Que signifie la souveraineté des données pour un déploiement IoT et pourquoi est-ce important ?
La souveraineté des données signifie que la télémétrie des appareils, les registres d'identité, l'historique des commandes et les pistes d'audit résident dans une juridiction légale précise et sont assujettis à ses lois — et non aux lois de la juridiction où se trouvent par hasard les serveurs de votre fournisseur infonuagique. Cela compte parce que le droit canadien de la vie privée (la Loi 25 au Québec, la LPRPDE au fédéral), les politiques d'approvisionnement gouvernemental et les exigences des industries réglementées imposent de plus en plus que les données ne quittent pas le pays. Pour ses clients canadiens, Fundamentum se déploie par défaut sur une infrastructure de cloud souverain canadienne, répondant à ces exigences sans architecture sur mesure.
Qu'est-ce que la Loi 25 du Québec et qu'exige-t-elle d'une plateforme IoT ?
La Loi 25 (anciennement projet de loi 64) est la législation québécoise sur la protection de la vie privée, largement harmonisée avec le RGPD. Elle exige que les renseignements personnels — y compris la télémétrie des appareils pouvant être reliée à une personne — soient stockés et traités au Québec ou dans une juridiction offrant une protection équivalente, avec un consentement explicite et une gouvernance des données documentée. Pour une plateforme IoT, cela signifie : la résidence des données au Québec ou au Canada, des contrôles d'accès documentés, une piste d'audit indiquant qui a accédé à quelles données et quand, et la capacité de répondre aux demandes d'accès des personnes concernées. Le déploiement souverain canadien de Fundamentum, sa piste d'audit RBAC et ses registres d'actions immuables satisfont opérationnellement à ces quatre exigences.
Que signifie concrètement la résidence des données au Canada pour une plateforme IoT ?
Cela signifie que la télémétrie des appareils, les registres d'identité, les données de configuration, les artefacts de microprogramme et les journaux d'audit sont stockés sur des serveurs physiquement situés au Canada, exploités par des entités assujetties au droit canadien, et inaccessibles aux gouvernements étrangers par l'entremise d'instruments comme le CLOUD Act américain. Le déploiement souverain de Fundamentum repose sur une infrastructure infonuagique canadienne. Les données ne franchissent pas la frontière dans le cadre de l'exploitation normale de la plateforme. Pour les clients d'entreprise et gouvernementaux ayant des exigences explicites de résidence des données, cela est confirmé par écrit dans l'entente de mandat.
Pouvons-nous utiliser AWS ou Azure tout en respectant les exigences canadiennes de souveraineté des données ?
En partie. AWS et Azure offrent tous deux des régions canadiennes (ca-central-1, Canada Central) où les données sont stockées en sol canadien. Toutefois, ces deux entreprises ont leur siège social aux États-Unis, ce qui signifie que la loi américaine — y compris le CLOUD Act — peut s'appliquer aux données détenues par leurs filiales canadiennes. Pour certains clients, un déploiement chez un hyperscaler en région canadienne suffit. Pour l'approvisionnement gouvernemental et de défense, ou pour les clients ayant des exigences explicites de souveraineté, un opérateur dont le siège social est au Canada est requis. Fundamentum est exploité par Amotus, une entreprise canadienne du Groupe Vectanor, offrant une garantie de souveraineté que les régions canadiennes des hyperscalers ne peuvent procurer.
Quelle est la différence entre la résidence des données et la souveraineté des données ?
La résidence des données signifie que les données sont physiquement stockées à un endroit précis. La souveraineté des données signifie que les données sont assujetties aux lois d'une juridiction donnée — et, point crucial, qu'elles sont protégées contre les instruments juridiques étrangers. Un compartiment AWS en région canadienne satisfait à la résidence des données. Il ne satisfait pas pleinement à la souveraineté des données, car l'opérateur (AWS) est assujetti à la loi américaine. Fundamentum satisfait aux deux : les données résident au Canada et sont exploitées par une entité canadienne non assujettie à la juridiction américaine à l'égard de ces données.
Qu'exige la LPRPDE d'une plateforme IoT qui gère des appareils connectés au Canada ?
