Tes données restent au Québec : hébergement Montréal, conforme Loi 25. Voir les 3 piliers
Guide · Souveraineté numérique

L'IA souveraine au Canada,
le guide complet

Pourquoi l'endroit où vivent tes données change tout : souveraineté numérique, CLOUD Act, résidence des données et conformité Loi 25, expliqués clairement, pour le Québec.

Lire le guide Essayer Kébek

Hébergement Montréal · Conforme Loi 25 · Jamais d'entraînement sur tes données

Le point de départ

Qu'est-ce que l'IA souveraine?

L'IA souveraine, c'est une intelligence artificielle dont l'infrastructure, les données et la gouvernance restent sous le contrôle d'une juridiction donnée. Au Canada, ça veut dire concrètement : tes données demeurent en territoire canadien, elles sont soumises au droit canadien et québécois, et personne à l'étranger ne peut y mettre la main sans passer par nos propres lois.

Le mot souveraineté n'a rien d'abstrait ici. Quand tu utilises une IA générique pensée ailleurs, tes questions, tes documents et tes renseignements transitent souvent par des serveurs étrangers, exploités par des sociétés étrangères, soumis à des lois étrangères. L'IA souveraine renverse cette logique : elle ramène le contrôle chez toi, là où s'applique la Loi 25 et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Dans ce guide, on définit la notion, on explique pourquoi elle compte, on démêle la nuance importante entre résidence des données et souveraineté réelle, on détaille les trois piliers d'une vraie IA souveraine, on regarde le cas du secteur public québécois, et on te donne une liste de questions à poser à tout fournisseur. Tu repartiras avec de quoi décider en connaissance de cause.

Pourquoi ça compte : le risque des serveurs étrangers

Tant que tout va bien, l'endroit où vivent tes données semble un détail technique. Le problème, c'est que ce détail devient critique au pire moment : un litige, une enquête, une fuite, une demande d'accès par une autorité étrangère. À ce moment-là, c'est la loi du pays où réside réellement le contrôle qui décide, pas la tienne.

Le CLOUD Act américain, en clair

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis en 2018, permet aux autorités américaines d'exiger des données détenues par une entreprise soumise à la juridiction des États-Unis, peu importe où ces données sont physiquement stockées. Autrement dit : si ton fournisseur d'infrastructure est une société américaine, ses serveurs installés à Toronto ou à Montréal peuvent rester accessibles à une demande américaine. L'emplacement géographique du serveur ne te protège pas : c'est la nationalité juridique du fournisseur qui compte.

Pour une entreprise québécoise, un organisme public ou un cabinet professionnel, ça soulève des questions concrètes. Tes secrets d'affaires, tes dossiers de clients, tes renseignements personnels sensibles : qui peut y accéder, et selon quelles règles? Si la réponse passe par une loi étrangère que tu ne contrôles pas, tu n'es pas souverain sur tes propres données.

À retenir : héberger au Canada ne suffit pas à se mettre à l'abri du CLOUD Act si le fournisseur reste une société américaine. La vraie protection vient du contrôle juridique local, pas seulement de la latitude et de la longitude du serveur.

Résidence des données vs souveraineté réelle

On confond souvent deux choses. La résidence des données, c'est l'endroit physique où tes données sont stockées (par exemple, un centre de données à Montréal). La souveraineté, c'est l'ensemble du contrôle juridique et opérationnel exercé sur ces données. La première est une condition nécessaire, mais elle ne garantit pas la seconde.

Tu peux très bien avoir des données résidant au Canada, mais exploitées par un fournisseur étranger qui conserve les clés de chiffrement, l'accès administrateur et une obligation légale de répondre à sa propre juridiction. Dans ce cas, tu as la résidence sans la souveraineté. La souveraineté réelle exige trois choses ensemble : les données restent ici, le fournisseur relève du droit canadien, et personne d'autre ne dispose d'une porte d'entrée extraterritoriale.

C'est cette nuance qui sépare une promesse marketing d'une vraie garantie. Quand un fournisseur dit héberger au Canada, la bonne question suivante est toujours : qui te contrôle, toi, le fournisseur?

Le coeur du sujet

Les 3 piliers d'une vraie IA souveraine

Une IA souveraine ne tient pas sur un seul argument. Elle repose sur trois piliers qui doivent être présents en même temps. Si l'un manque, la souveraineté est incomplète.

Infrastructure au Canada

L'hébergement, le stockage et le traitement se font en territoire canadien, sous le droit d'icitte. Les données ne quittent pas le pays pour être traitées ailleurs. C'est la base physique et juridique de tout le reste.

Conformité Loi 25 et LPRPDE

Le service respecte la Loi 25 du Québec et la LPRPDE fédérale : consentement, minimisation des données, droit d'accès et de suppression, et encadrement des communications hors Québec. La souveraineté s'appuie sur un cadre légal clair, pas sur de la bonne volonté.

Contrôle sur l'entraînement des modèles

Tes données ne servent jamais à entraîner ni à réentraîner les modèles partagés avec d'autres. Tu gardes la maîtrise de ce qui entre, de ce qui sort, et de ce qui reste privé. Sans cette garantie, tes contenus risquent de nourrir un modèle que tu ne contrôles pas.

L'IA souveraine dans le secteur public québécois

Pour les ministères, les municipalités, les organismes et les réseaux de la santé et de l'éducation, l'IA souveraine n'est pas un luxe : c'est une exigence de cohérence avec leurs obligations. Le secteur public manipule des renseignements personnels de citoyens, des données de santé, des dossiers sensibles. La résidence de ces données au Québec et au Canada devient un critère de premier ordre.

