Analyse géographique de l’hébergement Web et Courriel des organisations Québécoises
Par Jean-François Courteau, conseiller en architecture de centres de données, spécialisé dans les grands réseaux d’entreprises et gouvernementaux.
1. Introduction
1.1 Objectif du rapport
Ce rapport se penche sur une question simple: à quel endroit sont hébergés les sites Web et les courriels des gouvernements, organismes et entreprises du Québec?
Ici, « à quel endroit » porte deux significations :
- Depuis quel pays sont desservis les sites Web, et dans quel pays transitent les courriels. On parle bien de l’emplacement physique;
- Quelle est la nationalité (et donc les lois auxquelles sont assujetties les données) des entreprises qui hébergent ou font transiter les sites Web et courriels. Cela nous révèle également dans quelles poches, vers quelles entreprises, nos argents coulent à coup de milliards à chaque année.
Ce rapport vise donc à mettre en lumière à quel point nos gouvernements et entrepreneurs font affaire, ou non, avec des entreprises Québécoises, Canadiennes ou étrangères pour héberger leurs services numériques.
1.2 Contexte et importance de la souveraineté numérique
Au cours des 10 à 15 dernières années, un grand mouvement de migration des gouvernements et entreprises vers les grands fournisseurs infonuagiques est en branle. Jusqu’en 2010-2015, les moyennes et grandes entreprises, gouvernements et organismes hébergeaient généralement leurs données à l’interne, dans de petits centres de données locaux. Mais depuis 2015, de plus en plus d’organisations envoient leurs données et services « dans le cloud ».
Mais qu’est-ce que le « cloud »? Comme on se plaît à dire dans le domaine, « c’est juste l’ordinateur de quelqu’un d’autre1 ». En effet, l’infonuagique consiste surtout à héberger des données et services dans de grands centres de données gérés par des entreprises spécialisées, qui font des assemblages de services pratiques et relativement faciles à utiliser, pour les entreprises qui ne veulent pas avoir à gérer les Technologies de l’Information (TI). Lire ici : les entreprises qui veulent payer le moins cher possible pour l’expertise TI.
Les plateformes infonuagique Amazon Web Services (AWS) et Microsoft Azure, les deux joueurs majeurs du domaine, ont été lancées à la fin des années 2000. Vers 2015, ces plateformes pouvaient être considérées comme relativement matures, et c’est dans cette période que j’ai commencé à voir nos entreprises d’ici migrer leurs services et données vers le nuage.
En 2019, coup de tonnerre! Le gouvernement du Québec lance le Programme de Consolidation des Centres de Traitement Informatiques (PCCTI) (Décret 38-20192, suivi du décret 536-20203). Pour résumer, le vœu du gouvernement était d’envoyer 80% de ses charges informatiques dans le nuage public (A.k.a Microsoft, Amazon, Google et autres), et de rapatrier les 20% restants dans des centres de données consolidés au Centre de Services Partagés du Québec4 (CSPQ – Devenu ensuite Infrastructures Technologiques Québec – ITQ – pendant 1 an, puis réorganisé en Ministère de la Cybersécurité et du Numérique – MCN).
Pour résumer ce qu’est l’infonuagique : c’est de confier à une entreprise tierce l’hébergement des données et services informatiques.
En période normale de relations Canado-américaines, lorsque les échanges étaient cordiaux et les accords commerciaux prévisibles, ça tombait sous le sens de confier nos données et systèmes aux grandes entreprises américaines. Après tout, elles sont des pionnières, à la fine pointe de la technologie en matière informatique, et elles ont l’expertise de pointe requise pour opérer de grandes infrastructures cloud. Cependant, avec l’adoption en 2018 par Washington du « CLOUD Act5 », qui donne aux autorités du pays le droit d’exiger de toute entreprise américaine un accès aux données de leurs clients, même si ces données se trouvent en dehors des États-Unis, en plus des enjeux commerciaux et géopolitiques actuels, la souveraineté numérique et la souveraineté des données devraient être la priorité absolue de nos entreprises et gouvernements.
Quand on parle de « souveraineté des données », on ne doit plus seulement parler d’héberger nos données sur le territoire Canadien, mais de les héberger dans des entreprises Canadiennes sans aucun contrôle juridique étranger.
La différence entre la « souveraineté numérique » et la « souveraineté des données »
Bien que ces deux concepts semblent interchangeables, à prime abord, il est important de donner une définition à ces deux termes.
Selon le Gouvernement du Canada, la souveraineté numérique « est définie comme la capacité du gouvernement à exercer une autonomie sur son infrastructure, ses données et sa propriété intellectuelle numériques. »6. Selon l’entreprise Blackberry, la souveraineté numérique est le concept large selon lequel une entité peut avoir un plein contrôle des plateformes, des infrastructures et des technologies numériques qui composent son écosystème.7
Toujours selon Blackberry, la souveraineté des données est définie non seulement par le territoire où sont hébergées les données, mais sous quel contrôle juridique ces données se trouvent ultimement. C’est donc dire que toute donnée soumise au CLOUD Act tombe sous la souveraineté américaine.
La souveraineté numérique et l’économie
Un autre élément important de la souveraineté numérique Canadienne est l’économie. Chaque fois que nos organisations achètent des services infonuagiques aux géant américains, elles engraissent les poches d’entreprises étrangères aux stratégies fiscales opaques et douteuses. En ne parlant que du Gouvernement du Québec et des villes, ce sont des centaines de millions de dollars annuellement qui sont envoyés à Microsoft pour les services infonuagiques8.
Si les services infonuagiques étaient rapatriés dans des organisations Québécoises et Canadiennes, ce sont des milliards de dollars qui demeureraient au pays, que les gouvernements récupéreraient partiellement en taxes et impôts et qui feraient travailler des gens d’ici. Malheureusement, aujourd’hui, les vannes sont grandes ouvertes vers les géants américains, et tous ces argents sont envoyés à l’étranger.
Bien sûr, certains diront que Microsoft, Amazon et Google ouvrent actuellement de méga-centres de données au Québec. En effet, cela entraîne certaines retombées économiques locales, mais elles demeurent ponctuelles, pendant la construction. Ces centres de données sont presque entièrement opérés depuis l’étranger, et très peu d’employés y travaillent localement une fois opérationnalisés.
Pourquoi ces entreprises s’installent-elles ici? Pour notre climat plus froid et notre électricité abordable, point. Aux États-Unis, notamment dans le « Datacenters Alley » (Aussi appelé le « Dulles Technology Corridor9 ») en Virginie, il fait chaud, et l’électricité coûte cher. Les serveurs Web, serveurs courriel et entrepôts de données génèrent de la chaleur qu’il faut dissiper, et utilisent de l’électricité, beaucoup d’électricité, pour vous rendre ces services.
En s’installant ici, les géants américains augmentent leurs marges de façon significative. L’électricité négociée avec Hydro-Québec par les grands opérateurs de centres de données est au taux le plus bas de l’est de l’Amérique du Nord10. De plus, les coûts de climatisation sont beaucoup plus faibles qu’aux États-Unis, compte tenu de notre climat nordique.
En plus de profiter de tarifs électriques plus avantageux et de climatisation plus économique, AWS facture plus cher pour le même service fourni au Canada11, dans la région ca-central-1 situé à Montréal12. C’est donc dire qu’ils profitent encore plus de nos infrastructures et de notre climat pour s’enrichir toujours plus.
La souveraineté numérique durable
Tel que décrit plus haut, le Québec dispose de deux ressources inestimables pour sa souveraineté numérique et la souveraineté de ses données : De l’électricité verte et durable à profusion, ainsi qu’un climat nordique.
Il ne fait même pas débat que nous sommes l’un des meilleurs endroits du monde pour héberger des serveurs informatiques, si ce n’est que notre situation géographique qui pourrait être définie comme « le bout de l’internet ». En effet, nous ne sommes pas un point central d’interconnexion du continent comme New York ou Los Angeles, mais nous sommes tout de même très bien connectés entre les grands centres de Québec, Montréal, Ottawa et Toronto13, puis vers Boston, New York, Buffalo et Détroit pour sortir du pays.
Comme on le sait tous, le Québec génère près de 99% de son électricité à partir d’énergies vertes, majoritairement l’hydroélectricité, et dans une moindre mesure grâce aux éoliennes. En comparaison, les centres de données situés aux États-Unis génèrent des gaz à effet de serre comme jamais14, ce qui nous place en opposition complète avec eux, en terme de durabilité de nos centres de données. Même si notre capacité électrique en période de pointe est légèrement inférieure à la capacité de production d’Hydro-Québec, le reste de l’année (environ 98% du temps), le Québec a un excédent d’électricité enviable15.
En développant nos propres centres de données Québécois, nous pourrions très bien devenir un joueur majeur des services hébergés à l’international. Nous pourrions développer une expertise de pointe avec les technologies de Logiciel Libre, qui ne dépendent pas nécessairement des géants américains. Mais surtout, nous serions immédiatement considérés comme la région du monde où les centres de données sont les plus verts de la planète.
Renversement de la vapeur – 13 février 2026
Pendant la finalisation de notre rapport, soit le vendredi 13 février 2026, le Ministre de la Cybersécurité et du Numérique, Gilles Bélanger, a fait une annonce majeure : il annonce une « Politique de souveraineté numérique », pour rapatrier au Québec, et dans des systèmes de logiciel libre, les données Québécoises. Si l’on se réfère au décret 596-2020, c’est un renversement de vapeur complet, un virage à 180 degrés.