La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) exige que les renseignements personnels recueillis par les appareils IoT soient collectés avec la connaissance et le consentement des personnes, utilisés uniquement aux fins pour lesquelles ils ont été recueillis, protégés par des mesures de sécurité appropriées et assujettis aux droits d'accès et de rectification des individus. Pour Fundamentum, cela signifie : le modèle RBAC garantit que l'accès aux données est limité aux rôles autorisés, la piste d'audit consigne chaque événement d'accès, la résidence des données au Canada empêche tout transfert transfrontalier sans consentement, et la gestion du cycle de vie de l'identité du registre des appareils garantit que les appareils mis hors service cessent de transmettre. Ce sont des propriétés opérationnelles de la plateforme, et non des modules de conformité ajoutés.
Que signifie la souveraineté IoT pour l'approvisionnement gouvernemental et de défense au Canada ?
L'approvisionnement gouvernemental et de défense canadien (les programmes alignés sur le MDN (ministère de la Défense nationale), SPAC (Services publics et Approvisionnement Canada) et le CSE) exige que les données sensibles soient traitées en sol canadien par des entités canadiennes, que les gouvernements étrangers ne puissent en contraindre la divulgation, et que la chaîne d'approvisionnement soit auditable. Le déploiement souverain de Fundamentum répond aux exigences de résidence des données et de nationalité de l'opérateur. Le consortium Stratys, dont Amotus est membre, est spécifiquement positionné pour les déploiements IoT canadiens en matière de défense et de sécurité publique, fournissant la chaîne d'approvisionnement et le contexte opérationnel qu'exigent les approvisionnements du MDN et de SPAC.
Fundamentum peut-il être déployé en cloud privé ou sur site pour une souveraineté maximale ?
L'architecture de Fundamentum — bâtie sur Kubernetes avec des microservices conteneurisés standards — est conçue pour offrir une flexibilité de déploiement souverain. La plateforme peut être déployée sur une infrastructure de cloud souverain canadienne, dans l'environnement de cloud privé d'un client, ou selon un modèle hybride où certaines catégories de données demeurent sur site tandis que les opérations de gouvernance s'exécutent dans le cloud souverain. Le modèle de déploiement est défini lors de la revue d'architecture de la Phase Zéro et confirmé dans l'entente de mandat. Amotus a réalisé des déploiements en cloud souverain pour des clients ayant des exigences précises de résidence des données hors du modèle infonuagique standard.
Qu'advient-il de nos données d'appareils si le fournisseur de notre plateforme IoT est acquis par une entreprise étrangère ?
Il s'agit d'un risque important que la plupart des équipes n'évaluent pas au moment de la signature du contrat. Si une entreprise dont le siège social est à l'étranger acquiert le fournisseur de votre plateforme IoT, vos données d'appareils — y compris la télémétrie, les registres d'identité et les pistes d'audit — pourraient devenir assujetties à une loi étrangère. Fundamentum est exploité par Amotus, une division du Groupe Vectanor, une organisation dont le siège social est au Canada. L'entente de mandat d'entreprise comprend des clauses de portabilité des données qui garantissent que vos données demeurent accessibles, peu importe les événements corporatifs. L'évaluation explicite de ce risque — et l'exigence de protections contractuelles — fait partie intégrante de la diligence raisonnable de la Phase Zéro d'Amotus.
Comment démontrer la conformité en matière de souveraineté des données à nos propres clients d'entreprise et aux régulateurs ?
Fundamentum fournit les artefacts opérationnels qui rendent la souveraineté auditable : la piste d'audit immuable consigne chaque événement d'accès avec horodatage, identité de l'acteur et action posée ; le modèle RBAC documente qui est autorisé à accéder à quelles données ; la documentation de l'architecture de déploiement confirme la résidence des données au Canada ; et le rapport SOC 2 Type II confirme que ces contrôles ont fonctionné correctement durant la période d'audit. Pour les industries réglementées — santé, énergie, gouvernement — ces artefacts suffisent généralement à satisfaire l'examen de la gouvernance des données d'un régulateur ou d'un client d'entreprise.
Qu'est-ce que le CLOUD Act et pourquoi est-il important pour les déploiements IoT canadiens ?
