Vos photos de famille sont sur Google Photos. Vos documents de vente de bateau sont sur OneDrive. Votre comptable utilise QuickBooks. Tout est « stocké au Canada », vous dit-on.
Ça ne change rien. Le gouvernement américain peut y accéder quand même.
Dernière mise à jour : mars 2026
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) est une loi américaine adoptée en 2018. Elle dit ceci :
Autrement dit : résidence des données ≠ souveraineté des données.
Ce n'est pas théorique. En 2013, Microsoft a contesté un mandat américain pour des données stockées en Irlande. L'affaire s'est rendue jusqu'en Cour suprême américaine. Avant que le verdict tombe, le Congrès a adopté la Loi CLOUD — qui a rendu le débat inutile. Les données à l'étranger sont accessibles, point final.
Avec les tensions commerciales Canada–États-Unis et les tarifs de 2025, la question de la souveraineté numérique est passée d'un sujet de niche à un enjeu national. Osler, un des plus grands cabinets d'avocats au Canada, a publié plusieurs analyses fin 2025 sur les risques pour les entreprises canadiennes.
Pour un particulier, voici ce que ça veut dire concrètement.
| Service que vous utilisez | Entreprise | Soumis à la Loi CLOUD? |
|---|---|---|
| Gmail, Google Drive, Google Photos | Google (US) | Oui ⚠️ |
| OneDrive, Outlook, Office 365 | Microsoft (US) | Oui ⚠️ |
| iCloud, Apple Mail | Apple (US) | Oui ⚠️ |
| Dropbox | Dropbox (US) | Oui ⚠️ |
| QuickBooks, TurboImpôt | Intuit (US) | Oui ⚠️ |
| Slack, Zoom | Salesforce / Zoom (US) | Oui ⚠️ |
| AWS hébergement web | Amazon (US) | Oui — même region ca-central-1 ⚠️ |
Si vous stockez vos documents de transactions d'importation de bateau sur Google Drive, ou si votre assureur utilise un logiciel cloud américain, ces données sont théoriquement accessibles au gouvernement américain.
La bonne nouvelle : des entreprises canadiennes offrent des alternatives réelles. Pas parfaites, mais souveraines.
Basé à Toronto. Chiffrement de bout en bout — même Sync ne peut pas lire vos fichiers. Plan gratuit de 5 Go, plans payants à partir de 8 $/mois pour 2 To. Alternative directe à Google Drive et Dropbox.
Basé en Suisse (hors Five Eyes). Chiffrement de bout en bout. Plan gratuit disponible. Pas canadien, mais hors de portée de la Loi CLOUD — ce qui est le point.
Hébergement cloud 100 % canadien à Montréal et Toronto. Pour les sites web, applications et bases de données. Une vraie alternative à AWS pour les PME.
Protocole de messagerie décentralisé et open source. Vous pouvez héberger votre propre serveur au Canada. Alternative à Slack et Teams pour les équipes soucieuses de leur souveraineté.
Le Canada fait partie de l'alliance Five Eyes avec les États-Unis, le Royaume-Uni, l'Australie et la Nouvelle-Zélande. Chaque site VPN mentionne ça. Presque aucun n'explique ce que ça signifie en pratique.
L'alliance Five Eyes est un accord de partage de renseignements entre agences d'espionnage (la NSA américaine, le CST canadien, le GCHQ britannique, etc.). En théorie, ces pays peuvent se demander mutuellement de surveiller les citoyens des autres pour contourner les lois nationales.
En pratique, pour un Canadien ordinaire :
Pas besoin de tout migrer. Concentrez-vous sur ce qui compte : documents financiers, contrats, données de santé, correspondance privée. Vos photos de vacances sur Google Photos? Probablement pas une priorité.
Sync.com pour les fichiers critiques. Proton Mail pour la correspondance sensible. Ça ne prend pas une journée — commencez par un dossier.
Proton VPN (Suisse) ou Mullvad (Suède) sont hors de portée des lois américaines et canadiennes. Pour la navigation ordinaire, Windscribe reste un bon choix malgré sa juridiction canadienne.
Si vous êtes travailleur autonome ou dirigez une PME, demandez à vos fournisseurs cloud où vos données sont stockées ET quelle est leur juridiction. « Serveur au Canada » ne suffit pas — demandez « entreprise canadienne? »
La loi s'applique quand même — l'entreprise américaine peut être contrainte de remettre les données. Mais si le chiffrement est de bout en bout (comme Sync.com ou Proton), l'entreprise ne peut pas déchiffrer vos fichiers même si elle les remet. C'est la meilleure protection technique contre la Loi CLOUD.
On ne sait pas à quelle fréquence. Les demandes CLOUD Act ne sont pas publiques. Ce qu'on sait : les rapports de transparence de Google et Microsoft montrent des milliers de demandes gouvernementales par an, et la Loi CLOUD a spécifiquement été créée pour faciliter l'accès aux données à l'étranger. Le risque n'est pas théorique.
Non. La Loi 25 régit comment les entreprises québécoises traitent vos données, mais elle ne peut pas empêcher le gouvernement américain d'utiliser la Loi CLOUD pour exiger des données d'une entreprise américaine. Les lois canadiennes s'arrêtent à la frontière; la Loi CLOUD, par design, ne s'arrête nulle part.
La Suisse n'est pas membre de Five Eyes, de l'UE, et a des lois strictes sur la vie privée. Le gouvernement américain ne peut pas contraindre une entreprise suisse via la Loi CLOUD. Cela dit, la Suisse a ses propres lois de surveillance et collabore parfois avec des gouvernements étrangers via des traités d'entraide juridique — c'est plus lent et plus encadré, mais pas impossible.