Pendant les 7 dernières années, soit depuis 2019, le gouvernement du Québec a poussé les Ministères et Organismes à externaliser leurs données. Le mouvement s’est fait majoritairement vers les entreprises américaines Microsoft, Amazon et Google, et dans une moindre mesure les québécoises Micrologic et Sherweb. Maintenant que plusieurs organisations gouvernementales sont rendues « dans le cloud », on leur dit qu’il faut revenir vers les centres de données gouvernementaux.
Comme vous le verrez dans ce rapport, le mouvement est déjà pratiquement complété vers le cloud pour les courriels et produits bureautiques de tous les organismes gouvernementaux, et ce vers un seul fournisseur : Microsoft. Cet unique renversement coûtera des milliards de dollars, puisqu’il faudra faire rapatrier les courriels de plus de 500,000 fonctionnaires hors des griffes de Microsoft. Il faudra former les équipes TI sur de nouveaux produits de logiciel libre. Il faudra former les fonctionnaires qui en ont déjà plein les bottes d’opérer le « day-to-day » du gouvernement, pour qu’ils apprennent de nouveaux produits. Et on ne parle ici que des courriels et du système de vidéoconférence Teams, utilisé par l’ensemble du gouvernement.
Si l’on regarde tous les systèmes gouvernementaux, du moins ceux dont nous avons la connaissance, ils utilisent pour la plupart des logiciels propriétaires américains. Les serveurs Windows Server, les bases de données Microsoft ou Oracle, les systèmes de virtualisation VMWare/Broadcom ESX et les postes de travail Windows ne sont qu’un échantillon de ces logiciels propriétaires américains qui tapissent les serveurs et ordinateurs du gouvernement du Québec.
Dans l’annonce du Ministre, celui-ci dit qu’il y a déjà pour 1.4 milliards de dollars de contrats sur la table en vue d’avoir une meilleure posture de souveraineté numérique16. Au final, ce coût ne sera probablement que la pointe de l’iceberg. Cependant, il est un premier pas dans la bonne direction, en autant que les orientations soient les bonnes.
En résumé
La souveraineté numérique et la souveraineté des données du Québec et du Canada devraient être une priorité nationale. La situation géopolitique actuelle de 2025-2026, l’économie et l’écologie sont certainement les trois raisons les plus évidentes pourquoi nous devons y tendre, afin de se mettre à l’abri des instabilités internationales croissantes.
Nous espérons que les premiers pas du gouvernement du Québec seront le phare qui guidera l’ensemble de nos organisations vers la souveraineté numérique et la souveraineté des données.
1.3 Définitions clé
Adresse IP (v4 ou v6)
Une adresse IP est l’adresse d’un ordinateur sur un réseau. L’adresse IP peut être publique, c’est-à-dire visible sur Internet, ou encore privée, donc visible uniquement sur un réseau local (d’entreprise ou de domicile). Les adresses IP publiques sont réparties dans le monde par les registres régionaux (ARIN en Amérique du Nord, RIPE en Europe, AFRINIC en Afrique, etc.). Il est ensuite possible de localiser des adresses IP grâce à des bases de données disponibles publiquement.
Les adresses IP dont il est question dans ce rapport sont les adresses IPv4, soit celles de l’internet originel. Les adresses IPv6 (Internet de nouvelle génération) ne sont pas traitées ici, puisque le réseau Internet IPv6 ne couvre qu’environ 40% de l’Internet mondial.
API – Application Programming Interface
Une API est une façon de consommer un service de façon programmatique par une application. L’API fournit des informations dans un format structuré qui peut ensuite être utilisé par une application pour donner un résultat prévisible.
Centre de données
Un centre de données peut être un bâtiment complet, ou encore une pièce d’un bâtiment, dans lequel se trouvent des serveurs informatiques. Le centre de données peut être composé d’un seul ou de milliers de cabinets de serveurs.
DNS
DNS signifie Domain Name System. Il s’agit du système qui permet notamment de transformer un nom facile à retenir, par exemple, www.quebec.ca, en une adresse IP, qui est nécessaire pour se rendre au serveur Internet qui dessert le site Web idoine. Pour transformer un nom en adresse IP, il faut un enregistrement de type « hôte » (aussi appelé enregistrement de type « A »). Sans le système DNS, il faudrait se rappeler des adresses IP de chaque site que nous voulons visiter, ce qui serait sans doute plus compliqué.
On peut comparer DNS au « carnet d’adresses » d’Internet.
Enregistrements DNS MX
Les enregistrements MX, signifiant Mail eXchanger, sont les pointeurs pour dire quels sont les serveurs courriels qui peuvent recevoir les courriels pour un domaine DNS. Chaque domaine qui veut recevoir des courriels doit avoir au minimum un enregistrement MX, mais il peut en avoir plusieurs, pour différentes raisons (résilience, balancement de charge, migration)
Serveur (informatique)
Il s’agit d’un ordinateur qui fournit un service. Ce peut être un service d’affichage de site Web, un service de courrier électronique, un service de stockage de fichiers, ou encore d’autres services moins connus (service de synchronisation de temps, service de résolution de noms de domaine DNS, etc…). Les serveurs ne sont pas très différents des ordinateurs de bureau, excepté que généralement, ils ont pour seule fonction de fournir un service, et qu’il n’y a pas d’utilisateur assis devant. Afin de fournir des services, un serveur doit être en fonction 24/7.
Serveur ou service mandataire
Un serveur mandataire (aussi connu sous le nom de « Proxy ») est généralement un serveur frontal qui permet de rejoindre un site Web (ou un autre service), et qui s’interpose entre l’utilisateur et le serveur réel du site Web. Le serveur mandataire peut avoir plusieurs fonctions, notamment de filtrer les attaques informatiques, ou encore accélérer la livraison du site Web. Lorsque qu’un serveur mandataire est placé devant un site Web, il n’est souvent pas possible de savoir où se trouve le vrai serveur Web qui dessert le site Web. Le service Cloudflare est un des services mandataire les plus utilisés sur Internet.
Service Antipourriel
Il s’agit d’un service couramment utilisé pour s’interposer dans la livraison des courriels pour un nom de domaine. À cette fin, le ou les enregistrements DNS MX pour le domaine pointent vers le fournisseur de service Antipourriel. Celui-ci filtre les pourriels avant de faire la livraison aux serveurs réels de courriel de l’entreprise. Lorsqu’un tel service est utilisé, il n’est pas possible de savoir où se situent réellement les serveurs de courriel de l’entreprise, à moins d’avoir une communication par courriel avec cette entreprise. Dans ce cas, il serait possible de déterminer par quels serveurs de courriel a été relayée la communication.
Système Autonome public
Le système autonome public peut être considéré comme un sous-réseau d’Internet appartenant à une organisation et qui est sous son contrôle. Aussi appelé « BGP Autonomous System », ou plus régulièrement dans le domaine, « AS ».
1.4 Portée de l’étude
La portée de la présente étude se limite aux organisations suivantes :
- L’ensemble des ministères et organismes répertoriés du Gouvernement du Québec;
- Les 40 plus grandes villes du Québec (par population);
- Les 30 plus grandes entreprises du Québec, ayant un siège social au Québec ou au Canada selon le Journal Les Affaires (Les entreprises ayant leur siège social à l’étranger ont été volontairement exclues);
- Les 40 plus grandes PME du Québec selon le Journal Les Affaires;
Cadre méthodologique fondamental: Ce que cette étude mesure (et ne mesure pas)
Il est important de préciser que la présente étude n’a pas pour objectif de cartographier l’ensemble des infrastructures informatiques internes des organisations analysées. L’analyse repose volontairement sur des indicateurs techniques publiquement accessibles, notamment les adresses IP desservant les sites Web principaux et les enregistrements MX associés aux services de courriel, afin d’évaluer des signaux observables de dépendance ou d’autonomie numérique.
Ces éléments ne constituent pas une représentation exhaustive des environnements applicatifs ou des systèmes critiques internes. Toutefois, ils représentent des points d’exposition stratégiques majeurs: le site Web constitue la porte d’entrée publique de l’organisation, et le système de courriel demeure l’un des vecteurs principaux d’échange d’information sensible. À ce titre, leur localisation physique et la nationalité des fournisseurs impliqués offrent un indicateur pertinent, bien que partiel, du degré de souveraineté des données observable d’une organisation.
Au niveau technique, la portée de l’étude se limite à :
- Évaluer la localisation d’une adresse IP desservant le site Web principal, et lorsque trouvés, des sites supplémentaires de l’organisation17
- Évaluer la nationalité du fournisseur à qui appartient l’adresse IP desservant le site Web identifié
- Évaluer l’emplacement des serveurs permettant la réception des courriels pour le ou les domaines de l’organisation18
- Évaluer la nationalité du fournisseur où sont reçus les courriels de l’organisation
Seules les adresses IPv4 des serveurs ont été analysées. Les adresses IPv6 de l’Internet de nouvelle génération ne sont pas encore assez répandues au Québec pour donner des résultats concluants.
Pourquoi évaluer l’emplacement et le fournisseur d’hébergement Web?
Au fil des intervenants avec qui nous avons discutés en préparant ce rapport, certains nous ont donné comme commentaire que « le site Web de l’entreprise, c’est seulement une façade », et que l’hébergement Web ne veut rien dire sur l’entreprise elle-même. D’autres nous ont indiqué que les sites Web situés derrière le service américain Cloudflare utilisent ce service parce qu’il n’y a pas beaucoup d’équivalent, Canadien ou pas.
