Pourquoi héberger ses données au Canada ? Souveraineté, confidentialité et obligations légales pour les syndicats de copropriété

Quand un syndicat de copropriété choisit un logiciel de gestion, la question de l'hébergement des données passe souvent au second plan : on regarde les fonctionnalités, le prix, l'ergonomie. Pourtant, l'emplacement géographique et juridique des serveurs a des implications concrètes sur la confidentialité, la conformité légale, la responsabilité du conseil d'administration et même la valeur de revente des unités. Ce n'est pas un détail technique : c'est une décision qui engage la copropriété pour plusieurs années. Voici, en termes accessibles, ce que tout administrateur de syndic devrait comprendre avant de signer un contrat avec un fournisseur SaaS.

Le problème : où vont vos données de copropriété ?

La plupart des SaaS de gestion immobilière utilisés au Québec sont américains. On peut citer Buildium, AppFolio ou Yardi, tous des leaders du marché nord-américain. Leurs serveurs sont opérés par des entreprises américaines, ce qui les soumet à la juridiction des États-Unis, même quand les données sont physiquement stockées au Canada via un partenaire d'hébergement local. Cette nuance est cruciale : "stocké au Canada" et "opéré par une entreprise canadienne" ne signifient pas la même chose juridiquement.

Et le problème ne s'arrête pas aux logiciels de gestion. La majorité des outils périphériques utilisés par les syndicats au quotidien sont eux aussi américains : Google Workspace pour les emails et les agendas partagés, Dropbox ou Google Drive pour les documents, DocuSign pour les signatures électroniques, Zoom pour les réunions virtuelles, Slack ou WhatsApp pour les discussions du conseil. Tous opérés par des entreprises soumises au CLOUD Act, indépendamment de la localisation physique de leurs serveurs.

Ce que ça signifie concrètement pour un syndicat : les emails des résidents, les procès-verbaux d'assemblée générale, les états financiers détaillés, les coordonnées bancaires du fonds de prévoyance, les avis d'imposition foncière, les noms et adresses des copropriétaires, tout cela peut être stocké sur des infrastructures juridiquement américaines, accessibles à des autorités étrangères dans certaines conditions. Pour un immeuble de 12 unités, le volume de données personnelles accumulé en 3 ou 4 ans est considérable.

Qu'est-ce que le CLOUD Act américain ?

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) a été adopté en mars 2018 par le Congrès américain sous l'administration Trump, et reste en vigueur depuis. Son principe est simple mais lourd de conséquences : il permet au gouvernement américain d'exiger l'accès aux données détenues par toute entreprise américaine, peu importe où ces données sont physiquement stockées dans le monde. Le texte de loi a été motivé par le célèbre litige Microsoft Ireland de 2013-2018, où Microsoft refusait de remettre au FBI des emails stockés en Irlande. Le CLOUD Act a tranché : peu importe où sont les serveurs, l'entreprise américaine doit obtempérer.

Cette loi s'applique notamment à Google (Google Cloud, Gmail, Drive, Workspace), Amazon (AWS, le plus gros fournisseur de cloud au monde), Microsoft (Azure, OneDrive, Outlook, Teams), Apple (iCloud), Meta (WhatsApp, Messenger), et à tous les SaaS hébergés sur ces infrastructures. Même un petit SaaS canadien hébergé sur AWS est techniquement exposé : son fournisseur d'infrastructure est américain.

En pratique, une demande sous CLOUD Act suit une procédure judiciaire américaine : un procureur fédéral présente un mandat à l'entreprise, qui peut tenter de contester devant un juge américain. Le client final, lui, n'est généralement pas notifié, sauf dans des conditions strictes. Pour un syndicat québécois, cela signifie que ses données pourraient être consultées sans qu'il ne le sache jamais.

Concrètement, un syndicat québécois qui utilise Gmail pour ses communications, Dropbox pour ses documents et un logiciel américain de gestion : ses données sont potentiellement accessibles à des agences fédérales américaines, sans notification au propriétaire et sans recours pratique sous le droit canadien. C'est un risque diffus mais structurel.