La Loi 25 impose notamment une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet d'acquisition, de développement ou de refonte d'un système d'information qui implique des renseignements personnels, et avant toute communication de renseignements à l'extérieur du Québec. Une IA dont l'infrastructure et le traitement restent ici simplifie considérablement cet exercice : moins de transferts à justifier, moins de zones grises, un dossier plus solide pour le responsable de la protection des renseignements personnels.

Choisir une IA souveraine, pour un organisme public, c'est se donner les moyens de répondre clairement à une question simple mais fondamentale : où vivent les données des citoyens, et qui peut y accéder? Pour aller plus loin sur ce volet, consulte notre page dédiée au secteur public.

Passer à l'action

Comment choisir une IA souveraine

La meilleure défense, c'est de poser les bonnes questions avant de signer. Voici la liste à soumettre à n'importe quel fournisseur qui se réclame de la souveraineté. Si une réponse reste floue, c'est un signal.

La checklist des questions à poser

  • Où sont physiquement hébergées et traitées mes données? (Réponse attendue : au Canada, sans traitement à l'étranger.)
  • Quelle est la nationalité juridique du fournisseur d'infrastructure? Est-il soumis au CLOUD Act ou à une autre loi extraterritoriale?
  • Mes données et mes échanges servent-ils à entraîner ou à réentraîner les modèles?
  • Le service est-il conforme à la Loi 25 et à la LPRPDE? Le fournisseur peut-il documenter sa démarche?
  • Puis-je accéder à mes données, les exporter et les supprimer en tout temps?
  • Qui détient les clés de chiffrement et l'accès administrateur aux systèmes?
  • Le fournisseur me fournit-il ce qu'il faut pour mon évaluation des facteurs relatifs à la vie privée (EFVP)?

Pour comparer les options sur ces critères, vois notre comparatif. Et si ton enjeu concerne aussi les obligations légales liées à l'IA, notre guide Loi 25 et IA approfondit le sujet.

L'approche Kébek

Kébek a été conçu autour de ces trois piliers, sans compromis. Notre infrastructure est hébergée à Montréal, en territoire canadien, sous le droit d'icitte. Tes données ne partent pas se faire traiter ailleurs et restent soumises à la Loi 25 et à la LPRPDE.

On adopte une approche multi-modèles : on choisit le bon modèle pour la bonne tâche, tout en gardant le contrôle sur le flux de tes données. Surtout, on applique une règle ferme : jamais d'entraînement sur tes données. Tes contenus restent les tiens et ne nourrissent aucun modèle partagé.

Enfin, on ajoute une couche RAG (génération augmentée par récupération) branchée sur des sources publiques québécoises : lois, règlements et documents officiels. Résultat : des réponses ancrées dans notre réalité, en français québécois natif, plutôt que des généralités venues d'ailleurs. Pour comprendre la philosophie derrière tout ça, lis notre page souveraineté.

Reprends le contrôle de tes données

Essaie l'IA souveraine d'icitte. Pose ta première question et vois la différence d'une IA hébergée au Québec, qui ne s'entraîne jamais sur tes données.

Essayer gratuitement Parler à l'équipe

Aucune carte requise · Hébergement Montréal · Conforme Loi 25

Questions fréquentes

Qu'est-ce que l'IA souveraine?

L'IA souveraine est une intelligence artificielle dont l'infrastructure, les données et la gouvernance restent sous le contrôle d'une juridiction donnée. Au Canada, ça veut dire des données qui demeurent en territoire canadien, soumises au droit canadien et québécois, hors de portée des lois étrangères comme le CLOUD Act américain.

La résidence des données suffit-elle pour parler d'IA souveraine?

Non. La résidence des données (le fait que tes données soient stockées au Canada) est nécessaire mais pas suffisante. Si le fournisseur d'infrastructure est une société américaine, ses serveurs au Canada peuvent rester assujettis au CLOUD Act. La souveraineté réelle suppose aussi un contrôle juridique et opérationnel local, sans porte d'entrée extraterritoriale.

Le CLOUD Act américain s'applique-t-il à des données hébergées au Canada?

Oui, potentiellement. Le CLOUD Act (2018) permet aux autorités américaines d'exiger des données détenues par une entreprise soumise à la juridiction des États-Unis, peu importe où ces données sont physiquement stockées, y compris au Canada. C'est pour ça que l'emplacement du serveur ne règle pas tout : la nationalité juridique du fournisseur compte.

Une IA souveraine est-elle compatible avec la Loi 25 du Québec?

Une IA souveraine facilite grandement la conformité à la Loi 25 et à la LPRPDE fédérale, parce que les renseignements personnels restent au Canada et sous le droit applicable. La Loi 25 impose notamment une évaluation des facteurs relatifs à la vie privée (EFVP) pour toute communication de renseignements hors Québec : héberger ici réduit ce risque, sans pour autant remplacer ton analyse de conformité.

Mes données servent-elles à entraîner les modèles d'une IA souveraine?

Pas chez Kébek. Tes données ne servent jamais à entraîner ni à réentraîner les modèles. Le contrôle sur l'entraînement est l'un des trois piliers de l'IA souveraine : tu dois pouvoir garantir que tes contenus restent les tiens et ne nourrissent pas un modèle partagé avec d'autres.