Notes from the IAPP Canada: There's no place like home for Canada's data

There was a time when I bragged about our firm's clever use of highly secure, internationally-based cloud services that kept us nimble and as secure as the big Bay Street firms. These days, though, I check whether my apps come with a Maple Leaf on the server. It turns out data sovereignty is suddenly the hottest topic in Canadian tech circles. 

Lately my colleagues and I have been inundated with client requests for cross-border risk assessments — basically a somewhat paranoid parlor game of "Which jurisdiction might peek at our data?" from Bangalore to Berlin to Boston. The subtext: everyone's anxious about where their information lives. If we team up with a service provider outside Canada, are we still "respecting data sovereignty" or creating exposure to foreign laws and governments?

One major sign of this new reality landed last week: Bell Canada Enterprises announced a colossal CAD1.7 billion plan to build Canada's largest artificial intelligence-focused data center — right in the Saskatchewan prairies. This 300-megawatt behemoth outside Regina isn't just about tech or jobs — though it promises plenty of both; it's being touted as a cornerstone of Canadian AI sovereignty. 

When was the last time you heard a premier enthuse about server farms? Yet there was Saskatchewan's Scott Moe, proudly saying we have a "responsibility to ensure that we are building this data sovereignty in Canada." For a provincial press conference, that's about as spicy as it gets. 

And in case anyone missed the point, Bell's President and CEO Mirko Bibic chimed in that with this center, governments and businesses can tap top-tier AI while "keeping their data in Canada, managed by Canadians under Canadian laws." That phrasing tells you a lot about where the market seems to be heading — basically the digital equivalent of slapping a "Buy Local" sticker on our cloud infrastructure.

The push to keep data on Canadian soil isn't just coming from telecom giants. I've noticed even startups and mid-sized firms waving the "Canada-first" banner. One Calgary tech company launched a service this month advertising that it keeps business data "in Canada, and out of foreign hands," citing growing concerns about foreign access to information. Their president warned that with our neighbors' policies changing "on a whim," Canadian companies are looking to reduce risk by making sure data never crosses the border. 

That would have sounded like niche positioning a few years ago. Now it sounds mainstream. Even our firm's most level-headed clients are now a little skittish about hosting data abroad. After enough conversations about the CLOUD Act and similar laws, you start to realize this is no longer an abstract legal issue for many organizations — it feels immediate.

So, what's driving this change? In part, it's geopolitical uncertainty.  Without getting too political — we promised — it's fair to say that developments down south have made some organizations think about legal exposure, operational dependence and control over sensitive information. 

We may share the world's longest undefended border, but our legal and political environments are not identical. There's a growing concern that changes in foreign law or policy could affect Canadian data in ways that are difficult to predict. Keeping critical infrastructure and sensitive information under Canadian control is increasingly seen as a prudent risk-management move. 

We've been down this road before, by the way: back in 2004, British Columbia passed a law requiring public bodies to keep personal data in Canada as a reaction to the USA PATRIOT Act. For many privacy professionals, those rules felt a little over-the-top and out of touch. Not anymore. Today, they look a lot less out of step and data residency is the new dinner-table — and boardroom — talk.

The result is a wave of what I'll call "digital home improvement." Companies are investing in local servers, Canadian cloud regions and homegrown tech partnerships. The message is clear: there's no place like home — for our data, at least. Will you sleep better knowing that our bytes and bits are snuggled up safely under the Northern Lights? Who knew data centers could become a point of national pride? Welcome to 2026, where even our data is staying for the after-party in Canada.  

Notes de l'IAPP Canada: Il n’y a pas de meilleur endroit que chez soi pour les données canadiennes

Il fut un temps où je me vantais de l’utilisation ingénieuse, par notre cabinet, de services infonuagiques hautement sécurisés et hébergés à l’international, qui nous permettaient de demeurer agiles et aussi bien protégés que les grands cabinets de Bay Street. Aujourd’hui, j’ai plutôt tendance à vérifier si mes applications s’accompagnent d’une feuille d’érable sur le serveur. Il s’avère que la souveraineté des données est soudainement devenue le sujet le plus en vue dans les milieux techno au Canada. Dernièrement, mes collègues et moi avons été inondés de demandes de clients pour des évaluations des risques transfrontaliers — essentiellement une version un peu paranoïaque du jeu de salon : « Quelle administration pourrait jeter un œil à nos données? », de Bangalore à Berlin à Boston. Sous-texte : tout le monde s’inquiète de l’endroit où « vit » son information. Si nous nous associons à un fournisseur de services situé à l’extérieur du Canada, est-ce que nous « respectons la souveraineté des données » ou est-ce que nous nous exposons à des lois et à des gouvernements étrangers?

