Vos données restent
au Québec.

Quand votre municipalité utilise Gmail, vos courriels transitent par les serveurs de Google aux États-Unis. Quand votre OBNL stocke ses documents sur OneDrive, ils sont soumis au CLOUD Act — une loi qui permet aux autorités américaines d'exiger l'accès aux données détenues par des entreprises américaines, peu importe où se trouvent les serveurs.

Microsoft a des centres de données au Canada? Oui. Mais Microsoft reste une entreprise américaine, soumise au droit américain. Le lieu physique des serveurs ne change pas la juridiction légale de l'entreprise qui les opère.

Ce n'est pas une théorie. C'est le cadre légal en vigueur.

Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose aux organisations québécoises des obligations concrètes : savoir où sont vos données, contrôler qui y accède, pouvoir les exporter, les supprimer, et démontrer votre conformité.

Quand vos données sont chez Google ou Microsoft, pouvez-vous répondre à ces questions?

En février 2026, le gouvernement du Québec a franchi une étape de plus avec son Énoncé de politique de souveraineté numérique — une reconnaissance officielle que la dépendance aux géants technologiques américains est un enjeu collectif, pas seulement technique.

Beluga est une réponse concrète à cet enjeu.

Ce que ça veut dire concrètement, quand on dit que vos données sont « au Québec » :

• Centre de données OVHcloud BHS — situé à Beauharnois, Québec. Opéré par OVH (siège social à Roubaix, France) — non soumis au CLOUD Act américain.
• Kubernetes v1.29 managé par OVH — 3 nœuds de travail, ingress NGINX, certificats Let's Encrypt renouvelés automatiquement.
• vRack privé 10.0.0.0/16 — tout le trafic entre vos conteneurs, la base de données, le cache Redis et les serveurs de courriel passe par un réseau privé. Zéro flux Internet interne.
• Exactement 2 points d'entrée publics — un Load Balancer HTTPS pour le web, une IP fixe pour le courriel (SMTP avec PTR configuré). Le reste est invisible.
• TLS 1.2+ obligatoire partout. HSTS activé, 1 an de validité.
• JWT signés en RS256, cache JWKS 1 h. Aucun secret partagé en clair.
• Chiffrement AES-256 au repos sur tous les volumes de stockage.
• Authentification via Keycloak (OIDC/PKCE), 2FA TOTP disponible (obligatoire pour les super-admins), blocage après 5 tentatives (lock 15 min).
• Rate limiting serveur : 300 req/min pour les utilisateurs authentifiés, 60 req/min anonymes, 5 inscriptions/h par IP.

Aucune brique critique de Beluga n'appartient à une entreprise américaine. Notre pile est auditable, remplaçable, et maintenue par des communautés internationales :

• Django 5 + PostgreSQL 16 — le cœur applicatif
• Postfix, Dovecot, Rspamd — serveurs de courriel (DKIM, SPF, DMARC)
• LiveKit (WebRTC) + Egress (enregistrement MP4) — visioconférence
• Matrix/Synapse (une instance par organisation) — messagerie
• Hocuspocus + Y.js + BlockNote — collaboration documentaire temps réel avec CRDT
• Collabora Online — édition bureautique (.docx, .xlsx, .pptx)
• MinIO S3 — stockage de fichiers
• Radicale — CalDAV/CardDAV
• Voxtral Mini v2 de Mistral AI — transcription des réunions (modèle open source, hébergé ici)

Aucune dépendance critique à Microsoft, Google, Amazon ou OpenAI.

La France a développé LaSuite, une suite collaborative open source pour ses 500 000 agents publics. Éditeur de documents, messagerie chiffrée (Tchap), tableur, visioconférence — tout hébergé sur des infrastructures souveraines qualifiées par l'ANSSI.

Les Pays-Bas ont rejoint l'initiative européenne avec Office.eu, construite sur Nextcloud.

L'Allemagne déploie openDesk dans son administration fédérale. La Suisse suit avec son programme GovTech.

Le mouvement est clair : les nations qui ont les moyens de contrôler leur infrastructure numérique le font. Le Québec a les compétences, la volonté politique — et maintenant un outil concret.