Portico Intelligence/ Field Notes
·10 min read·Compliance

IA hébergée au Québec : pourquoi la résidence des données change tout

Votre agent IA téléphonique est-il vraiment hébergé au Québec ? Découvrez ce que la Loi 25 et le CLOUD Act américain exigent — et pourquoi l'adresse du serveur ne suffit pas.

Mathias Delage

Co-Founder & Technical Lead, Portico Intelligence

Chaque appel qu'un agent IA téléphonique décroche collecte un renseignement personnel. Si ce système tourne sur des serveurs d'une entreprise américaine — même physiquement situés à Montréal — vos clients québécois ne sont pas protégés comme la Loi 25 l'exige. La résidence des données est une question de juridiction, pas de géographie.

À retenir

  • L'article 17 de la Loi 25 encadre tout transfert de renseignements personnels hors du Québec et exige une évaluation des facteurs relatifs à la vie privée (EFVP).
  • Héberger chez AWS, Google Cloud ou Azure Canada ne suffit pas : ces entreprises américaines restent soumises au CLOUD Act, qui autorise le gouvernement américain à exiger l'accès à vos données.
  • Les sanctions pénales pour violation atteignent jusqu'à 25 M$ CAD ou 4 % du chiffre d'affaires mondial, la valeur la plus élevée étant retenue.
  • Un fournisseur québécois incorporé au Canada est la seule façon d'éliminer ce risque sans procédures légales supplémentaires.
  • Pour un agent IA téléphonique, chaque appel — y compris après-heures — déclenche potentiellement ces obligations.

Pourquoi chaque appel téléphonique est un transfert de données

Quand un client compose votre numéro et qu'un agent IA répond, la conversation ne reste pas dans votre bureau. Elle transite par des serveurs qui identifient la voix, la transcrivent, l'analysent, puis déclenchent une action : noter un rendez-vous, router une urgence, créer un ticket dans votre CRM. À chaque étape, des renseignements personnels circulent entre des systèmes.

Au sens de la Loi 25, un renseignement personnel est « tout renseignement qui concerne une personne physique et permet de l'identifier ». Un numéro de téléphone entrant, un prénom prononcé, une adresse mentionnée lors d'un appel — tout ça est visé. Et si votre agent IA opère pour une clinique, un cabinet médical ou tout autre service lié à la santé, les renseignements recueillis sont considérés comme sensibles, ce qui alourdit encore les obligations de protection.

La plupart des propriétaires de PME ne pensent pas à leurs appels téléphoniques comme à des transferts de données. Pourtant, un agent IA qui gère la réception d'une petite entreprise accumule, sur douze mois, des milliers d'enregistrements : noms, numéros, créneaux de rendez-vous, adresses, motifs d'appel. C'est un corpus de données personnelles aussi sensible que votre liste clients.

La question n'est donc pas de savoir si votre agent téléphonique traite des renseignements personnels. Il le fait. La question est : où vont-ils, et sous quelle juridiction ?

Qu'est-ce que la Loi 25 exige, exactement, sur la résidence des données ?

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. Elle s'applique à toute entreprise qui traite les renseignements personnels de résidents québécois, indépendamment du lieu où cette entreprise est établie.

Son article 17 encadre spécifiquement les transferts hors-province. Avant d'envoyer des renseignements personnels à l'extérieur du Québec — y compris vers un serveur situé en Ontario, aux États-Unis ou en Europe — une organisation doit conduire une évaluation des facteurs relatifs à la vie privée (EFVP) portant sur le transfert et s'assurer que le régime juridique applicable dans l'État destinataire offre une protection « adéquate » [Commission d'accès à l'information, principaux changements apportés par la Loi 25].

Cette EFVP n'est pas une formalité. Elle doit analyser la sensibilité des renseignements transférés, les mesures de protection en place, et — élément clé — le régime légal du pays de destination. C'est précisément là que le problème avec les géants américains du cloud se manifeste.

Les sanctions pénales prévues à l'article 91 pour violation peuvent atteindre 25 M$ CAD ou 4 % du chiffre d'affaires mondial, la valeur la plus élevée étant retenue. La CAI peut également imposer des sanctions administratives jusqu'à 10 M$ ou 2 % du CA mondial [sanctions et amendes, CAI Québec]. Ces montants ne s'appliquent pas uniquement aux grandes entreprises — toute organisation traitant des renseignements personnels est exposée.

Pourquoi « hébergé au Canada » ne signifie pas « conforme »

Beaucoup de PME québécoises croient qu'en sélectionnant la région « Canada » dans les paramètres d'un outil IA américain, elles ont réglé la question de la résidence des données. Ce n'est pas le cas.