Un signe marquant de cette nouvelle réalité est apparu la semaine dernière : BCE (la société mère de Bell Canada) a annoncé un plan colossal de 1,7 milliard de dollars visant à construire le plus grand centre de données au Canada axé sur l’IA — en plein cœur des Prairies de la Saskatchewan. Ce mastodonte de 300 mégawatts, situé à l’extérieur de Regina, ne concerne pas seulement la technologie ou les emplois (même s’il promet une abondance des deux) : on le présente comme une pierre angulaire de la souveraineté canadienne en matière d’IA. Quand avez-vous entendu pour la dernière fois un premier ministre provincial s’enthousiasmer pour des parcs de serveurs? Or, voilà Scott Moe, en Saskatchewan, affirmant avec fierté que nous avons la « responsabilité de veiller à bâtir cette souveraineté des données au Canada ». Pour une conférence de presse provinciale, c’est assez piquant. Et au cas où le message n’aurait pas été clair, le PDG de Bell, Mirko Bibic, a ajouté qu’avec ce centre, les gouvernements et les entreprises pourront accéder à une IA de pointe tout en « gardant leurs données au Canada, gérées par des Canadiens selon les lois canadiennes ». Cette formulation en dit long sur la direction que semble prendre le marché — l’équivalent numérique d’apposer un autocollant « Achetez local » sur notre infrastructure infonuagique.

La volonté de conserver les données sur le sol canadien ne vient pas seulement des géants des télécommunications. J’ai remarqué que même des jeunes pousses et des entreprises de taille moyenne brandissent la bannière « le Canada d’abord ». Une entreprise techno de Calgary a lancé ce mois-ci un service qui affirme garder les données d’affaires « au Canada, et hors de portée de mains étrangères », invoquant les préoccupations croissantes quant à l’accès étranger à l’information. Son président a averti qu’avec les politiques de nos voisins qui changent « au gré des humeurs », les entreprises canadiennes cherchent à réduire les risques en veillant à ce que les données ne traversent jamais la frontière. Il y a quelques années, un tel positionnement aurait semblé un peu niche. Aujourd’hui, cela paraît presque mainstream. Même les clients les plus pragmatiques de notre cabinet deviennent un peu nerveux à l’idée d’héberger des données à l’étranger. Après suffisamment de conversations sur le CLOUD Act et des lois similaires, on comprend que, pour de nombreuses organisations, il ne s’agit plus d’un enjeu juridique abstrait — c’est devenu très concret.

Qu’est-ce qui alimente ce changement? En partie, l’incertitude géopolitique. Sans tomber dans la politique (promis!), il est juste de dire que certains développements au sud de la frontière ont amené des organisations à réfléchir à leur exposition juridique, à leur dépendance opérationnelle et au contrôle de l’information sensible. Nous partageons peut-être la plus longue frontière non défendue au monde, mais nos environnements juridiques et politiques ne sont pas identiques. On s’inquiète de plus en plus que des changements de lois ou de politiques à l’étranger puissent toucher les données canadiennes d’une manière difficile à prévoir. Conserver les infrastructures critiques et l’information sensible sous contrôle canadien est de plus en plus perçu comme une mesure prudente de gestion des risques.

Nous sommes déjà passés par là, d’ailleurs : en 2004, la Colombie-Britannique a adopté une loi obligeant les organismes publics à conserver les renseignements personnels au Canada, en réaction au USA PATRIOT Act[1]. Pour bien des spécialistes de la protection des données, ces règles semblaient un peu exagérées et déconnectées. Plus maintenant. Aujourd’hui, elles paraissent beaucoup moins à contre-courant, et la résidence des données est devenue le nouveau sujet de conversation à table (et en salle de conseil).

Le résultat, c’est une vague de ce que j’appellerai des « rénovations numériques ». Les entreprises investissent dans des serveurs locaux, des régions infonuagiques canadiennes et des partenariats technos d’ici. Le message est clair : rien ne vaut la maison — du moins, pour nos données. Dormirez-vous mieux en sachant que nos octets et nos bits sont bien au chaud sous les aurores boréales? Qui aurait cru que les centres de données deviendraient une source de fierté nationale? Bienvenue en 2026, où même nos données restent au Canada pour l’« after-party ».

Bonne fin de Digest cette semaine et excellent week-end de début de printemps!

This French companion article is not means to be an exact translation, but rather an article that generally covers the same topic as the English article. Thanks to Gowling Partner and co-leader of the firm's national Cybersecurity and Data Protection Law Group Antoine Guilmain, CIPP/C, CIPP/E, CIPP/US, CIPM, FIP, for contributing.