Il est vrai que le site Web d’une organisation est souvent une simple vitrine informative. Si tel est le cas, ne serait-il pas aussi tellement simple de l’héberger au Québec ou au Canada? Dans ce cas, l’argent dépensé demeurerait au pays, encouragerait des entreprises locales, et permettrait à une saine concurrence de se développer.
Dans d’autres cas, le site Web peut être aussi une plateforme de services en ligne ou de vente en ligne. Dans ce cas, plusieurs données se retrouvent à être hébergées dans les systèmes sous-jacents : informations personnelles, informations de paiement, historique d’achat et bien plus. C’est donc une raison de plus pour que les données soient souveraines.
Concernant le service mandataire et de sécurité Cloudflare, la question n’est pas tant de savoir s’il existe des alternatives, mais plutôt de déterminer quelles organisations en ont réellement besoin. Pour un site Web transactionnel à fort trafic, exposé à des attaques DDoS documentées ou traitant des données personnelles sensibles, un service de protection frontale robuste est effectivement justifié. Cloudflare est dans ce cas un choix compréhensible, faute d’équivalent canadien mature à ce jour.
En revanche, pour la grande majorité des sites analysés dans ce rapport, des sites informatifs sans transactions, sans données personnelles, ce niveau de protection n’est pas nécessaire. Des solutions souveraines existent et sont éprouvées : un serveur Web Apache ou Nginx combiné à un module de sécurité comme mod_security, bien configuré par un hébergeur canadien compétent, offre une protection amplement suffisante pour ces cas d’utilisation. L’argument selon lequel Cloudflare serait incontournable ne tient donc pas pour la majorité des organisations évaluées dans ce rapport.
Encourager le développement d’entreprises canadiennes capables d’offrir des services de protection frontale pour les organisations qui en ont réellement besoin demeure néanmoins un objectif pertinent à long terme, pour réduire la dépendance globale à ce seul joueur américain, une dépendance dont les risques se sont d’ailleurs manifestés concrètement.
Le 18 novembre 2025, le service Cloudflare a subi une panne mondiale19 qui a fait tomber une grande quantité de services Web nécessaires pour les opérations des entreprises. Notamment, OpenAI ChatGPT a été non fonctionnel pendant plusieurs heures,20 mais pas seulement. C’est donc une concentration importante du marché qui est entre les mains de ce seul joueur. On parle ici d’environ 20% de l’Internet qui utilise les services de Cloudflare, selon le professeur Mike Chappel, interviewé par CTV News.21
Pourquoi évaluer l’emplacement et le fournisseur d’hébergement courriel?
Le fournisseur d’hébergement courriel est en contact avec une très grande quantité de données échangées par l’organisation. Nous échangeons par courriel beaucoup d’informations personnelles, des secrets commerciaux, des conversations parfois personnelles avec les ressources humaines, des informations stratégiques, et bien plus. Imaginez Hydro-Québec, le Ministère de la Sécurité Publique, la Sûreté du Québec, le Ministère de la Justice, à quel point une quantité incroyables de données secrètes de l’état peuvent filtrer dans les courriels.
Même si le fournisseur identifié dans ce rapport est seulement un fournisseur antipourriel, et que les données elles-mêmes sont conservées dans l’organisation, il n’en demeure pas moins que toutes les données échangées avec le monde extérieur par courriel peuvent avoir une valeur stratégique. L’entreprise qui filtre les pourriels est à tout coup en contact avec les données contenues dans ces courriels, et peut donc en avoir une copie dans ses journaux de systèmes.
Si ces données ne sont pas sous souveraineté Canadienne, cela peut mettre à risque l’organisation que les informations fuitent vers un gouvernement subversif qui pourrait réclamer ces données sans mandat ni processus judiciaire Canadien.
Pourquoi limiter le rapport à ces seules cibles d’évaluation?
Compte tenu du nombre d’organisations évaluées, une enquête plus exhaustive aurait nécessité beaucoup de temps et de ressources. Les données utilisées pour élaborer ce rapport sont facilement disponibles publiquement, et peuvent être colligées sous forme structurée et objective, sans nécessité de communiquer avec les organisations évaluées, ni obtenir d’informations « de l’intérieur ».
Une évaluation complète sur la souveraineté numérique et la souveraineté des données des organisations nécessite d’avoir des informations parfois sensibles sur les logiciels, le matériel et l’emplacement et le gestionnaire des centres de données, ce qui n’était pas possible de réaliser à l’échelle du nombre d’organisations incluses dans notre rapport.
2. Méthodologie
2.1 Sélection des organisations à analyser
Ministères et organismes du Gouvernement du Québec
Le site Web suivant a été utilisé : https://www.quebec.ca/gouvernement/ministeres-organismes. Tel qu’indiqué sur le site, « Cette liste est basée sur les organismes gouvernementaux et entreprises d’État qui se trouvent dans la Loi sur l’administration financière ».
Les 40 plus grandes villes du Québec
Le site Web Wikipédia a été utilisé à cette fin. Les sites Web des villes ont été trouvés manuellement en utilisant le moteur de recherche DuckDuckGo, et non pas exclusivement en utilisant la référence Wikipédia : https://fr.wikipedia.org/wiki/Liste_des_municipalit%C3%A9s_du_Qu%C3%A9bec_par_population
Les 30 plus grandes entreprises du Québec
Le palmarès 2024 du site Web du Journal Les Affaires a été utilisé : https://www.lesaffaires.com/outils/classements/le-classement-2024-des-300-plus-grandes-entreprises-du-quebec-2/. Le classement des entreprises est fait par nombre d’employés déclarés. Les entreprises dont le siège social indiqué est situé en dehors du Canada ont été volontairement exclues, puisque la souveraineté des données et la souveraineté numérique Canadienne n’a pas la même portée pour les multinationales situées à l’étranger que pour les entreprises Canadiennes. Les sociétés d’état du gouvernement qui apparaissent au palmarès ont également été exclues, puisqu’elles apparaissent déjà dans la catégorie des Ministères et Organismes du Gouvernement du Québec.
Pendant notre étude, la page Web du palmarès des plus grandes entreprises du Québec du Journal Les Affaires semble avoir été modifiée. Nous en avons donc pris une capture d’écran le 2025-11-26 et mis à jour notre rapport en cette date. La capture d’écran se trouve à l’Annexe 1 à la fin de ce rapport.
Les 40 plus grandes PME du Québec
L’édition spéciale de mi-octobre 2025 du Journal Les Affaires a été utilisée. Cette édition comporte un palmarès des 300 plus grandes PME Québécoises aux pages 18 et suivantes de l’édition. Les PME sont classées par nombre d’employés déclarés, et les plus grandes PME répertoriées emploient 300 employés.
2.2 Sources de données
Sites Web et domaines de courriel des organisations
Pour les entreprises non gouvernementales, les moteurs de recherche DuckDuckGo et/ou Google ont été utilisés pour trouver le site Web officiel des différentes organisations analysées. Dans certains cas, des organisations possèdent plus d’un site Web. Dans ce cas, si ceux-ci sont facilement identifiables sur la page d’accueil de l’organisation, ils ont été ajoutés. Les domaines de courriel utilisés sont pratiquement dans tous les cas identiques au nom de domaine de l’entreprise, excepté dans de rares cas où il nous a fallu investiguer plus loin.
Pour les ministères et organismes du gouvernement du Québec, la référence suivante du site quebec.ca a été utilisée :
https://www.quebec.ca/gouvernement/ministeres-organismes
Dans certains cas, il a été nécessaire de fouiller jusque dans les coordonnées des organismes pour trouver le domaine de courriel, qui parfois, n’est pas le même que pour le site Web principal. Dans certains cas, également, les noms de domaine reliés aux anciens noms des ministères et organismes sont encore utilisés. Il nous a donc fallu fouiller de façon plus approfondie afin de trouver les bonnes informations.
Adresses IP reliées aux sites Web et enregistrements MX
Le système de noms de domaine (DNS – Domain Name System) mondial a été utilisé pour obtenir une adresse IP pour le site. Plus d’une adresse peut exister, mais pour une question de simplicité et d’efficacité, une seule a été considérée. Il est très rare qu’un site Web soit desservi depuis plusieurs pays / fournisseurs différents (bien que ce ne soit pas impossible).
Le système DNS est également la source de données utilisée pour obtenir les enregistrements MX, qui référencent les serveurs de courriel pour les domaines.
Les serveurs récurseurs DNS de 4DS Technologie inc. ont été utilisés. Ceux-ci effectuent des recherches DNS directement auprès des serveurs racine DNS (root) avec des requêtes récursives jusqu’au nom de domaine visé.
Géolocalisation des adresses IP de sites Web et serveurs courriel, fournisseur relié aux adresses IP de sites Web
L’API freeipapi.com22 est utilisée par notre outil d’analyse. Cette API se nourrit du service de géolocalisation db-ip.com23. L’API utilisée fournit une localisation approximative des adresses IP, ainsi que le nom de l’entité associée au système autonome public. Cette entité est généralement propriétaire du sous-réseau IP sur lequel se trouve le serveur, et donne donc une bonne idée du nom de l’entreprise où est hébergé le service.
Le service final peut être fourni par un fournisseur tiers plus petit que celui indiqué, mais au final, la grande entreprise où est hébergé le service est bien indiquée.
