100 % québécois · Habite à Montréal · Fait au Québec
Produit du Québec.
On nomme chaque sous-traitant, on dit dans quelle ville il se trouve, et on met la liste à jour à chaque changement. Pour vérifier vous-même sans nous croire sur parole, allez directement à la section 05.
Dernière vérification automatisée : 31 mai 2026 · JSON brut (script CI quotidien)
00 · Décision
Pourquoi pas seulement Microsoft (Copilot, 365) ?
Beaucoup d'organisations activent Copilot dans M365 et considèrent que « hébergé au Canada » suffit. Pour des dossiers sensibles (notariat, syndicat, assurance, CPA), la question n'est pas le pays du datacenter — c'est la juridiction du fournisseur.
- CLOUD Act
- Microsoft est une entité américaine. Le CLOUD Act (2018) peut obliger la remise de données hébergées à l'étranger, souvent sans préavis au client. « Canada Central » ne change pas cette exposition juridique.
- Loi 25
- Copilot traite des renseignements personnels : contrat sous-traitant, EFVP, registre des incidents, publication des sous-traitants. Un badge « conforme » sans EFVP signée et sans analyse de transfert hors Québec laisse le risque chez vous.
- Ce que LysIA propose
- Un logiciel métier + assistant IA au registre. 100 % hébergé au Québec. Pacte public et sous-traitants ci-dessous — pour les dossiers où le secret professionnel ou l'attestation compte.
Sur notre Score IA public, Microsoft Copilot (M365) est noté 2/8 sur les mêmes 8 dimensions que le studio — grille ouverte et contestable.
Lecture longue : Copilot, ChatGPT et Loi 25 en entreprise · EFVP, sous-traitants, shadow AI
01 · Pourquoi on publie ça
Pour qu'on n'ait pas le choix de tenir parole.
On publie cette page pour deux raisons concrètes. Un : vous (client, journaliste, fonctionnaire, partenaire) pouvez vérifier nos affirmations vous-mêmes, sans avoir à nous demander un document interne. Deux : ça nous oblige à rester droits. Toute modification est dans Git, datée, signée. Toute exception est écrite ici, pas cachée. Et si on glisse, on rompt notre propre Pacte §3 — donc on doit publier un rapport d'incident.
02 · Notre pile
Couche par couche, qui fait quoi, et où.
En clair : vos fichiers vivent à Beauharnois (OVHcloud, à 60 km au sud-ouest de Montréal). Quand l'assistant produit une réponse, c'est l'inférence : le calcul du modèle sur GPU à Montréal (RunPod).
Inference is model execution on GPU: where the assistant generates answers. Your files and logs stay in Beauharnois (OVHcloud); compute runs in Montreal (RunPod). That is not the same as storage.
| Couche | Fournisseur | Lieu | Note |
|---|---|---|---|
| Stockage primaire | OVHcloud | Beauharnois (QC) | Hébergement infogéré |
| Sauvegardes | OVHcloud | Beauharnois (QC) — bucket lysai-backups | Chiffrées au repos (AES-256), rétention 90 j |
| Audits Filigrane | OVHcloud | Beauharnois (QC) — bucket lysai-filigrane-audits | Rétention 365 j, hashes SHA-256 publics |
| Inférence IA | RunPod | Montréal (QC) | Model execution ("brain"), not file storage |
| Entraînement (fine-tune) | RunPod | Montréal (QC) | GPU canadiens (RTX 6000 Ada aujourd'hui ; H100 prévus au passage au cluster) |
| Poids de modèle (base) | OVHcloud | Beauharnois (QC) — bucket lysai-model | Chargés par vLLM depuis BHS ; jamais via HuggingFace.com ni CDN US |
| LoRA (Filigrane-QC + client) | OVHcloud | Beauharnois (QC) — bucket lysai-model | Adaptateurs propriétaires LysIA, voir runbook lysai-model-bucket |
| Données d'entraînement | OVHcloud | Beauharnois (QC) — bucket lysai-model | Corpus Loi 25, CAI, terminologie notariale ; ne quittent jamais le QC |
| Items & runs d'éval | OVHcloud | Beauharnois (QC) — bucket lysai-model | Source canonique des chiffres affichés sur /bancs |
| Email transactionnel | Postmark CA | Canada | DKIM + SPF + DMARC |
| DNS | Cloudflare | Edge global | Voir note 1 |
| CDN | Cloudflare | Edge global | Voir note 1 |
| Analytique | Plausible self-hosted | OVHcloud BHS | Sans cookie |
| Calendrier | Cal.com self-hosted | OVHcloud BHS | FR-CA par défaut |
| Infolettre | Listmonk self-hosted | OVHcloud BHS | Aucun tiers |
| CRM interne | Lead Registry (in-house) | OVHcloud BHS (QC) | registry.lysai.ca |
| Paiements | Stripe | Variable | Voir note 3 |
03 · On ne se cache pas trois écarts
Voici nos exceptions, et pourquoi.
On est honnêtes : on n'est pas à 100 %. Voici les deux endroits où une miette de quelque chose passe par un fournisseur non-québécois, avec ce qui transite exactement.
1. Cloudflare (DNS + CDN). Notre site web passe par Cloudflare pour la distribution. Aucune donnée client ne passe par là — juste les pages HTML publiques et nos icônes. Si Cloudflare disparaît, le site reste accessible directement chez OVHcloud (mode dégradé). On évalue chaque trimestre un CDN canadien (CIRA) en remplacement.
2. Stripe (paiements). Quand vous payez par carte, Stripe voit le numéro et le montant. Pas le contenu produit. On regarde Interac et Moneris comme alternatives.