Le Clarifying Lawful Overseas Use of Data Act permet aux forces de l'ordre américaines de contraindre les entreprises dont le siège social est aux États-Unis à produire des données stockées sur leurs serveurs, peu importe où ces données sont physiquement situées. Cela signifie qu'un déploiement AWS ou Azure en région canadienne peut tout de même être assujetti aux demandes de données du gouvernement américain. Pour les clients gouvernementaux, du secteur de la santé et d'entreprise canadiens ayant des exigences de souveraineté, il s'agit d'un risque important. Fundamentum est exploité par Amotus, une entreprise canadienne non assujettie au CLOUD Act, offrant une garantie juridique de souveraineté que les déploiements chez des hyperscalers dont le siège social est aux États-Unis ne peuvent procurer.
Fundamentum peut-il prendre en charge un déploiement multijuridiction où les données de différents pays demeurent dans ces pays ?
L'architecture multirégion de Fundamentum prend en charge une résidence des données propre à chaque juridiction : les appareils au Canada acheminent leur télémétrie vers le déploiement canadien, les appareils en Europe vers un déploiement européen, et les deux ensembles de données ne se mélangent pas. Le modèle RBAC et le registre des appareils sont cohérents entre les régions — le modèle de gouvernance est unifié — mais le plan de données est propre à chaque juridiction. Cette architecture est pertinente pour les organisations qui exploitent simultanément des parcs IoT dans plusieurs environnements réglementaires, et elle est offerte aux clients d'entreprise dans le cadre de l'option de déploiement multirégion.
Quelle est la différence entre une plateforme IoT souveraine et une plateforme conforme au RGPD ?
La conformité au RGPD signifie répondre aux exigences de protection des données de l'Union européenne : base légale du traitement, minimisation des données, droits d'accès des personnes concernées, notification des atteintes. La souveraineté signifie que les données relèvent de la compétence légale exclusive d'un État-nation donné, protégées contre les instruments juridiques étrangers. Une plateforme peut être conforme au RGPD sans être souveraine (le déploiement en région européenne d'une entreprise américaine) et souveraine sans être pleinement conforme au RGPD (un système gouvernemental national sans droits pour les personnes concernées). Le déploiement souverain canadien de Fundamentum répond à la souveraineté. L'applicabilité du RGPD dépend de la question de savoir si vos appareils recueillent des données sur des résidents de l'UE — si tel est le cas, la piste d'audit RBAC, le modèle de résidence des données et l'infrastructure de contrôle d'accès fournissent les fondements techniques de la conformité au RGPD, mais l'évaluation juridique demeure propre à chaque client.
Comment migrer d'AWS IoT vers une plateforme IoT souveraine sans perturber notre parc ?
La séquence de migration tirée du registre des décisions d'architecture de la Phase Zéro d'Amotus : évaluer l'architecture actuelle pour en cerner les lacunes de souveraineté (quelles données franchissent actuellement les frontières, quelles composantes sont sous le contrôle d'un opérateur américain), définir la frontière de souveraineté du nouveau déploiement, exécuter le réapprovisionnement des appareils en parallèle du parc existant (Amotus a mené à bien des migrations souveraines en quelques semaines pour des parcs existants), migrer d'abord l'ingestion et le stockage de la télémétrie (la plus forte valeur de souveraineté), puis les contrôles de gouvernance, et enfin mettre hors service la dépendance à AWS. La migration est conçue pour être réversible à chaque étape, sans aucun moment de bascule unique susceptible de perturber le parc.
Quelles questions devrions-nous poser à un fournisseur de plateforme IoT au sujet de la souveraineté avant de signer ?
Posez cinq questions et exigez des réponses écrites : Où les données sont-elles physiquement stockées et dans quelle juridiction légale ? L'entreprise exploitante a-t-elle son siège social au Canada ou est-elle assujettie à une loi étrangère ? Le CLOUD Act ou un instrument étranger équivalent s'applique-t-il aux données détenues sur cette plateforme ? Qu'advient-il de nos données si vous êtes acquis ? Pouvez-vous confirmer la résidence des données par écrit dans le contrat ? Fundamentum répond affirmativement aux cinq : déploiement souverain canadien, opérateur canadien, aucune exposition au CLOUD Act, clauses de portabilité des données dans l'entente d'entreprise, et confirmation écrite de la résidence des données comme clause contractuelle standard.