Dans certains cas ambigus, des recherches plus poussées ont été menées afin de trouver un fournisseur plus précis (Par exemple, dans le cas de plus petits hébergeurs locaux, comme Likuid).
Noms des fournisseurs de réception de courriels
Les enregistrements MX renvoient aux noms d’hôtes des serveurs qui reçoivent les courriels pour le domaine. Dans certains cas, comme Google ou Microsoft, le lien est très facile à faire. Dans d’autres cas, comme pour Proofpoint, Symantec / Broadcom ou encore Lastspam, il a fallu faire des recherches plus poussées sur DuckDuckGo et/ou Google, pour trouver à qui appartient le nom de domaine des serveurs de courriel.
2.3 Pointage de classement
Nous avons donné un pointage aux différents critères technique de souveraineté des données afin d’analyser le « niveau » de souveraineté de chaque organisation pour nous permettre de les classer. Le nombre de points va comme suit :
| Emplacement ou nationalité | |||
| Canada | Autre | ||
| Critère technique | Adresse IP du site Web | 1 | 0 |
| Nationalité du fournisseur Web/mandataire | 3 | 0 | |
| Adresse IP des serveurs courriel | 1 | 0 | |
| Nationalité du fournisseur courriel | 3 | 0 | |
| Pointage maximal par organisation | 8 | ||
La pondération attribuée à chaque critère reflète une réalité juridique fondamentale : l’emplacement physique d’un serveur n’offre aucune protection réelle si l’entreprise qui le gère est soumise à une juridiction étrangère. Une donnée hébergée physiquement à Montréal, mais chez Amazon ou Microsoft, reste accessible aux agences américaines en vertu du CLOUD Act, sans mandat canadien et sans préavis. C’est pourquoi la nationalité du fournisseur vaut trois fois plus que l’emplacement géographique dans notre évaluation. Cette pondération repose sur le jugement professionnel de l’auteur. D’autres priorités organisationnelles pourraient mener à des pondérations différentes.
L’emplacement de l’adresse IP a moins de valeur sur la juridiction sous laquelle se trouvent réellement les données. Autant dans le cas du site Web que dans le cas des courriels, l’emplacement déterminé des adresses IP peut n’être que le dernier système de transit avant l’utilisateur final, mais les données peuvent se situer réellement dans un autre pays. La valeur est donc minimale, bien qu’elle en ait une.
Notamment, un trafic qui ne transiterait que par le Canada sur des réseaux de fournisseurs Canadiens serait complètement à l’abri des juridictions étrangères pendant le transit.
Pour cette raison, l’auteur attribue à l’emplacement des adresses IP de service une valeur de 1/8 pour le site Web, et de 1/8 pour les courriels.
La nationalité du fournisseur a une bien plus grande valeur sur la souveraineté des données. Tout d’abord, lorsque le fournisseur est une entité sous contrôle Canadien, le bénéficiaire ultime des revenus générés demeure au Canada, ou à tout le moins, dans les poches des actionnaires de l’organisation située au Canada. Les revenus de taxes et impôts sont payés au Canada, ce qui nous aide à payer pour nos services et programmes sociaux.
Un autre point important: lorsque le fournisseur est Canadien et qu’il héberge dans un centre de données situé au Canada, l’empreinte carbone est généralement plus faible, compte tenu de la nordicité du climat et de la proportion d’énergies vertes au Canada (exception faite des prairies).
Dans le cas des fournisseurs américains, le CLOUD Act donne aux agences américaines tout le loisir d’obtenir les données de tout client d’une entreprise sous contrôle américain. Avec les mesures « baillon » contenues dans le CLOUD Act, le fournisseur n’a même pas le droit d’aviser son client que les données ont été requisitionnées par une agence américaine. Cela signifie que toute entreprise ou gouvernement qui possède des secrets d’état ou des secrets commerciaux met ceux-ci à risque de vol par le gouvernement américain.
Particulièrement en ces temps de tensions géopolitiques entre le Canada et les États-Unis, il est d’une importance capitale que nos gouvernements et entreprises sortent leurs données de chez les fournisseurs américains.
Pour toutes ces raisons, l’auteur attribue à la nationalité du fournisseur de service une valeur de 3/8 pour le site Web ou mandataire, et une valeur de 3/8 pour les courriels.
2.4 Outils et techniques utilisées
Site Web de 4DS Technologies inc. – Outil « Vérifier où est hébergé votre site Web »
Nous avons développé un outil qui automatise la recherche des informations colligées dans le cadre de cette étude. Cet outil connaît les 28 fournisseurs d’hébergement ou mandataires et les 18 fournisseurs de courriel les plus fréquemment rencontrés (nous continuons de le bonifier lorsque nous en rencontrons de nouveaux). Cet outil est situé au https://4ds.ca/testez-votre-souverainete-numerique/.
Notre outil effectue dans l’ordre les opérations suivantes :
- Résolution de l’adresse IP du domaine avec une requête DNS sur l’enregistrement de type « A »
- Appel API à freeipapi.com pour obtenir la localisation et le propriétaire du système autonome public d’où est desservi le site Web
- Reconnaissance du fournisseur en utilisant le propriétaire du système autonome public
- Résolution des enregistrements MX pour le domaine
- Pour chaque enregistrement MX :
- Résolution DNS sur l’adresse IP de l’enregistrement MX
- Appel API à freeipapi.com pour obtenir la localisation et le propriétaire du système autonome public où sont envoyés les courriels destinés à l’organisation
- Détection du fournisseur de courriel par l’identification du nom de domaine de l’enregistrement MX
L’auteur du rapport est président et fondateur de 4DS Technologie inc., l’entreprise qui a développé l’outil d’analyse utilisé dans ce rapport, et qui offre également des services d’hébergement Web mentionnés à la section 5.5. Cette double position constitue un conflit d’intérêts potentiel dont le lecteur doit être informé. L’auteur a cherché à en minimiser l’influence en s’appuyant exclusivement sur des données publiques et vérifiables, et en documentant sa méthodologie de façon transparente. Le lecteur est invité à consulter les données brutes disponibles en Annexe 2 et à former son propre jugement.
Site Web dnschecker.org
Le site Web dnschecker.org a été utilisé pour obtenir les enregistrements MX des organisations possédant plus d’un enregistrement MX. L’outil de 4DS Technologie ne fournit pas les priorités des entrées MX, alors que celui de dnschecker.org la fournit. Cela nous a aidé dans notre analyse à raffiner l’ordre d’utilisation des serveurs de courriel.
OpenAI – ChatGPT
L’outil ChatGPT a été utilisé dans certains cas précis pour obtenir des informations, dont les sources ont ensuite été analysées pour s’assurer de la véracité de celles-ci. Aucune rédaction de ce rapport n’a été faite à l’aide de ChatGPT.
LibreOffice Calc
Les données ont été colligées dans un fichier classeur en format ODS à l’aide du logiciel LibreOffice Calc, l’équivalent de Microsoft Excel en logiciel libre.
LibreOffice Writer
Le présent rapport est rédigé à l’aide de LibreOffice Writer en format ODT.
2.5 Limites et marges d’erreur de l’analyse
L’analyse présente est limitée à l’espace d’adressage IPv4 pour les domaines trouvés. Les adresses IPv6 de l’internet de nouvelle génération n’a pas été évalué.
Les domaines de premier niveau ont majoritairement été utilisés pour trouver l’emplacement d’où est desservi le site Web des organisations. Dans certains cas, l’emplacement du site Web www et du domaine sans le www était à deux endroits différents. Pour les cas où cela a été détecté, c’est indiqué dans une note rattachée à la case dans le fichier 2025.ods des données de l’étude. Il s’agit d’une mauvaise pratique, puisque le www devant le nom de domaine tend à disparaître pour desservir le site Web.
L’emplacement d’une adresse IP peut être sujet à changement, tout dépendant du fournisseur final, du fournisseur du centre de données, ou encore du fournisseur infonuagique desservant l’adresse IP.
L’emplacement d’une adresse IP n’est pas d’une précision absolue. Il est parfois possible de déterminer avec précision la ville dans laquelle se trouve une adresse IP, alors que parfois la marge d’erreur peut être de quelques centaines de kilomètres. Cependant, le pays est généralement bien défini et sans erreurs, compte tenu des enregistrements par pays des registres régionaux Internet.
Certaines adresses IP peuvent être desservies par BGP anycast. Dans ce cas, l’emplacement de l’adresse IP peut varier en fonction d’où origine la requête. Dans notre étude, les requêtes d’origine étaient faites depuis l’Ancienne-Lorette, dans la région de Québec, mais les API consultées étaient basées en Europe, ce qui peut biaiser certains résultats.
Les résultats d’emplacement d’adresses IP ont été contre-validés à l’aide du site https://ipinfo.io/, situé aux états-unis. Nous n’avons obtenu aucun écart d’emplacement entre ce service et celui utilisé par notre outil « Vérifier où est hébergé votre site Web ». Veuillez noter que ces informations peuvent bouger dans le temps, et que les informations indiquées dans nos fichiers étaient valides entre le 29 octobre et le 30 novembre 2025.
Les fournisseurs finaux, ainsi que leur nationalité, sont bien déterminés dans tous les cas, puisque nous avons fait les recherches approfondies nécessaires à les déterminer pour les besoins de l’étude.
