Au Québec comme au Canada, la souveraineté numérique est devenue le sujet chaud de l'heure. Le ministre fédéral de l'Intelligence artificielle, Evan Solomon, la qualifie de « question politique et démocratique la plus urgente de notre époque ». Le gouvernement du Québec a dévoilé en février 2025 son Énoncé de politique de souveraineté numérique. Même le premier ministre Mark Carney a évoqué la possibilité de créer un « nuage souverain » canadien.

Tout ça sonne bien dans un discours politique. Mais quand on gratte sous la surface, la réalité est brutale : la souveraineté des données, dans sa forme absolue, est un objectif fondamentalement irréaliste pour un pays comme le Canada. Et ce, pour des raisons juridiques, technologiques et économiques qui s'additionnent jusqu'à former un mur infranchissable.

Voici pourquoi.

Le Discours Ambiant : un Réveil Tardif

La prise de conscience n'est pas nouvelle. Dès 2001, l'adoption du Patriot Act aux États-Unis avait déclenché un premier débat au Canada sur la localisation des données et la protection contre les demandes d'accès étrangères. La Colombie-Britannique et la Nouvelle-Écosse avaient même adopté des lois strictes pour encadrer la situation.

Mais l'histoire a montré les limites de cette approche. En 2021, la Colombie-Britannique a fait marche arrière et a assoupli ses propres règles de résidence des données. La province a reconnu ce que beaucoup pressentaient déjà : des exigences trop rigides empêchaient ses universités, ses hôpitaux et ses ministères d'utiliser des outils modernes, d'innover et de contrôler leurs coûts.

Aujourd'hui, le pendule revient. Le contexte géopolitique — tensions commerciales avec les États-Unis, montée de la Chine en IA, craintes liées au Cloud Act — a ravivé le débat. Mais les contraintes fondamentales, elles, n'ont pas changé. Elles se sont même amplifiées.

Le Portrait Réel : des Données Déjà entre les Mains des Américains

Un rapport publié en avril 2026 par l'hébergeur québécois 4DS Technologie dresse un portrait sans complaisance. Les chiffres parlent d'eux-mêmes.

Secteur public québécois : Plus de 90 % des noms de domaine du gouvernement du Québec reposent sur un service de courriel étranger. Plus de 83 % sont hébergés chez un fournisseur américain, principalement Microsoft. La part des services de courriel canadiens ? À peine 1,23 %.

Municipalités : Plus de 71 % des 40 plus grandes villes du Québec font appel à un fournisseur américain pour héberger ou filtrer leurs courriels. Seulement 19 % utilisent un fournisseur canadien.

Grandes entreprises : 90 % des services de courriel des 30 plus grandes entreprises du Québec sont hébergés à l'étranger. Plus de 83 % chez des entreprises américaines. Microsoft domine avec 14 entreprises sur 30.

PME : Plus de 92 % des courriels des 40 plus grandes PME québécoises sont hébergés à l'étranger, dont plus de 87 % chez des Américains.

Le ministre de la Cybersécurité et du Numérique, Gilles Bélanger, l'a lui-même reconnu : 90 % des données du gouvernement québécois se trouvent dans les infrastructures infonuagiques des GAFAM. Un rapatriement de ces données toucherait plus de 500 000 fonctionnaires et les coûts se chiffreraient en milliards de dollars.

L'ironie ne s'arrête pas là. Moins d'un mois après avoir annoncé sa politique de souveraineté numérique en février 2025, le ministère des Ressources naturelles et des Forêts du Québec a accordé un contrat de 18 millions de dollars à Amazon Web Services. Comme le souligne le professeur Pierre Trudel de l'Université de Montréal, ce contrat illustre bien que la politique de souveraineté numérique du Québec n'est qu'un « énoncé d'intention » sans obligations ni contraintes réelles.

Le Cloud Act : la Loi qui Rend les Frontières Numériques Caduques

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), adopté par le Congrès américain en 2018, est au coeur du problème. Son principe est simple et dévastateur pour toute prétention de souveraineté : il permet au gouvernement américain de contraindre toute entreprise soumise à la juridiction des États-Unis à remettre les données qu'elle détient, peu importe l'endroit dans le monde où ces données sont physiquement stockées.

