Yopidou, fier de sa souveraineté

Souveraineté IA

Conformité à l'Arrêté 2025-02 du MCN

Pourquoi la souveraineté compte

Arrêté 2025-02 du MCN

L'Arrêté numéro 2025-02 du ministre de la Cybersécurité et du Numérique établit 12 principes pour une utilisation responsable de l'intelligence artificielle par les organismes publics québécois.

Bien que Yopidou Inc. ne soit pas un organisme public, ses clients incluent des Bureaux Coordonnateurs agréés par le MFA et des CPE qui doivent s'assurer que leurs fournisseurs respectent ces principes.

Yopidou est conçu dès le départ pour être conforme à ces exigences.

Principe §12 — Souveraineté numérique

Le principe le plus différenciateur de notre approche

Hébergement 100% Québec

Base de données : OVH Beauharnois, Québec

Traitement IA : GPU on-premise, Île d'Orléans

API Backend : OVH Beauharnois, Québec

Vos données ne quittent jamais le territoire québécois.

Immunité CLOUD Act

Le US CLOUD Act permet au gouvernement américain d'exiger l'accès aux données stockées par des entreprises américaines, même si ces données sont hébergées hors des États-Unis.

Yopidou n'utilise aucun service cloud américain (AWS, Azure, Google Cloud, OpenAI) pour les données sensibles.

La grille de souveraineté

Cinq dimensions, quatre niveaux de maturité. C’est l’outil développé par Cérebrum pour évaluer la dépendance technologique d’une organisation — et la grille de lecture des comparaisons plus bas.

  • Dépendance

    Services étrangers, sans audit ni plan de migration. Aucun chemin critique sous contrôle réel.

  • Atténuation

    Risque conscient, dépendances partiellement inventoriées, plans de migration non testés.

  • Souveraineté contractuelle

    Fournisseurs sous juridiction acceptable ou engagements signés. Repose sur la signature d’un tiers.

  • Souveraineté opérationnelle

    Chemins critiques opérés en propre, plan de migration documenté et testé.

Hébergement

Où vivent les données et le calcul, sous quelle juridiction effective ?

  • 0Dépendance :

    Données et services chez un hyperscaler étranger, région par défaut, contrats standards.

  • 1Atténuation :

    Région locale d’un hyperscaler étranger, données chiffrées au repos, sans contrôle sur la juridiction effective.

  • 2Souveraineté contractuelle :

    Cloud souverain ou région contractuellement protégée, mais propriété et chaîne d’opération étrangères.

  • 3Souveraineté opérationnelle :

    Centre de données sous juridiction propre ou matériel en propriété, opéré sur le territoire visé.

Modèles d’inférence

Qui contrôle l’intelligence artificielle utilisée, et où s’exécute-t-elle ?

  • 0Dépendance :

    API propriétaires d’éditeurs étrangers, modèles non auditables, données envoyées chez le fournisseur.

  • 1Atténuation :

    Engagement contractuel de non-extraction et de non-entraînement, sans moyen technique de vérification.

  • 2Souveraineté contractuelle :

    Modèles ouverts servis via une API souveraine opérée par un tiers, contrats clairs sur les flux.

  • 3Souveraineté opérationnelle :

    Modèles ouverts auto-hébergés sur du matériel en propriété, exécutés localement, journalisés en interne.

Identité numérique

Qui authentifie les usagers, et où vit l’identité ?

  • 0Dépendance :

    Connexion par fournisseur d’identité étranger (compte personnel grand public).

  • 1Atténuation :

    Plateforme d’identité en tant que service de juridiction étrangère, intégration standard.

  • 2Souveraineté contractuelle :

    Fournisseur d’identité fédéré sous juridiction acceptable, contrats de résidence des données signés.

  • 3Souveraineté opérationnelle :

    Identité auto-hébergée, clés sur l’appareil de l’usager, aucune dépendance fonctionnelle à un tiers étranger.

Chaîne d’approvisionnement

Quelles sont les dépendances en amont du système, et qui les contrôle ?

  • 0Dépendance :

    Pile technique opaque, dépendances non inventoriées, mises à jour non contrôlées.

  • 1Atténuation :

    Inventaire des dépendances tenu à jour, alertes de sécurité suivies, sans cartographie des juridictions.

  • 2Souveraineté contractuelle :

    Nomenclature logicielle complète, traçabilité géographique des fournisseurs critiques, audit annuel.