Pour aller plus loin, le texte officiel du CLOUD Act est consultable sur le site du Congrès américain : congress.gov/bill/115th-congress/senate-bill/2383.

Vos obligations légales au Québec : la Loi 25

Depuis septembre 2022, le Québec applique la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels). Cette loi impose plusieurs obligations qui touchent directement les syndicats de copropriété, considérés comme des "organismes" au sens de la loi :

• Collecte minimale : ne collecter que les données strictement nécessaires à la finalité du traitement
• Consentement explicite des personnes concernées, manifeste, libre et éclairé
• Droit d'accès et de rectification des données par les personnes concernées
• Obligation de localisation ou d'évaluation d'impact pour certaines catégories de renseignements sensibles transférés hors Québec
• Notification obligatoire à la Commission d'accès à l'information (CAI) et aux personnes concernées en cas d'incident de confidentialité présentant un risque sérieux

Les sanctions prévues par la Loi 25 peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les entreprises en infraction, ce qui en fait l'une des lois de protection des données les plus sévères au monde. Pour un syndicat, le risque immédiat est plus mesuré : la plainte d'un copropriétaire mécontent auprès de la CAI, qui peut déclencher une enquête et imposer des mesures correctives. Mais l'enjeu d'image et de confiance est, lui, considérable.

Le texte intégral de la Loi 25 est disponible sur LégisQuébec : legisquebec.gouv.qc.ca/fr/document/lc/P-39.1.

Au niveau fédéral, le PIPEDA (Personal Information Protection and Electronic Documents Act) impose des règles similaires pour le secteur privé canadien partout au pays. Les deux régimes se complètent et s'appliquent simultanément aux syndicats québécois. Le PIPEDA est généralement moins strict que la Loi 25 sur le consentement, mais il consacre les mêmes principes fondamentaux : transparence, finalité, sécurité, accès.

Cas concret : ce qui peut mal tourner

Imaginons un scénario plausible. Un syndicat de 8 unités à Montréal utilise depuis trois ans un SaaS américain pour gérer ses appels de fonds, son budget et ses procès-verbaux. Le fournisseur stocke les noms, adresses, numéros de téléphone et historiques de paiement de tous les copropriétaires, plus les coordonnées bancaires du syndicat. Un jour, à la suite d'une enquête américaine sans rapport direct avec le syndicat (par exemple, une investigation sur un autre client du fournisseur ou une demande administrative générique), un mandat CLOUD Act exige la remise de larges volumes de données. Le syndicat n'en est pas informé, parce que le fournisseur n'en a pas l'obligation, et ses données sont consultées sans son consentement.

Cas plus probable encore : une fuite de données chez le fournisseur SaaS américain expose les coordonnées et historiques de paiement de centaines de milliers de copropriétaires nord-américains, y compris ceux du syndicat. Sous Loi 25, le syndicat est responsable de notifier la CAI et ses copropriétaires "dans les meilleurs délais". Mais le fournisseur américain peut prendre des semaines ou des mois à fournir les détails de la brèche, voire ne jamais clairement confirmer l'exposition. Le syndicat se retrouve dans une zone grise juridique, sans information fiable, exposé à des plaintes.

Ces scénarios ne sont pas théoriques : les fuites massives de données chez les SaaS sont devenues banales (LastPass, Okta, MOVEit, etc.). Et chaque fois, les clients en aval découvrent l'exposition longtemps après les faits.

Comment évaluer son fournisseur actuel ?

Avant de signer ou de renouveler un contrat avec un fournisseur SaaS, voici les questions concrètes à poser. Une absence de réponse claire est en soi une réponse.

