Résidence n'est pas souveraineté
Stocker des données au Canada ne les protège pas des gouvernements étrangers — sauf si l'entreprise derrière le logiciel est canadienne aussi.
Le problème du CLOUD Act
Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act), adopté en 2018, oblige les entreprises basées aux États-Unis à divulguer des données aux autorités américaines — peu importe où ces données sont physiquement stockées.
Cela signifie :
- Gmail stocke tes données dans un centre de données canadien? Le gouvernement américain peut quand même les exiger.
- Microsoft 365 promet la résidence canadienne? Microsoft est une entreprise américaine — le CLOUD Act s'applique.
- Hushmail héberge au Canada? Leur société mère américaine peut être contrainte de remettre les données.
En juin 2025, le directeur de Microsoft France a publiquement reconnu que les ordonnances du CLOUD Act obligent à se conformer, peu importe l'emplacement des données.
À quoi ressemble la vraie souveraineté
La véritable souveraineté des données exige trois conditions — pas une seule :
Résidence des données
Tes données sont physiquement stockées sur des serveurs au Canada. Pas « optionnellement » — toujours.
Contrôle corporatif
L'entreprise qui exploite le logiciel est de propriété canadienne sans société mère étrangère. Aucune chaîne corporative américaine signifie aucune exposition au CLOUD Act.
Juridiction légale
Les litiges et les demandes de données sont régis exclusivement par le droit canadien — la LPRPDE, pas le PATRIOT Act ou le CLOUD Act.
TundraFox satisfait les trois conditions. La plupart des concurrents en satisfont une au mieux.
Comparaison des fournisseurs
| Critère | Gmail / M365 | ProtonMail | Hushmail | TundraFox |
|---|---|---|---|---|
| Données au Canada | Optionnel | Non (Suisse) | Oui | Oui |
| Propriété canadienne | Non (US) | Non (Suisse) | Partiel (parent US) | Oui |
| À l'abri du CLOUD Act | Non | Oui | Non | Oui |
| Conçu pour la LPRPDE | Ajouté après | Non | Partiel | Dès le départ |
| Aucune exploitation de données | Pub. ciblée | Oui | Oui | Oui |
| Bilingue AN/FR | Partiel | Non | Non | Oui |
La LPRPDE et tes obligations
Selon la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les organisations qui transfèrent des renseignements personnels à l'extérieur du Canada demeurent responsables de leur protection.
Si tu utilises un courriel d'une entreprise américaine et qu'une brèche survient sous une juridiction étrangère, ton organisation reste responsable. Le Commissaire à la protection de la vie privée exige que tu informes les personnes concernées que leurs données « pourraient être consultées par des tribunaux, des forces de l'ordre et des autorités de sécurité nationale étrangers ».
Les lois provinciales vont encore plus loin :
- Québec (Loi 25) : Exige des évaluations d'impact sur la vie privée avant de communiquer des renseignements personnels hors de la province.
- Colombie-Britannique et Nouvelle-Écosse : Les institutions publiques doivent stocker et accéder aux renseignements personnels uniquement au Canada.
- Ontario (LPRPS) : Les renseignements personnels sur la santé doivent être stockés au Canada, sauf conditions spécifiques.
Qui a besoin de logiciels souverains
Santé
Conformité LPRPS, résidence des données des patients. Les cliniques, hôpitaux et réseaux de santé ont besoin d'hébergement exclusivement canadien avec pistes de vérification.
Juridique
Le secret professionnel dépend du contrôle juridictionnel. L'accès étranger aux données compromet les obligations de confidentialité.
Gouvernement
Le Canada a alloué 925,6 M$ pour l'infrastructure infonuagique souveraine (2025-2026). L'approvisionnement favorise les fournisseurs canadiens.
Services financiers
Exigences du BSIF et de CANAFE. Le coût moyen d'une brèche de données au Canada est de 6,98 M$ (2025). L'hébergement souverain réduit l'exposition.
TundraFox : souverain par conception
Bâti au Canada. Hébergé au Canada. Propriété canadienne. Aucune société mère étrangère. Pas de CLOUD Act. Aucun compromis.