factuelle pour les entreprises du Québec, avec l’exemple d’osFoundry et de dgm comme partenaire indépendant.

dgm est un partenaire d’intégration indépendant d’osFoundry : il n’est pas affilié à l’entreprise qui développe osFoundry (OS LLC) et n’a encore réalisé aucune intégration pour des clients.

Le CLOUD Act américain est au cœur de la souveraineté des données : il peut atteindre un fournisseur américain peu importe où les données sont physiquement stockées — même à Montréal.

Ce qu’est le CLOUD Act

Le CLOUD Act (2018) permet aux autorités américaines d’exiger des données d’une entreprise sous contrôle américain, peu importe où elles sont stockées — Montréal, Québec ou Francfort tombent dans sa portée si l’entreprise contrôlante est américaine (AWS, Microsoft, Google). C’est pourquoi choisir une région au Québec fixe l’emplacement de la donnée, mais pas nécessairement la juridiction. Un cabinet juridique canadien (BLG) le confirme : la souveraineté, c’est le contrôle, pas seulement l’emplacement.

Quoi faire à ce sujet

osFoundry fixe la région des données aux États-Unis, dans l’Union européenne ou au Japon, exécute les modèles localement sur votre propre matériel et permet l’auto-hébergement dans un compte infonuagique que vous contrôlez (BYO Cloud). Soyons honnêtes sur la réalité québécoise : osFoundry n’a pas de région gérée au Canada, mais il existe bel et bien des régions infonuagiques physiquement situées au Québec où vous pouvez vous auto-héberger — AWS Canada (Central) « ca-central-1 » à Montréal, Microsoft Azure Canada Est à Québec, et Google Cloud « northamerica-northeast1 » à Montréal —, alimentées par l’hydroélectricité d’Hydro-Québec, propre à plus de 99 %. La résidence des données en province est donc réellement atteignable, et sur une énergie à faible empreinte carbone. Un point demeure essentiel : la localisation n’est pas la juridiction. AWS, Azure et Google ont leur siège aux États-Unis et restent assujettis au CLOUD Act américain, qui peut contraindre une entreprise américaine à produire des données même stockées au Canada. Choisir une région au Québec fixe l’endroit où résident les données, pas le droit qui peut les atteindre : pour les renseignements les plus sensibles au sens de la Loi 25, un fournisseur non américain (comme Mistral, en Europe) ou un modèle à poids ouverts auto-hébergé est la posture la plus solide, même quand la région se trouve à Montréal. La Loi 25 exige d’ailleurs une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant toute communication de renseignements personnels à l’extérieur du Québec; vérifiez les exigences concrètes auprès de la Commission d’accès à l’information ou d’un conseiller juridique.

Important

Cet article est une information générale et ne constitue pas un avis juridique, fiscal ou financier. Les programmes, crédits, règles et taux changent, et l’admissibilité comme l’octroi relèvent exclusivement des organismes compétents — notamment Revenu Québec, l’Agence du revenu du Canada, Investissement Québec, Scale AI, la Commission d’accès à l’information et l’Office québécois de la langue française. dgm n’est pas un livreur accrédité, un partenaire officiel ni un intermédiaire d’aucun de ces programmes, et ne gère aucune subvention en votre nom. Vérifiez toujours les conditions en vigueur à la source officielle ou consultez un comptable ou un avocat.

Articles connexes

Comment dgm peut vous aider

dgm est un partenaire d’intégration indépendant qui aide les entreprises du Québec à mettre en place la plateforme osFoundry — de la recherche d’un premier cas d’usage concret jusqu’à sa construction et à son raccordement à vos systèmes existants. dgm travaille de façon indépendante de l’entreprise qui développe osFoundry (OS LLC) et n’a encore réalisé aucune intégration pour des clients; ce qui précède décrit donc le service offert, et non un résultat déjà atteint. Si vous voulez réfléchir à un premier pas raisonnable, dgm l’examine avec vous. Discutons lors d’une rencontre sans engagement.