  • 3Souveraineté opérationnelle :

    Substitutions identifiées et migration testée pour chaque dépendance critique, plan de continuité documenté.

Résilience juridique

Quelle exposition aux juridictions étrangères, et quelle capacité d’évacuer un fournisseur ?

  • 0Dépendance :

    Exposition totale au CLOUD Act et aux injonctions extraterritoriales, aucune cartographie réglementaire.

  • 1Atténuation :

    Responsable de la protection des renseignements personnels nommé, conformité minimale, exposition étrangère non traitée.

  • 2Souveraineté contractuelle :

    Conformité réglementaire complète et audit annuel, exposition juridictionnelle cartographiée.

  • 3Souveraineté opérationnelle :

    Architecture hors de portée des injonctions extraterritoriales, capacité de migration sous trente jours, plan testé.

Où se situe Yopidou

Le même exercice, appliqué honnêtement à notre propre plateforme.

Hébergement : niveau 2 sur 3, Souveraineté contractuelle.

OVH Beauharnois : juridiction française hors de portée du CLOUD Act, données au Québec. Le métal n’est pas notre propriété.

Modèles d’inférence : niveau 3 sur 3, Souveraineté opérationnelle.

Whisper et Qwen auto-hébergés sur nos GPU de l’Île d’Orléans, exécutés localement, journalisés en interne.

Identité numérique : niveau 3 sur 3, Souveraineté opérationnelle.

Passkeys natifs : les clés d’authentification vivent sur l’appareil de l’usagère, identité auto-hébergée.

Chaîne d’approvisionnement : niveau 2 sur 3, Souveraineté contractuelle.

Dépendances inventoriées, juridictions des fournisseurs critiques cartographiées, substitutions en cours de test.

Résilience juridique : niveau 2 sur 3, Souveraineté contractuelle.

Loi 25, Arrêté 2025-02 et Indication IAG couverts, exposition extraterritoriale cartographiée.

Grille publique et transférable, développée par Cérebrum. Toute organisation peut l’utiliser pour poser son propre diagnostic. Elle produit un profil à cinq coordonnées, jamais un score agrégé.

Souveraineté des données — Où vont les données de vos enfants ?

Le CLOUD Act permet au gouvernement américain d'exiger l'accès aux données hébergées par des entreprises américaines, même si les serveurs sont au Canada. Seul l'hébergeur compte, pas l'emplacement du serveur.

CritèreYopidouAmisgestAcceo SDGMaGarderie PlusMangroveLogiCentreGeAgenda
HébergeurOVH (français) (conforme)AWS (américain) (problème)Non divulgué (filiale Harris Computer, Ontario) (à vérifier)Non divulgué (Every8 Cloud Inc.) (à vérifier)AWS (américain) (problème)Unno (canadien, partenaire Microsoft) (à vérifier)Firebase / Google (américain) (problème)
Serveurs au QuébecOui (Beauharnois) (conforme)Probable (AWS Montréal) (à vérifier)Déclaré Canada (fournisseur non nommé) (à vérifier)Déclaré Québec (fournisseur non nommé) (à vérifier)Vancouver, BC (pas QC) (problème)Canada (Drummondville + autres) (à vérifier)Non (Virginie, USA) (problème)
Hors CLOUD ActOui (conforme)Non (AWS = US) (problème)Non (Google, Tawk.to = US) (problème)Invérifiable (cloud non nommé) (à vérifier)Non (problème)Non (partenaire Microsoft) (problème)Non (Google + OpenAI) (problème)
Transit US possibleNon (conforme)Oui (6 fournisseurs US) (problème)Oui (confirmé dans politique) (problème)Oui (aveu API tierces dans politique) (problème)Oui (confirmé) (problème)Oui (confirmé dans politique) (problème)Oui (stocké aux USA) (problème)
Sous-traitants USAucun (conforme)10 (avec Casiope) (problème)4+ (Google, Tidio/Lyro, Tawk.to, paiement anonyme) (problème)Non divulgués (à vérifier)AWS + Google Analytics (problème)3+ (PayPal, Global Payments, Google Analytics) (à vérifier)3 (Firebase, Gemini, OpenAI) (problème)
Messagerie via tiers USNon (intégrée) (conforme)Oui (TalkJS, US) (problème)Oui (Tawk.to, US) (problème)Non divulgué (à vérifier)Non divulgué (à vérifier)Non divulgué (à vérifier)Non divulgué (à vérifier)
Politique couvre les données enfantsOui (politique unique) (conforme)Partielle (9 documents) (à vérifier)Non (exclut Tiempo Pédago) (problème)Générique (pas de politique photos) (à vérifier)Non divulgué (à vérifier)Non divulgué (à vérifier)Non divulgué (à vérifier)

Transparence IA — Quand l'IA traite les données de vos enfants

Quatre fournisseurs offrent maintenant des fonctionnalités d'intelligence artificielle. Voici ce que chacun divulgue publiquement sur sa technologie et ses fournisseurs.