3. Portrait global de l’hébergement Web et courriel
3.1 Analyse géographique de l’hébergement Web ou mandataire par catégorie d’organisation
3.1.1 Gouvernement du Québec
Les adresses IP qui desservent les sites Web des ministères et organismes du Gouvernement du Québec sont majoritairement situées au Canada, à près de 76%. Près de 18% de ces organisations ont une adresse IP située aux États-Unis, et 1.2% ailleurs dans le monde. Certaines ministères et organismes n’ont pas de site Web sur certains noms de domaines, ce qui apparaît ici comme « Aucune ».
Les ministères et organismes du gouvernement du Québec hébergent (ou présentent) leurs sites Web à plus de 55% depuis des services américains. Seulement un peu plus de 30% sont hébergés dans des entreprises Canadiennes. Un peu moins de 10% hébergent dans des entreprises basées ailleurs dans le monde, notamment en France. Certaines ministères et organismes n’ont pas de site Web sur certains noms de domaines, ce qui apparaît ici comme « Aucun ».
3.1.2 Top 40 des villes du Québec
Les adresses IP qui desservent les sites Web des 40 plus grandes villes du Québec sont majoritairement situées au Canada, à près de 79%. Plus de 19% de ces organisations ont une adresse IP située aux États-Unis, et 2.4% ailleurs dans le monde.
Les 40 plus grandes villesdu Québec hébergent (ou présentent) leurs sites Web à près de 43%depuis des services américains. Seulement un peu plus de 28% sont hébergés dans des entreprises Canadiennes, soit autant que ceux qui hébergent dans des entreprises basées ailleurs dans le monde, notamment en France.
3.1.3 Top 30 des grandes entreprises du Québec
Les adresses IP qui desservent les sites Web des 30 plus grandes entreprises du Québec sont situées à parts égales au Canada et aux États-Unis.
Une très forte proportion de 70% des 30 plus grandes entreprises du Québec utilisent un service américain pour héberger ou desservir leur site Web, en plus de près de 7% qui utilisent un service d’une autre nationalité. C’est donc seulement un peu plus de 23% des grandes entreprises qui hébergent ou présentent leur site Web depuis une entreprise Canadienne.
3.1.4 Top 40 des PME du Québec
La grande majorité des 40 plus grandes PME du Québec, soit 70% d’entre elles, ont leur site Web hébergé ou desservi depuis une adresse IP située au Canada.
Plus de 77% des 40 plus grandes PME du Québec utilisent un fournisseur étranger pour héberger ou présenter leur site Web, dont plus de 57% utilisent un fournisseur américain. Cela laisse une part de seulement 22.5% des sites Web qui sont hébergés ou présentés par des fournisseurs Canadiens.
3.2 Analyse géographique de l’hébergement courriel ou anti-pourriel par catégorie d’organisation
3.2.1 Gouvernement du Québec
La très grande majorité, soit plus de 85%, des ministères et organismes du Gouvernement du Québec utilisent un service de courriel situé en territoire Canadien, du point de vue des adresses IP des serveurs de courriel.
Plus de 90% des noms de domaine utilisés par le gouvernement du Québec utilisent un service de courriel étranger, avec plus de 83% qui utilisent un service américain. En très grande majorité, c’est Microsoft qui héberge les courriels. Seulement 1.23% utilisent un service de courriel Canadien.
3.2.2 Top 40 des villes du Québec
Plus de 83% des 40 plus grandes villes du Québec ont leurs services de courriel hébergés sur des adresses IP Canadiennes. Un peu plus de 11% ont un service situé à l’étranger, dont près de 10% aux États-Unis.
Plus de 71% des 40 plus grandes villes du Québec utilisent un fournisseur américain pour héberger et / ou filtrer leurs courriels. Encore une fois, c’est Microsoft qui héberge la très grande majorité d’entre elles. Seules 19% des villes hébergent leurs courriels chez un fournisseur Canadien.
3.2.3 Top 30 des grandes entreprises du Québec
60% des entreprises du top 30 des grandes entreprises ont des serveurs de courriel situés sur des adresses IP Canadiennes, contre un peu plus de 26% aux États-Unis et 13% ailleurs dans le monde.
90% des 30 plus grandes entreprises du Québec ont leurs courriels hébergés dans des entreprises étrangères, dont plus de 83% sont hébergées dans des entreprises américaines. Une fois de plus, c’est Microsoft qui reçoit la part du lion, avec 14 des 30 plus grandes entreprises hébergées chez eux. Les 3 seules entreprises qui hébergent au Canada hébergent directement dans leurs propres infrastructures de courriel.
3.2.4 Top 40 des PME du Québec
Les trois quarts des 40 plus grandes PME du Québec utilisent des serveurs de courriel ayant des adresses IP situées au Canada. Plus de 17% sont situées aux États-Unis alors que plus de 7% sont situées ailleurs dans le monde.
Plus de 92% des 40 plus grandes PME du Québec hébergent leurs courriels dans des entreprises étrangères, dont plus de 87% dans des entreprises américaines! Une fois de plus, la très grande majorité héberge chez Microsoft. Les 3 seules entreprises hébergeant leurs courriels dans des entreprises Canadiennes le font dans leurs propres infrastructures.
3.3 Analyse globale
3.3.1 Hébergement Web ou mandataires
Au final, plus de 72% des adresses IP desservant les sites Web des organisations analysées sont situées au Canada. Plus de 23% sont desservis depuis les États-Unis, alors que 1% est desservi depuis l’extérieur de l’Amérique du Nord.
Même si une majorité de sites Web sont desservis physiquement depuis le Canada, plus de 55% sont hébergés ou desservis par des entreprises de nationalité américaine, pour un total de plus de 68% par des entreprises non-Canadiennes.
3.3.2 Hébergement courriel ou antipourriel
Physiquement, plus de 81% des adresses IP des serveurs de courriel ou antipourriel desservant les organisations analysées sont situées au Canada, un peu plus de 8% aux États-Unis et près de 5% ailleurs dans le monde.
Le plus inquiétant, c’est surtout que plus de 82% des organisations analysées ont leurs courriels hébergés ou filtrés par des entreprises américaines. Seulement près de 6% des organisations ont leurs courriels hébergés ou filtrés par des entreprises Canadiennes.
4 Palmarès et choix éditoriaux
Le constat actuel de la souveraineté des données est sans équivoque :
Le Québec n’est pas maître de ses données.
Maintenant, certaines organisations se démarquent par une souveraineté apparente complète, alors que d’autres se démarquent par l’absence complète d’hébergement en territoire Canadien.
Les meilleurs
Les organisations suivantes ressortent du lot parce qu’elles hébergent l’ensemble de leurs données en territoire Canadien :
- Ville de Longueuil
- Bell Canada
- Ver-Mac
- Ventilation GR
Toutes ces organisations hébergent leurs sites Web et leurs courriels localement, dans des entreprises Québécoises, ou encore directement chez eux. Cela ne signifie pas qu’ils n’utilisent aucun service des géants du Web américains, mais que leur site Web et leurs courriels sont entièrement sous leur contrôle.
Les pires
Les organisations suivantes n’ont aucun service hébergé au Canada, même pas au niveau des adresses IP :
- Alimentation Couche-Tard*
- Automobile en Direct
- BMO Groupe Financier*
- Bombardier*
- BRP
- Dollarama
- Domtar (Produits Forestiers Résolu)
- IA Groupe financier
- Lareau Courtiers d’assurances
- Organisation universitaire interaméricaine
- Qualtech
- Signalisation de ville/Signalisation STP
- Société d’habitation et de développement de Montréal
- Voxdata Solutions
Tous leurs services sont hébergés physiquement à l’étranger (pour ce que nous avons pu évaluer), et dans des entreprises étrangères.
* Il convient de noter que certaines organisations de cette liste, notamment Bombardier, BMO Groupe Financier et Alimentation Couche-Tard, sont de grandes multinationales dont les opérations s’étendent bien au-delà du Québec et du Canada. Pour ces organisations, l’hébergement à l’étranger peut refléter une réalité opérationnelle internationale plutôt qu’un choix délibéré contre la souveraineté numérique canadienne. Cela ne les exempte pas pour autant des risques juridiques liés au CLOUD Act, ni de la responsabilité d’offrir à leurs clients et employés canadiens des données protégées par une juridiction canadienne. Le constat demeure : aucun de leurs services évalués n’est hébergé au Canada.
Choix éditoriaux et faits… particuliers!
Au cours de cette étude, nous avons été très étonnés de constater que plusieurs organisations, qui devraient donner l’exemple sur la souveraineté numérique et la souveraineté des données, utilisent en réalité des services étrangers pour héberger / présenter leur site Web, ou encore filtrer / héberger leurs courriels. En voici quelques uns :
Banque de Développement du Canada (BDC)
- Nom de domaine : bdc.ca
- Adresse IP du site Web : 217.114.94.2 (Suède)
- Fournisseur d’hébergement Web : EPiServer AB (Gestionnaire de contenus Suédois)
- Fournisseur courriel : Microsoft Outlook (américain)
Tiré du site Web de la BDC : « Nous contribuons à créer et à développer des entreprises canadiennes solides à l’aide de financement, de services-conseils et de capital, tout en accordant une attention particulière aux PME. »
Nous avons été très surpris de constater que la BDC héberge son site Web en Suède, dans une entreprise qui s’appelle Episerver. Episerver est un fournisseur de système de gestion de contenus (CMS – Content Management System).