Concrètement, cela signifie que même si vos données sont hébergées dans un centre de données à Montréal, si ce centre appartient à Microsoft, Amazon ou Google, les autorités américaines peuvent y accéder via un mandat judiciaire américain. La localisation physique ne protège rien.

Le Cloud Act s'applique à tout fournisseur de services soumis à la compétence des tribunaux américains. La question que le tribunal examine est de savoir si le fournisseur américain a la « garde, le contrôle ou la possession » des données stockées dans un autre territoire. Pour une filiale canadienne d'une entreprise américaine, la réponse est presque toujours oui.

Le Canada et les États-Unis ont annoncé en 2022 avoir entamé des négociations pour un accord bilatéral encadrant l'application du Cloud Act. En avril 2026, aucun accord n'a été signé. Le dossier est au point mort.

Certains nuancent la portée du Cloud Act en rappelant qu'il nécessite un mandat judiciaire et qu'il vise des données spécifiques dans le cadre d'enquêtes criminelles. C'est vrai. Comme le note le cabinet d'avocats Osler dans son analyse, il n'existe pas de cas documenté d'accès par un gouvernement étranger aux données d'entreprises canadiennes via les services infonuagiques. Mais l'absence de preuve n'est pas la preuve de l'absence. Et le seul fait que le mécanisme légal existe suffit à invalider toute prétention de souveraineté totale.

D'ailleurs, le Cloud Act n'est pas un cas isolé. De nombreux pays disposent d'outils juridiques similaires. Au Royaume-Uni, le Crime (Overseas Production Orders) Act permet aux forces de l'ordre d'exiger des données stockées à l'étranger. Le règlement européen e-Evidence prévoit un mécanisme similaire entre États membres de l'UE. Même au Canada, des entreprises étrangères ayant une présence virtuelle au pays ont été contraintes de produire des données stockées à l'étranger dans le cadre d'enquêtes criminelles.

Le FISA Section 702 : la Surveillance de Masse qui Passe sous le Radar

Si le Cloud Act attire toute l'attention médiatique, une autre loi américaine est encore plus préoccupante : la Section 702 du Foreign Intelligence Surveillance Act (FISA), adoptée en 2008.

Le Cloud Act nécessite un mandat ciblé pour des données spécifiques. Le FISA 702, lui, permet aux agences de renseignement américaines — NSA, CIA, FBI — de collecter massivement les communications de personnes non-américaines situées à l'extérieur des États-Unis, sans mandat individuel.

Les programmes comme PRISM, révélés par Edward Snowden en 2013, fonctionnent sous cette autorité. Ils permettent au gouvernement américain d'exiger un accès direct aux données stockées sur les serveurs des grandes entreprises technologiques : Google, Microsoft, Apple, Meta, et les autres.

Le problème pour les Canadiens : lorsque vous communiquez avec un contact américain, vos données sont « collectées incidemment ». Un courriel envoyé à un partenaire aux États-Unis ? Potentiellement capté. Un outil de collaboration hébergé chez un fournisseur américain ? Potentiellement surveillé. Et il n'existe aucune notification aux personnes touchées.

Un rapport publié par le Privacy and Civil Liberties Oversight Board (PCLOB) en avril 2026 confirme que près des deux tiers du rapport quotidien de renseignement remis au président américain contenaient des informations issues du programme FISA 702 en 2025. Même si les requêtes du FBI sur des personnes américaines ont baissé (de 57 000 en 2023 à 7 400 en 2025), le programme reste un outil de surveillance massif qui touche inévitablement les communications des Canadiens.

Le FISA 702 arrive à échéance en avril 2026 et fait l'objet d'un débat de réautorisation au Congrès. Mais personne n'envisage sérieusement son abolition.

La Chine Joue au Même Jeu, mais sans Masque

Les États-Unis ne sont pas les seuls à disposer de lois d'accès extraterritorial aux données. La Chine a construit un arsenal juridique encore plus explicite.

La Loi sur le renseignement national (2017) est la plus citée. Son Article 7 exige que toute organisation et tout citoyen chinois « soutiennent, assistent et coopèrent avec les activités de renseignement de l'État ». La loi s'applique de manière extraterritoriale aux entités et citoyens chinois à l'étranger. Selon plusieurs analyses juridiques, les filiales étrangères de sociétés chinoises mondiales pourraient y être soumises.