CritèreYopidouAmisgest (EVA)À Petits Pas (IRIS)MangroveGeAgenda (Grandir)
Modèles IA nommésWhisper + Qwen (open source) (conforme)Non divulgué (problème)Non divulgué (problème)Non divulgué (problème)Gemini + OpenAI (cloud) (à vérifier)
IA tourne localementOui (serveurs propres) (conforme)Non (stack cloud US confirmé) (problème)Non (fournisseur canadien, pas québécois) (problème)Non divulgué (problème)Non (API cloud US) (problème)
Données pour entraîner l’IANon (modèles pré-entraînés) (conforme)Risque (AWS Service Terms) (à vérifier)Documents publics du gouvernement, sans autorisation (Copibec) (problème)Risque (AWS Service Terms) (à vérifier)Non (déclaré, API payantes) (conforme)
IA mentionnée dans les docs juridiquesOui (conforme)Non (0 sur 9 documents) (problème)Non (absent politique, CGU, sécurité) (problème)Non (problème)Oui (section 12) (conforme)
Hébergeur IA hors CLOUD ActOui (OVH, français) (conforme)Non (AWS, américain) (problème)Canadien non précisé (communiqué 2026-04-15) (à vérifier)Non (AWS, américain) (problème)Non (Google + OpenAI, US) (problème)
Données stockées au QuébecOui (Beauharnois) (conforme)Probable (AWS Montréal) (à vérifier)Ambigu (CASIOPE déclare QC, communiqué IRIS dit « canadiens ») (à vérifier)Non divulgué (problème)Non (Virginie, USA) (problème)

Sources : pages services-tiers et documentation juridique publique de chaque fournisseur, consultées en mars-avril 2026. Acceo SDG, MaGarderie Plus et LogiCentre n'offrent pas de fonctionnalités IA pour les portraits et n'apparaissent pas dans ce tableau.

Notre infrastructure souveraine

Localisation des données

OVH Beauharnois (Québec)

• Base de données PostgreSQL
• API Backend FastAPI
• Stockage temporaire audio

Île d'Orléans (Québec)

• GPU pour traitement IA
• Whisper (transcription)
• Qwen (génération)

Firebase Montréal (identité seulement)

• Nom, email, téléphone
• Données non-sensibles, déjà publiques post-fuites

Cyberimpact Montréal (infolettre seulement)

• Plateforme québécoise certifiée SOC 2 Type 2, serveurs à Montréal
• Coordonnées de contact uniquement (nom, courriel)
• Aucune observation ni donnée sensible de l'enfant n'y est jamais transmise

Modèles IA open source

Transparence totale sur notre technologie

Whisper

Origine : OpenAI (open-source)

Licence : MIT

Usage : Transcription audio

Tourne localement sur nos serveurs québécois. Aucune donnée n'est envoyée à OpenAI.

Qwen

Origine : Alibaba (open-source)

Licence : Apache 2.0

Usage : Génération d'observations et rapports

Modèle compact (14B paramètres) optimisé pour une consommation énergétique réduite.

Principe §6 — Durabilité

Une IA écoresponsable

IA frugale

Modèles compacts vs géants

Yopidou utilise Qwen 14B (quantifié 4-bit), un modèle beaucoup plus économe que les modèles géants comme GPT-4 (175B+ paramètres).

Énergie verte

Notre infrastructure fonctionne à 100% avec l'électricité d'Hydro-Québec, l'une des plus propres au monde.

Pas de cloud hyperscale

Contrairement aux datacenters AWS/Azure/Google qui consomment des quantités massives d'énergie, notre infrastructure locale est dimensionnée pour nos besoins réels.

Questions sur notre conformité ?

Philippe Bourque

CTO, Yopidou Inc.

prp@yopidou.com

Documentation technique disponible sur demande pour les BC et le MFA.