Pourtant, le système de gestion de contenus le plus populaire, WordPress, est bien connu de la grande majorité des agences Web et développeurs. Le système WordPress est facile à héberger n’importe où dans le monde, est un logiciel libre en code ouvert (open source) et répond aux besoins de plus de 43% des sites Web dans le monde selon les plus récentes statistiques. Parmi les systèmes de gestion de contenus connus, WordPress est utilisé par plus de 60% des sites Web.24
Des hébergeurs WordPress, il y en a des plusieurs au Québec et au Canada, et il est très simple pour une organisation de l’auto-héberger. Les raisons pour lesquelles la BDC a décidé d’aller vers un CMS obscur et peu connu sont de son plus strict ressort, mais avouons que d’aller avec une entreprise Suédoise est un choix très surprenant.
Finalement, la BDC, comme plus de 90% des organisations, utilise Microsoft Outlook pour ses courriels. Encore une fois, le fournisseur américain est roi.
L’entreprise Micrologic – Fournisseur de Projet Cirrus, le « Cloud souverain »
Micrologic est une entreprise de Québec, qui développe depuis de nombreuses années un nuage « souverain » appelé « Projet Cirrus ». Micrologic fait partie des fournisseurs qualifiés au Courtier en Infonuagique au gouvernement du Québec25, et peut donc fournir de l’hébergement en nuage pour les ministères et organismes.
Le site Web de Micrologic parle de « Cloud souverain », d’une offre « Souveraine », « Locale ».26
Au fil de notre analyse, nous n’avons malheureusement trouvé aucune organisation qui utilisent leurs services pour présenter leur site Web, ni pour héberger ou filtrer leurs courriels. Cependant, nous savons que certains ministères et organismes utilisent leurs services pour héberger certaines données.
Cependant, nous avons analysé pour le domaine micrologic.ca les mêmes informations que pour les autres organisations, et ce que nous avons trouvé est plutôt étonnant : Micrologic n’utilise pas ses propres services pour présenter son propre site Web, et n’utilise pas non plus son propre service pour héberger ses courriels.
- Nom de domaine : micrologic.ca
- Adresse IP du site Web : 172.64.80.1 (Canada)
- Fournisseur de mandataire Web : Cloudflare (américain)
- Fournisseur d’hébergement courriel : Microsoft Outlook (américain)
Sachant que Micrologic est une entreprise locale de technologies de l’information, présente dans le marché de Québec depuis de nombreuses années, ne serait-il pas pertinent que leurs technologues développent une vraie solution souveraine que l’entreprise elle-même puisse utiliser?
L’objectif ici n’est pas de taper sur les doigts ou d’humilier l’entreprise. L’objectif est de pousser à « faire mieux », sortir de l’oligopole numérique américain et offrir réellement des alternatives viables avec des technologies de logiciel libre. Le Québec pourrait aider à développer ces logiciels, financer des initiatives de logiciel libre, ou encore se développer lui-même dans cet écosystème.
Micrologic n’est pas un cas isolé. De nombreuses entreprises technologiques québécoises utilisent elles-mêmes les services qu’elles cherchent à remplacer. C’est une illustration du cercle vicieux décrit à la section 5.4 : l’écosystème alternatif ne se développera pas sans que ses propres acteurs en soient les premiers utilisateurs.
Les partis politiques du Québec et du Canada
Très peu de partis politiques au Québec et au Canada utilisent des services Canadiens pour héberger leur site Web ou leurs courriels. Même les plus ardents défenseurs de la souveraineté et de l’achat local (le Parti Québécois et Québec Solidaire) utilisent des services étrangers pour s’héberger.
Le tableau suivant en dresse le portrait :
| Parti politique | Hébergeur Web / mandataire | Hébergeur courriel / antispam |
| Coalition Avenir Québec coalitionavenirquebec.org | Cloudflare – USA (172.64.80.1 – Canada) | Google – USA |
| Parti Libéral du Québec plq.org | Cloudflare – USA (104.26.14.106 – Canada) | Microsoft Outlook – USA |
| Parti Québécois pq.org | OVH – France (46.105.204.51 – France) | Google – USA |
| Québec Solidaire quebecsolidaire.net | Digital Ocean – USA (159.203.15.46 – Canada) | Google – USA |
| Parti Conservateur du Québec conservateur.quebec | Aptum Technologies – Canada (209.15.37.6 – Canadienne) | Google – USA |
| Parti Libéral du Canada liberal.ca | Amazon – USA (99.79.139.23 – Canada) | Microsoft Outlook – USA |
| Parti Conservateur du Canada conservateur.ca | Cloudflare – USA (104.20.43.108 – Canada) | ProofPoint – USA |
| Nouveau Parti Démocratique ndp.ca | Google – USA (34.74.8.42 – USA) | Microsoft Outlook – USA Google – USA |
De tous les partis politiques majeurs du Québec ou du Canada, le seul parti politique qui fait affaire avec une entreprise Canadienne pour son hébergement Web est le Parti Conservateur du Québec.
Aucun d’entre eux ne fait affaire avec une entreprise Canadienne pour l’hébergement de ses courriels. Ce n’est donc pas étonnant que ceux-ci, une fois au pouvoir, ne poussent pas eux-mêmes pour une souveraineté numérique ou une souveraineté des données.
5. Tendances et constats
5.1 Domination des fournisseurs étrangers
L’analyse démontre une tendance lourde et constante: les organisations Québécoises dépendent massivement de fournisseurs étrangers, en particulier américains.
Dans presque toutes les catégories étudiées – ministères, villes, grandes entreprises et PME – la majorité des sites Web et services de courriel sont desservis par des organisations sous contrôle étranger.
Microsoft et Amazon, via leurs plateformes infonuagiques et leurs services gérés, occupent une place prédominante. Dans plusieurs sous-secteurs, Microsoft représente à elle seule plus de 80% de part de marché pour les services de courriel. Cette concentration crée de facto une situation d’oligopole numérique, où les décisions technologiques locales se retrouvent alignées sur les impératifs commerciaux, juridiques et géopolitiques de groupes étrangers.
Cette domination n’est pas uniquement économique: elle impose une dépendance à des technologies dont les modes d’intégration, les politiques de confidentialité et les mécanismes contractuels échappent à tout contrôle Québécois ou Canadien.
Le plus grand risque de cette domination demeure le CLOUD Act: Toute entreprise qui possède des secrets commerciaux, tout gouvernement qui possède des secrets d’état, toute personnalité à valeur politique ou économique élevée, devrait éviter à tout prix l’hébergement chez des services sous contrôle américains.
5.2 Déclin de l’hébergement local
On observe un recul marqué de l’industrie d’hébergement locale, particulièrement depuis 10 ans. Alors qu’avant 2015, la majorité des organisations, publiques comme privées, hébergeaient elles-mêmes leurs données ou utilisaient des centres de données Canadiens, la tendance s’est renversée avec l’arrivée massive des géants du Web.
Le déclin se manifeste de trois façons:
- Perte de parts de marché au profit des services américains « clé en main », notamment Microsoft 365 et Google Workspace;
- Disparition ou consolidation de petits hébergeurs Québécois et Canadiens, incapables de concurrencer les prix agressifs des géants, eux-mêmes financés par des économies d’échelle au niveau mondial;
- Érosion des compétences internes, puisque les équipes TI des organisations migrent vers des rôles de gestion contractuelle plutôt que de gestion opérationnelle.
Il en résulte un affaiblissement de la capacité Canadienne à opérer ses actifs informationnels, et une réduction du bassin de main-d’œuvre spécialisée dans les infrastructures critiques, pourtant essentielles à la résilience numérique Canadienne.
5.3 Influence des politiques et réglementations
Les choix technologiques des organisations Québécoises ne sont pas uniquement motivés par la facilité ou les coûts: ils sont également fortement influencés par les politiques publiques et les cadres réglementaires.
Le Programme de Consolidation des Centres de Traitement Informatique (PCCTI), lancé en 2019, a été un point tournant, orientant systématiquement les ministères et organismes du gouvernement du Québec vers le nuage public des géants du Web américains.
Cette orientation a eu des effets d’entraînement majeurs auprès des villes, hôpitaux, institutions scolaires et entreprises para-publiques, qui ont suivi l’exemple gouvernemental et utilisé les contrats conjoints d’acquisition négociés, autrefois par le CSPQ, maintenant par le Centre d’Acquisitions Gouvernementales (CAG).
En parallèle, la Loi 25, bien qu’exigeante sur les pratiques de protection des renseignements personnels, n’interdit pas l’hébergement à l’étranger. Elle exige une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec, mais cette évaluation peut conclure que la protection est adéquate, même chez un fournisseur américain. Elle n’impose donc aucune obligation de souveraineté juridique sur les données, laissant ainsi la porte ouverte à une conformité formelle qui ne protège pas contre le CLOUD Act.
Enfin, le CLOUD Act américain – ignoré ou mal compris par la majorité des organisations – introduit une vulnérabilité systémique: toute donnée hébergée chez un fournisseur sous juridiction américaine peut être obtenue par les agences fédérales sans que le client en soit informé.
Les politiques actuelles, qu’elles soient provinciales ou fédérales, ont donc contribué, volontairement ou non, à renforcer la dépendance aux fournisseurs étrangers plutôt qu’à stimuler un écosystème indépendant, la création d’entreprises Canadiennes fortes et le développement de main d’œuvre spécialisée apte à opérer ces infrastructures.