La Loi sur la cybersécurité (2017) oblige les opérateurs de réseaux à stocker certaines données en Chine et à coopérer avec les agences de sécurité publique. Apple a investi 1 milliard de dollars pour construire un centre de données en Chine afin de s'y conformer.

La Loi sur la sécurité des données (2021) élargit le contrôle du gouvernement chinois sur les données et leur flux transfrontalier.

La Loi sur la cryptographie permet au gouvernement chinois de demander un accès complet aux systèmes de cryptographie commerciaux, y compris aux clés de déchiffrement.

Le Department of Homeland Security américain a publié un avis de sécurité prévenant que, sous la Loi sur le renseignement national, le gouvernement chinois peut ordonner à des entreprises chinoises d'installer secrètement des portes dérobées dans leurs équipements ou logiciels.

Cela concerne directement le Canada. Tout équipement réseau, tout logiciel, tout service infonuagique fourni par une entreprise chinoise — ou utilisant des composantes chinoises — est potentiellement compromis. Le bannissement de Huawei des réseaux 5G par le Canada, l'Australie, le Japon et les États-Unis n'est pas un caprice politique : c'est une réponse directe à cette réalité juridique.

Le Problème de la Chaîne d'Approvisionnement Technologique

Voici où l'utopie s'effondre complètement.

Même si le Canada réussissait à héberger 100 % de ses données dans des centres de données appartenant à des entreprises canadiennes, opérés par des Canadiens, sur le sol canadien, la souveraineté resterait un mirage. Parce que la question ne se limite pas au lieu de stockage. Elle touche l'ensemble de la chaîne technologique.

Les puces : Le composant le plus fondamental de toute infrastructure numérique, le semi-conducteur, traverse en moyenne plus de 70 frontières internationales avant d'atteindre un produit fini. Cinq entreprises contrôlent environ 95 % du marché des matériaux essentiels. TSMC (Taïwan) et Samsung (Corée du Sud) dominent la fabrication de puces avancées. Le Canada ne fabrique pas de semi-conducteurs de pointe.

Les logiciels : Les systèmes d'exploitation, les suites bureautiques, les bases de données, les outils de virtualisation, les hyperviseurs : la quasi-totalité de la pile logicielle utilisée dans les centres de données mondiaux est conçue et maintenue par des entreprises américaines. Utiliser un « nuage souverain » canadien qui tourne sur VMware (Broadcom), Windows Server (Microsoft), ou Oracle Database ne change rien au problème fondamental.

Le matériel réseau : Les routeurs, commutateurs et pare-feu proviennent essentiellement de Cisco, Juniper (américains) ou Huawei (chinois). Les composantes internes de ces équipements sont fabriquées dans des chaînes d'approvisionnement globalisées.

L'intelligence artificielle : Les puces GPU qui alimentent l'IA sont conçues par NVIDIA (États-Unis) et fabriquées par TSMC (Taïwan). Les modèles de langage les plus avancés (GPT-4, Claude, Gemini, Llama) sont développés par des entreprises américaines. L'écosystème d'IA est structurellement dominé par les États-Unis, avec la Chine comme second joueur.

Le Conseil du Trésor du Canada lui-même a reconnu dans un récent rapport qu'il est « impossible d'atteindre un état de souveraineté numérique totale ». Ce n'est pas un aveu d'impuissance politique. C'est un constat technique.

Le Nuage Souverain : un Mirage à 1,4 Milliard de Dollars

Le ministre Bélanger a évoqué 1,4 milliard de dollars de contrats pour améliorer la posture de souveraineté numérique du Québec. Mais construire des murs de données ne sert à rien si les briques proviennent de l'étranger.

Le précédent de la Colombie-Britannique est éclairant. Après avoir imposé des exigences strictes de résidence des données pendant près de vingt ans, la province a conclu que le risque réel d'accès étranger aux données de son secteur public était extrêmement faible, mais que le coût de l'isolement technologique était, lui, bien réel. Les universités ne pouvaient pas utiliser d'outils de collaboration modernes. Les hôpitaux ne pouvaient pas accéder à des plateformes de recherche internationales. Les coûts d'exploitation de solutions maison dépassaient largement ceux des alternatives commerciales.