• Où sont physiquement situés les serveurs qui stockent nos données ? Une réponse vague type "Amérique du Nord" est insuffisante.
• Qui est l'opérateur juridique des serveurs ? Une filiale canadienne ne suffit pas si la maison mère est américaine.
• Êtes-vous soumis au CLOUD Act ? La réponse honnête est presque toujours "oui" pour les SaaS américains, même via filiale canadienne.
• Quelle est votre politique de notification en cas de demande gouvernementale étrangère ? Cherchez un engagement contractuel, pas un simple "best effort".
• Comment garantissez-vous la conformité à la Loi 25 et au PIPEDA ? Demandez le détail technique, pas une page marketing.
• Quelle est votre procédure d'export en cas de résiliation ? Vérifiez le format, le délai, et l'absence de frais cachés.

Ces questions peuvent sembler intrusives, mais elles devraient être routinières pour tout fournisseur sérieux. Un fournisseur qui refuse de répondre par écrit est un signal d'alerte.

Le coût caché de la migration vers une solution canadienne

Beaucoup de syndicats hésitent à migrer par crainte du coût et de la perturbation. C'est compréhensible mais souvent surestimé. Pour un petit syndicat (4 à 20 unités), la migration vers une solution canadienne demande typiquement entre 3 et 8 heures de travail réparties sur quelques semaines : export des données depuis l'ancien outil, import dans le nouveau, vérification de cohérence, communication aux copropriétaires.

Le coût financier direct est nul ou faible : la plupart des fournisseurs canadiens (dont Kohabit) offrent un accès gratuit pendant la phase de migration et facturent ensuite à des tarifs comparables aux SaaS américains, voire inférieurs pour les petits syndicats. À titre indicatif, Kohabit facture 2,99 $ CAD par unité par mois, soit moins de 30 $ par mois pour un immeuble de 10 unités, toutes fonctionnalités incluses.

Le coût caché est en réalité ailleurs : c'est le coût de l'inaction. Tant que les données restent sur un SaaS américain, l'exposition au CLOUD Act et le risque de non-conformité Loi 25 perdurent. Ce risque ne se matérialise pas tous les jours, mais quand il se matérialise, les conséquences sont disproportionnées.

Tableau comparatif : données au Canada vs aux États-Unis

| Critère | Hébergement Canada (Kohabit) | Hébergement USA (SaaS américain) |

|---|---|---|

| Loi applicable | PIPEDA + Loi 25 | CLOUD Act + droit local |

| Accès gouvernement US | Non | Possible sans notification |

| Conformité Loi 25 | Native | À vérifier au cas par cas |

| Droit à la portabilité | Garanti | Variable selon le contrat |

| Localisation confirmée | Canada uniquement | Souvent multi-régions |

| Recours en cas de litige | Tribunaux canadiens | Souvent juridiction américaine |

| Trackers tiers | Aucun (Umami auto-hébergé) | Variable (souvent Google Analytics) |

Ce que "hébergé au Canada" veut dire concrètement chez Kohabit

Quand Kohabit dit "hébergé au Canada", voici ce que ça recouvre techniquement :

• Localisation physique des serveurs : centres de données situés au Canada, opérés par des fournisseurs canadiens (pas une filiale canadienne d'un géant américain)
• Aucun sous-traitant américain pour le stockage des données sensibles : ni AWS, ni Google Cloud, ni Azure pour les bases de données principales
• Données soumises au droit canadien uniquement : Loi 25 du Québec et PIPEDA fédéral
• Pas d'exposition au CLOUD Act : aucune autorité étrangère ne peut exiger l'accès aux données via une procédure américaine
• Droit de portabilité garanti : en cas de résiliation, vous récupérez l'intégralité des données dans un format standard (CSV, JSON, PDF selon les types) sous 7 jours
• Aucun traceur tiers : pas de Google Analytics, Facebook Pixel, Hotjar ou autre. Les statistiques d'usage sont produites par Umami, auto-hébergé au Canada

Cette approche n'est pas qu'un choix marketing : c'est une décision d'architecture qui a des implications opérationnelles. Cela limite les fournisseurs d'infrastructure disponibles et oblige à privilégier des solutions parfois moins matures que leurs équivalents américains. C'est un compromis assumé en faveur de la souveraineté numérique.