5.4 Causes et corrélations
Plusieurs facteurs, combinés, expliquent les résultats observés dans cette étude:
1. Le confort technologique
Les outils des géants américains (Microsoft 365 avec Teams, Google Workspace) sont populaires, bien intégrés et perçus comme des standards incontournables. Ce confort crée un effet de verrouillage (« lock-in »), qui rend chaque organisation moins susceptible d’explorer des alternatives.
2. Le manque de visibilité des offres locales
Les entreprises et organismes méconnaissent souvent l’existence d’hébergeurs locaux, ou sous-estiment leurs capacités. En l’absence d’un registre, d’accréditations ou d’une promotion gouvernementale, les solutions locales restent dans l’ombre.
3. Les économies d’échelle asymétriques
Les géants du Web profitent de modèles économiques mondiaux impossibles à égaler pour un acteur local, notamment grâce à:
- l’achat de masse de toutes les composantes requises aux centres de données directement auprès des manufacturiers, faisant augmenter substantiellement les coûts d’acquisition pour les plus petits joueurs27;
- l’automatisation extrême;
- les infrastructures amorties sur des dizaines de régions;
- des mécanismes d’optimisation fiscale hors de portée des entreprises Québécoises ou Canadiennes.
4. La rareté de l’expertise interne
Avec la migration massive vers les nuages publics, de moins en moins d’employés gouvernementaux ou corporatifs possèdent les compétences nécessaires pour opérer des infrastructures locales.
Le cercle devient vicieux : moins d’hébergement local -> moins de compétences locales -> encore moins d’hébergement local…
5. L’absence d’un projet numérique national
Contrairement à plusieurs pays européens, le Québec et le Canada ne possèdent pas:
- de politique claire sur la souveraineté numérique ou souveraineté des données;
- de stratégie d’hébergement national;
- d’obligation de localisation des données sensibles ou stratégiques;
- ni de plan d’investissement structurant pour soutenir des infrastructures souveraines.
Cette absence de vision commune explique pourquoi les organisations québécoises se retrouvent, presque mécaniquement, à externaliser leurs actifs numériques vers les géants du Web américains.
5.5 Solutions alternatives aux plateformes des géants américains
Même si Microsoft et Google dominent le marché, il existe des solutions crédibles et éprouvées permettant d’héberger l’ensemble des services numériques essentiels sans dépendre des géants américains. Ces alternatives sont utilisées par plusieurs gouvernements et organisations en Europe, et peuvent être opérées par des entreprises Québécoises ou Canadiennes.
5.5.1 Hébergement Web, mandataire, livraison de contenu et sécurité frontale
L’hébergement de sites Web et d’applications Web est généralement très simple à mettre en œuvre à l’aide de produits et logiciels libres, ou en code ouvert. Plusieurs hébergeurs Québécois, qu’on pense à Likuid, Oricom, ou 4DS Technologie*, utilisent des technologies de logiciel libre pour l’hébergement Web.
Ces technologies, dont le code source est révisé par la communauté mondiale de développement, et souvent sponsorisé par de grandes entreprises crédibles, permettent d’offrir de l’hébergement de niveau grande entreprise par de plus petits joueurs locaux.
On parle ici de Apache et Nginx comme serveurs Web et mandataire, qui composent tout de même plus de la moitié des serveurs Web sur Internet.
Pour la sécurité frontale et la livraison de contenus, l’équivalent du service américain Cloudflare, c’est plus compliqué. Il faudrait développer une réelle expertise locale dans les services de protection frontale et de distribution de contenus, ce qui n’est pas le cas actuellement. Bien que nous y travaillions activement, il y a encore beaucoup de recherche et développement à effectuer de ce côté.
* Note : 4DS Technologie est également l’entreprise de l’auteur de ce rapport.
5.5.2 Hébergement courriel et sécurité antivirus / antipourriel
L’hébergement de courriel est aujourd’hui synonyme d’intégration avec les produits bureautiques, et pour cause: Avec sa suite Office 365, Microsoft offre une plateforme où les rencontres vidéo, les produits bureautiques Word, Excel, Powerpoint, et les courriels avec Outlook, sont intégrés dans un seul produit. Demandez à une seule entreprise quelles sont les alternatives, et un petit nombre vous répondra probablement « Google Workspace », un autre géant américain. Ce n’est pas la solution à l’hégémonie.
Pourtant, il est très possible pour un hébergeur Québécois ou Canadien de développer sa solution pour remplacer tous ces produits, à moindre coût, avec une souveraineté complète. Il est possible pour toutes les entreprises d’auto-héberger ces solutions, ou encore de se faire héberger chez des entreprises spécialisées situées au Québec et au Canada.
La suite Nextcloud, un produit logiciel libre qui est une déclinaison de OwnCloud, un autre logiciel libre ayant certaines composantes commerciales, offre une alternative complète équivalente à Google Workspace et Microsoft Office. En l’intégrant à quelques autres produits de logiciel libre, il est possible d’offrir pratiquement tous les mêmes services que ces deux géants américains.
Cela demande un certain effort, et une sortie de la zone de confort, mais au bénéfice de sortir les données de chez ces géants américains.
Les logiciels serveurs de courriel les plus utilisés sur la planète, Dovecot, Exim et Postfix, vous n’en avez jamais entendu parler. SpamAssassin et rSpamd, les produits antipourriel en code ouvert aussi très utilisés, vous n’en avez pas entendu parler non plus. Ce sont pourtant des produits qui ont une part de marché enviable, mais sur lesquels il y a bien peu d’expertise ici, au Canada.
5.5.3 Exemples d’organisations libérées des produits américains
Il existe plusieurs exemples d’organisations qui ont éliminé en tout ou en partie les produits et solutions des géants américains.
Province de Schleswig-Holstein en Allemagne
En décidant d’éliminer à 80% l’utilisation des produits de la suite Microsoft 365, cette province Allemande va économiser annuellement 15 millions d’euros en coûts de licence28. Certains départements continueront d’utiliser les produits Office de façon limitée pour continuer d’opérer pour le moment, mais la conversion de ces applications est dans les objectifs des prochaines années.
Le produit utilisé pour remplacer la suite Office est la suite LibreOffice, tandis que pour remplacer les fonctions courriel, ce sont les produits OpenXChange du côté serveur, et Mozilla Thunderbird du côté client, qui sont utilisés29. Pour remplacer les fonctionnalités cloud comme Teams ou le stockage de fichiers, c’est la suite Nextcloud qui a été utilisée.
Tous ces produits en logiciel libre ne requièrent aucune licence coûteuse comme les produits propriétaires de Microsoft, et peuvent être hébergés dans les infrastructures de serveurs de l’état.
Forces Armées Autrichiennes
Dans le même mouvement que plusieurs autres gouvernements Européens, l’Armée Autrichienne a conclu qu’elle ne pouvait faire confiance à Microsoft pour ses suites logicielles et services infonuagiques, ce qu’ils ont formellement identifié comme un risque dès 202030.
Encore ici, c’est la suite LibreOffice qui a été choisie pour remplacer les produits Microsoft. LibreOffice est un produit mature, et un remplacement viable, de la grande majorité des produits Microsoft.
Autres exemples
Il y a encore beaucoup d’autres exemples de gouvernements et entités qui remplacent peu à peu les produits Microsoft dans leur organisation, que ce soit pour des raisons d’économies de coûts, mais encore plus important, pour la question de la souveraineté des données et de la souveraineté numérique. Certains vont même plus loin, allant jusqu’à remplacer le système d’exploitation Windows 10 par différentes versions de Linux, particulièrement parce que plusieurs ordinateurs encore parfaitement fonctionnels ne sont pas compatibles avec Windows 11.
Pour rappel, Microsoft a mis fin aux mises à jour de Windows 10 à l’automne 2025, laissant dans le néant plusieurs centaines de millions d’ordinateurs encore parfaitement fonctionnels, mais incompatibles avec Windows 1131. Microsoft tente d’expliquer sa décision de ne pas supporter le matériel plus « ancien » par le fait que ces ordinateurs ne supportent pas les caractéristiques de sécurité les plus récentes, et que ce serait donc « dangereux » de laisser ces ordinateurs tourner sous Windows 1132.
Voici donc quelques exemples de gouvernements et organisations qui laissent tomber graduellement les produits Microsoft au profit de logiciels libres :
- Why Denmark is dumping Microsoft Office and Windows for LibreOffice and Linux
- Two city governments in Denmark are moving away from Microsoft amid Trump and US Big Tech concerns
- Lyon abandonne Microsoft office pour renforcer sa « souveraineté numérique »
Ces exemples démontrent que la migration vers des solutions souveraines n’est pas une utopie : elle se fait, concrètement, dans des organisations publiques comparables aux nôtres. Le Québec et le Canada ont tout ce qu’il faut pour suivre ce mouvement. Il ne manque que la volonté politique et organisationnelle de le faire.
5.6 Limites de l’analyse et positionnement de l’auteur
Ce rapport est un document de plaidoyer autant qu’un document d’analyse. L’auteur croit fermement que la souveraineté numérique et la souveraineté des données sont un enjeu stratégique majeur pour le Québec et le Canada. Cette conviction teinte inévitablement le cadrage des données et les conclusions qui en sont tirées. Il est donc honnête d’en aviser le lecteur, et de présenter les contre-arguments que d’autres pourraient opposer aux constats de ce rapport.