Le dilemme économique est fondamental. Les grands fournisseurs infonuagiques (AWS, Azure, Google Cloud) ont investi des dizaines de milliards sur des décennies pour développer leurs technologies. Créer un « nuage souverain » compétitif exigerait des investissements comparables, pour un marché de 40 millions de personnes (le Canada) ou 8,7 millions (le Québec). L'équation ne tient pas.

La fonctionnalité réduite est une autre conséquence inévitable. Les solutions souveraines ne pourront pas offrir la même gamme de fonctionnalités d'amélioration de la productivité, de sécurité avancée (détection de menaces par IA, mises à jour en temps réel) et d'interopérabilité que les plateformes mondiales.

Ce que les Entreprises Québécoises Peuvent Faire Concrètement

La souveraineté absolue est un mirage. Mais cela ne signifie pas que l'immobilisme est la bonne réponse. Une approche pragmatique, fondée sur la gestion des risques, est le chemin le plus sensé.

Classifier vos données par niveau de sensibilité. Toutes les données ne méritent pas le même niveau de protection. Les données de sécurité nationale ou les renseignements personnels sensibles (santé, données financières) justifient des mesures de protection plus strictes que des documents de marketing ou des rapports publics.

Privilégier des fournisseurs canadiens là où c'est viable. Pour les courriels, l'hébergement web et certaines applications métier, des fournisseurs canadiens existent et offrent des solutions compétitives. C'est un premier pas concret et atteignable.

Chiffrer vos données et gérer vos propres clés. Si vous utilisez un fournisseur américain, le chiffrement côté client avec des clés que vous contrôlez réduit considérablement le risque. Même si un tribunal américain ordonne la remise de données, des données chiffrées dont le fournisseur ne possède pas les clés sont inutilisables.

Exiger la transparence contractuelle. Vos contrats avec les fournisseurs infonuagiques devraient inclure des clauses précises sur la localisation des données, les conditions d'accès par des gouvernements étrangers et les mécanismes de notification en cas de demande d'accès.

Cartographier votre chaîne d'approvisionnement numérique. Savoir où vos données sont stockées, par qui elles sont traitées et quelles lois s'appliquent est un prérequis à toute stratégie de protection. La plupart des entreprises ne savent pas répondre à ces questions.

Suivre une approche fondée sur le risque. Comme le recommande le cabinet Osler, le Canada et les entreprises devraient éviter l'approche « taille unique ». Des mesures strictes pour les données les plus sensibles, de la flexibilité pour le reste.

L'Essentiel : la Lucidité Plutôt que l'Illusion

La souveraineté des données n'est pas un interrupteur qu'on peut activer. C'est un spectre. Et sur ce spectre, le Canada se trouve dans une position de dépendance structurelle qui ne se résoudra pas par des déclarations politiques ou des énoncés de politique sans obligations juridiques.

Le Cloud Act américain, le FISA 702, la Loi sur le renseignement national chinois : ces lois sont des réalités juridiques qui transcendent les frontières physiques. La chaîne d'approvisionnement technologique mondiale, de la puce au logiciel en passant par le matériel réseau, est dominée par deux pays : les États-Unis et la Chine. Le Canada ne fabrique pas les outils qu'il utilise.

La souveraineté numérique absolue est une utopie. L'accepter n'est pas un aveu de faiblesse. C'est le point de départ d'une stratégie réaliste.

Le vrai enjeu n'est pas de bâtir des murs numériques. C'est de développer une culture de gestion des risques, de classifier l'information selon sa sensibilité, de négocier des accords internationaux qui protègent réellement les données les plus critiques, et d'investir dans des compétences locales plutôt que dans des infrastructures condamnées à l'obsolescence.

La souveraineté ne se proclame pas. Elle se construit, contrat par contrat, serveur par serveur, compétence par compétence. Et surtout, elle se construit avec lucidité.

Vous naviguez les risques numériques et la stratégie infonuagique pour votre entreprise ? HUBBVEE aide les entreprises canadiennes à prendre des décisions technologiques éclairées, ancrées dans la réalité réglementaire. Parlons-en.