Amazon Web Services, Google Cloud et Microsoft Azure opèrent effectivement des centres de données au Canada. Mais ce sont des entreprises américaines. À ce titre, elles sont soumises au CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 18 U.S.C. § 2713), une loi fédérale américaine adoptée en 2018. Ce texte autorise le gouvernement américain à exiger d'une entreprise américaine qu'elle remette des données stockées sur ses serveurs — où qu'ils soient dans le monde — sur ordonnance d'un tribunal américain, sans que vous en soyez nécessairement informé [BLG avocats, Souveraineté des données et le CLOUD Act, avril 2026].

Autrement dit : vos données peuvent être physiquement à Montréal mais juridiquement accessibles à Washington.

Cette réalité crée un conflit direct avec l'article 17 de la Loi 25. Lorsque vous conduisez votre EFVP pour un outil hébergé chez un géant américain, vous devez évaluer le régime juridique américain. Le CLOUD Act contredit directement l'exigence de protection adéquate que l'EFVP doit démontrer [SOQUIJ, nouvelles obligations pour les transferts hors Québec].

Un sous-ministre québécois a qualifié publiquement cette situation de « dépendance toxique » au cloud américain. La préoccupation n'est pas symbolique : elle touche directement la conformité légale des entreprises qui déploient des outils IA.

La différence entre localisation et juridiction

Voici comment la distinguer concrètement :

Localisation = où se trouvent physiquement les serveurs. Un datacenter à Montréal ou à Toronto, c'est la localisation.

Juridiction = quel droit gouverne les données qui y sont traitées. Si l'entreprise exploitant ces serveurs est incorporée aux États-Unis, la juridiction est américaine — et le CLOUD Act s'applique.

La conformité à la Loi 25 se joue sur la juridiction, pas sur la localisation. La CAI recommande explicitement de choisir des fournisseurs indépendants des géants américains comme approche de conformité la plus directe, notamment parce que l'EFVP pour un transfert vers une entité soumise au CLOUD Act est difficile à conclure positivement [Mondaq, Transfert de renseignements personnels hors du Québec].

Hébergement chez un géant américain vs. fournisseur québécois : comparaison

CritèreAWS / GCP / Azure CanadaFournisseur québécois indépendant
Localisation des serveursCanadaQuébec
Juridiction d'incorporationÉtats-UnisCanada / Québec
Soumis au CLOUD ActOuiNon
EFVP requise (art. 17 Loi 25)Oui — et difficile à satisfaireNon, ou très allégée
Divulgation aux autorités américaines possibleOui, sans préavis nécessaireNon
Conformité Loi 25 simple à démontrerNonOui
Bilingue FR-EN natif pour le QuébecRarementSelon le fournisseur

La différence de conformité est structurelle, pas de degré. Ce n'est pas qu'un fournisseur québécois est « légèrement mieux » sur la Loi 25 — c'est qu'il élimine le problème à la racine, là où un géant américain impose une démarche légale complexe pour tenter de le gérer.

Ce que ça signifie pour un agent IA téléphonique, concrètement

Un agent IA téléphonique déployé pour la réception d'une PME québécoise traite des données dès la première sonnerie : identification de l'appelant, transcription de la conversation, routage vers le bon interlocuteur, création d'un log. Si l'infrastructure de cet agent — le serveur de traitement vocal, le modèle de langage, la base de logs — est contrôlée par une entreprise américaine, chaque appel contribue à un corpus qui peut théoriquement être requis par les autorités américaines.

Pour une clinique de santé, c'est particulièrement critique. Les renseignements médicaux collectés lors d'un appel — même indirects, comme le fait qu'une personne appelle une clinique spécialisée — sont des renseignements sensibles au sens de la Loi 25. Le régime de protection applicable est encore plus exigeant.

Une clinique de santé au Québec qui a migré sa réception téléphonique vers un agent IA hébergé et exploité exclusivement dans la province a pu documenter simplement sa conformité : l'EFVP était allégée, les données ne quittaient pas le territoire québécois, et la direction pouvait répondre clairement aux patients qui posaient la question. Ce type d'assurance est devenu un argument de confiance envers les patients — pas uniquement un bouclier légal.