Le CRM interne (notes de prospection, listes d'audiences) est hébergé à Beauharnois — registry.lysai.ca (accès staff seulement). Aucune donnée client produit n'y entre. Ces deux exceptions externes sont les seules. Mises à jour à chaque rapport de transparence.
04 · Hyperscalers (Azure, AWS, Google)
Même logique que Microsoft — le CLOUD Act.
Les régions « Canada » d'Azure, AWS et Google Cloud ne retirent pas l'exposition au CLOUD Act : l'entité mère est américaine. Même raisonnement que pour Copilot et M365 en section 00.
Chez OVHcloud (France) et RunPod (Canada), aucune entité légale aux États-Unis sur notre chaîne données client + inférence. C'est le critère qui nous a fait choisir cette pile — pas un slogan « cloud souverain » générique.
05 · Loi 25 et Loi 96
On est conformes par construction.
Loi 96 (français au Québec). Toutes nos interfaces sont en français d'abord. L'anglais arrive en Phase 1, en second.
Loi 25 (vie privée). Trois articles importants, trois réponses qu'on a déjà :
- Article 12.1 (pas de décision automatisée sans préavis) → notre Pacte §1 : l'humain signe, toujours.
- Auditabilité et droits d'accès → Pacte §5 : chaque action est tracée, conservée sept ans, exportable en JSON. C'est au-delà de la loi.
- Transfert hors Québec → Pacte §3 : il n'y en a pas, donc la question ne se pose pas.
06 · Verdict public
Huit dimensions. Même grille pour tout le monde.
Nous appliquons la même grille aux hyperscalers, aux API généralistes et à notre studio. Chaque dimension vaut 0, 0,5 ou 1. Total sur 8. Ce n'est pas un avis juridique — c'est une checklist de preuves publiques pour vos EFVP et appels d'offres.
- 1. Résidence des données au repos
- 2. Lieu d'inférence IA
- 3. Lieu d'entraînement (fine-tuning) (facultatif)
- 4. Exposition CLOUD Act
- 5. Supervision humaine nommée
- 6. Engagement contractuel public
- 7. Auditabilité ligne par ligne
- 8. Portabilité du modèle personnalisé (facultatif)
LysAI — score public : 8/8 (dernière vérif. 2026-05-27) · comparer les fournisseurs
Contester ou demander une réévaluation : [email protected] · méthodologie CC-BY sur /score-ia/methodologie.
07 · Vérifiez-nous
Cinq façons concrètes de tester nos affirmations.
Vous n'avez pas à nous croire. Voici comment tester vous-même :
- Faites un dig lysai.ca ou whois sur nos IPs pour confirmer qu'elles pointent vers OVHcloud BHS.
- Faites un curl -I https://lysai.ca et regardez l'en-tête cf-ray pour confirmer le mode proxy Cloudflare.
- Demandez-nous (par courriel, sans rendez-vous) une copie de notre contrat OVHcloud. On l'envoie le lendemain.
- À partir de la Phase 2, on commande un audit tiers payant — vous pouvez le commander vous-même aussi.
- Soumettez-nous votre propre EFVP (modèle Loi 25). On répond aux 27 questions standard dans l'audit Loi 25.
Demander notre dossier OVH + RunPod
FAQ · Infrastructure
Questions fréquentes.
Où sont hébergées les données client LysIA?
Stockage primaire, sauvegardes, audits Filigrane, poids de modèle et LoRA : OVHcloud Beauharnois (QC). Inférence et entraînement : RunPod Montréal (QC). Aucune donnée client ne transite par un fournisseur soumis au CLOUD Act américain.
Pourquoi LysIA n'utilise-t-elle pas Azure, AWS ou Google Cloud?
Les régions canadiennes de ces fournisseurs restent soumises au CLOUD Act américain : une entité américaine peut être contrainte de remettre des données sans avertir le client. OVHcloud (France) et RunPod (Canada) n'ont pas d'entité légale aux États-Unis.
Quelles exceptions LysIA documente-t-elle publiquement?
Deux : Cloudflare (DNS/CDN — pages HTML publiques seulement, pas de données client), Stripe (paiements — numéro de carte et montant, pas le contenu produit). Le CRM interne (Lead Registry) est hébergé à Beauharnois.
Comment vérifier les affirmations d'hébergement au Québec de LysIA?
Cinq voies : dig/whois sur les IPs OVH BHS, curl -I pour cf-ray, demande du contrat OVHcloud par courriel, audit tiers (Phase 2), ou soumission d'une EFVP via /audit-loi-25.
LysIA est-elle conforme à la Loi 25?
Par construction : Pacte §1 (humain signe, art. 12.1), Pacte §5 (auditabilité au-delà de la loi), Pacte §3 (pas de transfert hors Québec pour les données client). Voir aussi /loi-25 et /legal/vie-privee.
Microsoft Copilot dans M365 suffit-il pour la Loi 25 au Québec?
Pas automatiquement. Copilot traite des renseignements personnels via une entité soumise au CLOUD Act : EFVP, contrat sous-traitant et analyse de transfert hors Québec restent à votre charge. Voir /journal/copilot-chatgpt-loi-25-entreprise et le Score IA (/score-ia).
Quelle différence entre « hébergé au Canada » et « hors CLOUD Act »?
Un datacenter canadien chez un fournisseur américain peut encore être visé par le CLOUD Act. La question pour votre EFVP est la juridiction légale du sous-traitant, pas seulement la carte géographique. Notre table /infrastructure et le Score IA documentent les deux.