Le CLOUD Act amu00e9ricain s'applique-t-il aux entreprises canadiennes?

Le CLOUD Act s'applique u00e0 toute entreprise amu00e9ricaine, peu importe ou00f9 ses serveurs sont. Si vous utilisez Microsoft, Google, AWS ou Salesforce pour des donnu00e9es de clients quu00e9bu00e9cois, ces donnu00e9es sont potentiellement accessibles aux autoritu00e9s amu00e9ricaines, mu00eame si votre entreprise est 100% quu00e9bu00e9coise.

Microsoft 365 est-il conforme u00e0 la Loi 25?

C'est une zone grise. Microsoft peut stocker en centres canadiens, mais reste soumis au CLOUD Act. Pour u00eatre conforme Loi 25, vous devez ru00e9aliser une u00c9FVP documentu00e9e, signer le DPA de Microsoft et divulguer ce partenariat dans votre politique de confidentialitu00e9.

Ou00f9 SiteQC hu00e9berge-t-il les donnu00e9es?

SiteQC hu00e9berge toutes les donnu00e9es dans des datacenters u00e0 Beauharnois, Quu00e9bec, alimentu00e9s u00e0 99% par hydrou00e9lectricitu00e9 renouvelable. Les donnu00e9es restent sous juridiction quu00e9bu00e9coise, hors portu00e9e du CLOUD Act amu00e9ricain.

Wix ou Squarespace sont-ils conformes u00e0 la Loi 25?

Non, pas nativement. Wix et Squarespace hu00e9bergent principalement aux u00c9tats-Unis, n'ont aucun registre d'incidents intu00e9gru00e9, pas de politique de confidentialitu00e9 auto-gu00e9nu00e9ru00e9e conforme u00e0 la CAI, et pas de banniu00e8re native respectant les 6 critu00e8res CAI. Ils exposent leurs utilisateurs au CLOUD Act.

12 min

Leçon 2.4 : Souveraineté des données : hébergement local vs CLOUD Act américain

Le risque invisible de l’hébergement américain

Des millions d’entreprises québécoises hébergent leurs données chez GoDaddy, Microsoft, Google ou Salesforce sans réaliser qu’elles exposent leurs clients à une loi américaine méconnue : le CLOUD Act.

siteqc-loi25-carte-monde-serveurs-americains-quebec

Le CLOUD Act : ce que les autorités américaines peuvent faire

Le Clarifying Lawful Overseas Use of Data Act (2018) permet aux autorités américaines (FBI, NSA, DEA) d’exiger l’accès aux données de toute entreprise américaine, peu importe où les serveurs sont physiquement situés. Concrètement :

Microsoft peut être contrainte de remettre vos courriels Exchange Online aux autorités américaines.
Google peut devoir fournir les données de vos clients sur Workspace sans vous en informer.
AWS, Salesforce, HubSpot, Shopify sont tous soumis au CLOUD Act.

En 2023, la Cour fédérale américaine a ordonné à Microsoft de divulguer des données stockées en Irlande, confirmant la portée extraterritoriale du CLOUD Act.

Loi 25 et CLOUD Act : une contradiction fondamentale

La Loi 25 exige que tout transfert hors Québec soit précédé d’une ÉFVP et accompagné de garanties que la juridiction d’accueil offre une protection équivalente. Le CLOUD Act représente l’inverse exact, accès non consenti aux données de citoyens québécois par des autorités étrangères. Utiliser des outils américains sans ÉFVP documentée expose à une double violation légale.

siteqc-loi25-hebvergement amercain-vs-conformite-native

Beauharnois : le cœur de la souveraineté numérique québécoise

SiteQC héberge toutes les données dans des datacenters à Beauharnois, Québec, alimentés à 99% par de l’hydroélectricité renouvelable. Vos données restent sous juridiction québécoise, hors portée du CLOUD Act.

Microsoft 365 et la Loi 25

Microsoft stocke en centres canadiens si configuré ainsi, mais le CLOUD Act demeure applicable. Pour être conforme, les organisations utilisant Microsoft 365 doivent réaliser une ÉFVP documentée, signer le DPA de Microsoft et divulguer ce partenariat dans leur politique de confidentialité.

Comparatif des plateformes

Wix : Serveurs US, aucune conformité native Loi 25, données soumises au CLOUD Act.
Squarespace : Idem, aucun registre intégré, aucune ÉFVP.
GoDaddy : Hébergement américain majoritaire, options Loi 25 quasi inexistantes.
Votresite.ca : Québécois mais sans infrastructure de conformité intégrée.
SiteQC : Beauharnois QC · Conformité Loi 25 native : bannière, registre, politique, ÉFVP, portabilité.

Points clés

CLOUD Act : autorités US peuvent accéder aux données d’entreprises américaines partout dans le monde.
Outils américains sans ÉFVP + DPA = violation de la Loi 25.
SiteQC héberge à Beauharnois QC, hors portée du CLOUD Act.
Microsoft 365 nécessite une ÉFVP documentée et un DPA signé.