Les coûts de migration sont réels et significatifs
Rapatrier les données et services numériques des organisations québécoises vers des fournisseurs canadiens représente un chantier considérable. Les coûts de transition, comme la formation des équipes, la migration des données et l’adaptation des processus sont souvent sous-estimés. Les exemples européens cités dans ce rapport, comme la province de Schleswig-Holstein, sont des succès, mais ils s’échelonnent sur plusieurs années et impliquent des investissements initiaux importants. Toute organisation qui envisage une telle migration doit le faire avec un plan réaliste, et non sous l’effet d’une pression politique ponctuelle.
Les géants américains offrent des services matures et largement adoptés
Il serait malhonnête de nier que Microsoft 365, Google Workspace et Amazon Web Services sont des plateformes techniquement sophistiquées, largement éprouvées et bénéficiant d’investissements en sécurité qu’aucun fournisseur canadien ne peut égaler à court terme. Pour de nombreuses organisations, le choix de ces plateformes n’est pas un manque de « patriotisme économique », c’est une décision rationnelle fondée sur la disponibilité des outils, leur intégration et la familiarité des équipes avec ceux-ci.
L’écosystème canadien doit encore se développer
Les alternatives canadiennes et québécoises existent, mais l’écosystème local n’est pas encore en mesure de répondre à l’ensemble des besoins des grandes organisations à l’échelle et au niveau de maturité des géants américains. Encourager cet écosystème est précisément l’un des objectifs implicites de ce rapport, mais il serait prématuré de prétendre que la transition est sans friction et qu’elle pourrait se faire rapidement. Il s’agit plutôt d’une opportunité à saisir.
Ce que ce rapport ne mesure pas
Tel qu’indiqué à la section 1.4, cette analyse se limite aux signaux publics que sont l’hébergement Web et le courriel. Elle ne mesure pas l’ensemble des systèmes informatiques internes des organisations, ni la qualité des ententes contractuelles de protection des données, ni les certifications de conformité obtenues par les fournisseurs étrangers. Une organisation dont le site Web est protégé par Cloudflare et est hébergé chez AWS peut très bien avoir des pratiques exemplaires de souveraineté des données pour ses systèmes internes critiques, et inversement.
Malgré ces nuances, le constat demeure
Ces contre-arguments sont réels et méritent d’être pris en compte dans toute décision organisationnelle. Ils n’invalident cependant pas le constat central de ce rapport : la dépendance massive et souvent non réfléchie des organisations québécoises envers des fournisseurs soumis à des juridictions étrangères représente un risque stratégique, économique et juridique qui mérite d’être nommé, mesuré et adressé. C’est l’objectif de ce rapport.
6. Recommandations
Les constats de ce rapport appellent des actions concrètes. Les recommandations suivantes s’adressent à l’ensemble des organisations analysées, autant les gouvernements, municipalités, entreprises et PME, ainsi qu’aux citoyens qui les élisent ou les financent.
6.1. Exiger la souveraineté numérique et la souveraineté des données dans tous les appels d’offres publics
Le gouvernement du Québec, le gouvernement du Canada, les municipalités et les organismes publics doivent intégrer des critères explicites de souveraineté numérique et de souveraineté des données dans leurs processus d’appels d’offres. Tout contrat d’hébergement Web, de courriel ou de services infonuagiques devrait exiger que le fournisseur soit sous juridiction canadienne et que les données soient hébergées sur le territoire canadien. Ce n’est pas une contrainte déraisonnable, c’est une exigence de base que plusieurs pays européens imposent déjà depuis des années.
6.2. Sortir les courriels gouvernementaux de chez Microsoft, maintenant
Plus de 90% des organisations gouvernementales analysées hébergent leurs courriels chez Microsoft. C’est le risque le plus immédiat et le plus concentré identifié dans ce rapport. Le gouvernement du Québec doit établir un plan de migration concret, avec des échéances réelles, vers des solutions souveraines, que ce soit vers ses propres infrastructures ou vers des fournisseurs canadiens utilisant des logiciels libres comme Nextcloud ou des serveurs Postfix/Dovecot. L’annonce du ministre Bélanger de février 2026 est un premier pas, mais il faut maintenant des gestes.
6.3. Créer un registre public des hébergeurs canadiens certifiés souverains
Il n’existe actuellement aucun registre officiel permettant aux organisations québécoises d’identifier facilement les hébergeurs canadiens qualifiés. Le gouvernement Canadien ou Québécois devrait mandater un organisme existant, que ce soit le Ministère de la Cybersécurité et du Numérique ou un autre, pour créer et maintenir un tel registre, avec des critères clairs de certification : juridiction canadienne, données hébergées au Canada, absence de contrôle étranger. Cela donnerait aux municipalités et aux entreprises un outil concret pour faire des choix éclairés.
6.4. Entreprises et PME : commencer par le plus simple
Pour les entreprises qui ne savent pas par où commencer, la réponse est simple : commencez par votre site Web et vos courriels. Ce sont les deux indicateurs mesurés dans ce rapport, et ce sont aussi les deux changements les plus accessibles. Migrer un site Web informatif vers un hébergeur canadien se fait en quelques jours. Migrer les courriels demande davantage de planification, mais des fournisseurs canadiens compétents existent. Ce ne sont pas des chantiers de plusieurs années, ce sont des décisions qui peuvent être prises dès aujourd’hui.
6.5. Citoyens et entrepreneurs : posez la question
La souveraineté numérique et la souveraineté des données ne se feront pas sans pression citoyenne. Posez des questions à vos élus municipaux, à vos députés, aux dirigeants des entreprises dont vous êtes clients et à vos propres fournisseurs :
- Où sont hébergées vos données?
- Chez quel fournisseur?
- Sous quelle juridiction?
Ces questions sont légitimes, compréhensibles, et les organisations qui n’ont pas de réponse claire devraient en avoir une. L’outil développé par 4DS Technologie, ou tout autre outil disponible facilement sur Internet, permet à quiconque de vérifier en quelques secondes où sont hébergés le site Web et les courriels de n’importe quelle organisation.
Notes de bas de page et références
Ici se retrouvent les notes de bas de page de notre rapport. Ce sont des références à des sources d’information qui nous ont servi à appuyer notre rapport, ou encore des informations complémentaires au texte.
Au moment de la publication, nous nous sommes efforcés que ces références soient fonctionnelles. Cependant, la nature changeante d’Internet peut faire en sorte que les hyperliens soient modifiés par les différents sites référencés, ce qui peut occasionner des liens mort.
1 Phrase popularisée par Jeff Atwood dans un billet de blog du 30 mars 2019
4 Québec confiera le stockage des données publiques au privé
5 Quelle souveraineté sur les données numériques?
6 Souveraineté numérique : Un cadre pour améliorer la préparation numérique du gouvernement du Canada
7 Digital Sovereignty versus Data Sovereignty
8 Où vont vos impôts: 4,1M$ par semaine pour la multinationale Microsoft
9 Dulles Technology Corridor (Wikipedia)
10 Clean Energy Without the Cost (eStruxture)
11 AWS Regions (Voir région « ca-central-1, situé à Montréal)
12 Amazon AWS YUL – 1790 Lionel-Boulet A
13 Internet Infrastructure Map 2025
14 Climate goals go up in smoke as US datacenters turn to coal
15 Qu’arrive-t-il lorsque la consommation d’électricité dépasse la capacité du réseau ?
16 1,4 milliard de dollars pour des projets numériques développés au Québec
17 Lorsqu’un service mandataire est utilisé, seul celui-ci peut être évalué, puisqu’il cache l’emplacement réel du site Web.
18 Lorsqu’un service Antipourriel est utilisé, seul l’emplacement et le fournisseur de celui-ci ont pu être évalués, et non pas le fournisseur réel des boîtes de courriel de l’entreprise.
19 Cloudflare outage on November 18, 2025
20 Panne majeure de Cloudflare : de nombreux sites perturbés, dont X et ChatGPT
21 Cloudflare resolves outage that impacted thousands, ChatGPT, X and more
22 API de géolocalisation d’adresses IP
23 Base de données de localisation d’adresses IP
24 Usage Statistics and Market Share of WordPress, December 2025
25 Stockage des données gouvernementales – Une entreprise sur trois est québécoise
26 Solutions infonuagiques souveraines au Canada | Micrologic
27 Surging memory chip prices dim outlook for consumer electronics makers
28 Hurray! This German State Decides to Save €15 Million Each Year By Kicking Out Microsoft for Open Source
29 German state replaces Microsoft Exchange and Outlook with open-source email
30 This European military just ditched Microsoft for open-source LibreOffice – here’s why
31 Can you upgrade to Windows 11? Millions can’t and it could cause an environmental disaster
32 Windows 11 will leave millions of PCs behind, and Microsoft is struggling to explain why
Annexe 1 – Classement des plus grandes entreprises du Québec
Journal Les Affaires
Annexe 2 – Données brutes
Les données brutes sont disponibles en format LibreOffice Calc:
Rapport original en format PDF
Le rapport original en format PDF est disponible ici. Des ajustements cosmétiques ont été faits sur la présente page afin de l’adapter en version Web.
2026-03-19-Rapport-sur-la-souverainete-des-donnees-au-Quebec-en-2025.pdf
4DS Technologie est un leader dans les services hébergés en centres de données situés au Québec. Nous offrons des services d’hébergement Web et WordPress d’hébergement courriel, d’hébergement infonuagique, de téléphonie IP et de serveurs virtuels et physiques.