Comment vérifier si votre fournisseur IA est vraiment hors d'atteinte du CLOUD Act

Poser la question de la « résidence des données » ne suffit pas. Un vendeur peut honnêtement affirmer que « vos données sont hébergées au Canada » sans que ça règle le problème de juridiction. Voici les bonnes questions :

1. Où l'entreprise est-elle incorporée ? Une société canadienne n'est pas soumise au CLOUD Act. Une filiale canadienne d'une entreprise américaine l'est, quel que soit l'emplacement de ses serveurs.

2. Quels composants du système transitent par des tiers américains ? Le traitement vocal (souvent Twilio, AWS Transcribe), le modèle de langage (OpenAI, AWS Bedrock, Google Vertex AI) et les bases de logs sont autant de points de risque distincts. Un fournisseur transparent peut identifier chaque composant et son régime juridique.

3. Obtenez une attestation écrite. Un contrat affirmant « données hébergées au Canada » sans préciser la juridiction de l'entreprise exploitante ne suffit pas du point de vue de la Loi 25. Demandez une attestation sur les composants du système et leur juridiction respective.

4. Demandez le processus de réponse aux ordonnances judiciaires. Un fournisseur sérieux a une politique claire : dans quels cas et comment notifie-t-il les clients si des autorités demandent leurs données ?

Pourquoi cette question est urgente maintenant

La Loi 25 est pleinement en vigueur. La CAI dispose des pouvoirs d'enquête et des pouvoirs de sanction. Les entreprises qui ont déployé des outils IA pendant les phases de rodage en 2022-2023 en s'en remettant à « on verra comment ça évolue » sont maintenant dans une posture de risque active — pas théorique.

Pour les agents IA téléphoniques en particulier, le volume de données personnelles traitées chaque semaine peut être considérable. Un propriétaire de PME qui reçoit 200 appels par semaine produit, sur un an, un corpus de plus de 10 000 interactions personnalisées. C'est un actif de données que la Loi 25 protège — et dont le traitement engage votre responsabilité juridique.

Une IA sans le workflow en dessous, c'est juste une messagerie vocale coûteuse. Et une IA sans l'infrastructure légalement propre en dessous, c'est un passif dormant.


Si vous déployez ou envisagez un agent IA téléphonique au Québec, commencez par cartographier où circulent les données de vos appelants — du traitement vocal jusqu'au stockage des logs. Si un composant quelconque transite par une entreprise américaine, une EFVP est requise, et elle peut être difficile à conclure positivement.

Portico Intelligence construit ses agents téléphoniques avec une infrastructure hébergée et contrôlée au Québec, bilingue FR-EN, déployée en moins de 48 heures. Les données de vos appelants ne quittent pas la province.

Parlez à notre équipe de votre déploiement →

Foire aux questions

La Loi 25 oblige-t-elle à héberger les données au Québec ?
La Loi 25 n'interdit pas les transferts hors Québec, mais elle impose une évaluation des facteurs relatifs à la vie privée (EFVP) rigoureuse avant tout transfert. En pratique, la CAI recommande la résidence canadienne comme voie de conformité la plus fiable, notamment parce que le CLOUD Act américain rend difficile la protection des données hébergées chez des fournisseurs américains.
Est-ce qu'héberger ses données chez AWS Montréal est conforme à la Loi 25 ?
Pas nécessairement. Amazon Web Services est une entreprise américaine soumise au CLOUD Act, qui peut obliger ses filiales à remettre des données aux autorités américaines, même si les serveurs sont physiquement au Canada. La conformité à la Loi 25 dépend de la juridiction de l'entreprise exploitant les serveurs, pas de leur localisation géographique.
Quelles sont les amendes prévues par la Loi 25 pour un transfert non conforme ?
Les sanctions pénales peuvent atteindre 25 M$ CAD ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. La CAI peut aussi imposer des sanctions administratives jusqu'à 10 M$ ou 2 % du CA mondial.
Un agent IA téléphonique traite-t-il des renseignements personnels au sens de la Loi 25 ?
Oui. Dès qu'un agent IA répond à un appel, il collecte au minimum le numéro de téléphone et le nom du client, ce qui constitue des renseignements personnels. Si l'appel concerne une clinique ou un service médical, il peut aussi traiter des renseignements sensibles sur la santé, ce qui alourdit les obligations.
Comment vérifier si mon fournisseur IA est vraiment hors de portée du CLOUD Act ?
Demandez explicitement : la juridiction d'incorporation du fournisseur, l'emplacement physique de chaque composant du système (traitement vocal, modèle de langage, base de données), et si le fournisseur est soumis au CLOUD Act américain. Un fournisseur sérieux peut fournir une attestation écrite sur ces points.

Dernière mise à jour: 13 juillet 2026