Questions fréquentes

Mes données sont-elles vraiment au Canada ? Comment le vérifier ?

La meilleure pratique consiste à demander au fournisseur une attestation écrite de la localisation des serveurs et de leur sous-traitance éventuelle. Kohabit fournit cette information sur demande, avec les noms des centres de données utilisés et les certifications applicables. Pour vérifier techniquement, vous pouvez utiliser un outil de traceroute IP (gratuit en ligne) pour identifier la route réseau vers le serveur principal et confirmer qu'elle reste au Canada.

Le CLOUD Act peut-il vraiment affecter mon syndicat de 6 unités ?

Oui, en principe. Le CLOUD Act ne fait pas de distinction de taille : il s'applique à toutes les données détenues par une entreprise américaine. En pratique, les autorités américaines ne s'intéressent évidemment pas à un syndicat de 6 unités spécifiquement, c'est une question de proportionnalité. Mais le principe juridique reste : vos données ne sont pas sous la protection exclusive du droit canadien, et une fuite chez le fournisseur peut vous exposer indirectement.

Y a-t-il des exceptions au CLOUD Act ?

Le CLOUD Act prévoit un mécanisme d'accords bilatéraux ("Executive Agreements") avec certains pays alliés pour limiter les demandes croisées. Aucun accord de ce type n'existe entre les États-Unis et le Canada à ce jour (mai 2026). Donc en pratique, pour les données détenues par des entreprises américaines opérant au Canada, le CLOUD Act s'applique sans garde-fou diplomatique formel.

Mes emails sortants envoyés par la plateforme sont-ils aussi sous CLOUD Act ?

Si la plateforme utilise un fournisseur d'email transactionnel américain (SendGrid, Mailgun, AWS SES), oui : les emails transitent par une infrastructure américaine, même si la plateforme principale est canadienne. Kohabit utilise des fournisseurs d'email avec présence canadienne et option de résidence des données au Canada pour limiter cette exposition.

Que se passe-t-il si Kohabit est racheté par une entreprise américaine ?

C'est une question légitime. Le contrat utilisateur de Kohabit prévoit une clause de changement de contrôle qui oblige à notifier tous les clients au moins 90 jours avant tout transfert, avec droit de résiliation immédiate et export complet des données. Ce n'est pas une garantie absolue, mais c'est une protection contractuelle qui n'existe pas chez la plupart des SaaS américains.

Quelles sont les alternatives canadiennes aux outils américains courants ?

Pour les emails : ProtonMail (Suisse, hors juridiction US), Hey (Canada via Basecamp), Tutanota (Allemagne, soumise au RGPD strict). Pour le stockage de fichiers : Sync.com (Canada), pCloud (Suisse). Pour les signatures électroniques : DocuSign a une option de résidence canadienne si on la demande explicitement, sinon Signéo (Québec). Pour la visioconférence : Jitsi auto-hébergé, ou Whereby (Norvège, RGPD).

Kohabit utilise-t-il des services tiers américains ?

Le principe de Kohabit est de limiter au strict minimum les dépendances américaines. Aucun traceur tiers américain (Google Analytics, Facebook Pixel, Hotjar) n'est utilisé sur la plateforme. Pour les statistiques d'usage internes, Kohabit utilise Umami, un outil d'analyse respectueux de la vie privée, auto-hébergé sur l'infrastructure canadienne, sans cookies ni profilage.

---

Pour aller plus loin sur la conformité réglementaire des syndicats, consultez notre page dédiée à la Loi 16 sur la copropriété au Québec qui détaille les obligations spécifiques au carnet d'entretien et au fonds de prévoyance.

Kohabit est conçu pour offrir une alternative canadienne crédible aux outils américains : créez votre compte gratuit en accès anticipé et gardez vos données sous juridiction québécoise dès aujourd'hui.