Nous avions parlé d'Anytype il y a quelques temps! Vous souhaitez lire cet article en premier? Le voici!

Anytype, le « second cerveau » open-core : entre souveraineté et ​​pragmatisme

Introduction

La transformation numérique des organisations s’est accélérée au cours des dix dernières années, et avec elle une dépendance grandissante envers des plateformes infonuagiques telles que Notion, Google Workspace, Microsoft 365 ou Evernote. Bien qu’elles soient efficaces, ces solutions reposent presque toujours sur des infrastructures étrangères, souvent situées aux États-Unis et assujetties à leurs lois nationales. Dans un contexte où la protection des renseignements personnels est devenue un enjeu stratégique, juridique et géopolitique, la question n’est plus simplement : “Quel outil est le plus pratique ?” mais plutôt : “Quel outil nous permet de demeurer maîtres de nos données ?”

C’est dans ce cadre qu’émerge Anytype, une application de gestion de connaissances et d’organisation personnelle/collective fondée sur une architecture local-first, fortement orientée vers la confidentialité et le chiffrement de bout en bout. Contrairement aux outils fondés sur le cloud centralisé, Anytype repose sur une approche radicalement différente : les données sont d’abord et avant tout stockées sur les appareils des utilisateurs, chiffrées localement et synchronisées uniquement sous forme chiffrée.

Pour les PME, OBNL et individus québécois, cette approche soulève un intérêt particulier, notamment en raison de la Loi 25, des exigences croissantes en matière de sécurité, et de la prise de conscience collective concernant la souveraineté numérique.

Ce guide vise à offrir une vision claire, pédagogique et non technique du rôle qu’Anytype peut jouer dans cette transition.

1. Comprendre Anytype : une application local-first orientée confidentialité

1.1. Nature et philosophie de la plateforme

Anytype est une application polyvalente permettant de :

• prendre des notes ;
• structurer des projets ;
• créer des bases de données simples ;
• concevoir des wikis internes ;
• documenter des processus ;
• organiser ses informations personnelles ou professionnelles.

Son interface visuelle s’apparente à Notion ou Affine, avec des pages composées de blocs, des bases de données légères, des vues (tableaux, listes, tableaux kanban), et des modèles d’organisation. Cependant, l’architecture technique et la philosophie de la plateforme diffèrent profondément.

Anytype repose sur trois piliers fondamentaux :

1. Local-first : les données sont d’abord stockées localement sur l’appareil de l’utilisateur.
2. Chiffrement de bout en bout (E2EE) et modèle “zero-knowledge” : les clés de chiffrement sont générées localement et ne quittent jamais l’appareil de l’utilisateur.
3. Synchronisation pair-à-pair (P2P) via un protocole open source, sans transmission de données en clair vers un serveur central.

L’objectif est simple : permettre aux utilisateurs de bénéficier d’un outil moderne de gestion de connaissances sans renoncer à la maîtrise de leurs données.

1.2. Une architecture local-first pour réduire la dépendance au cloud

La plupart des outils de productivité populaires fonctionnent ainsi :

• l’utilisateur saisit un contenu ;
• l’application l’envoie immédiatement au cloud ;
• les serveurs du fournisseur stockent la copie principale ;
• l’utilisateur consulte ensuite les données à partir du cloud.

Dans Anytype, cette logique est inversée :

• la copie principale de chaque donnée est stockée sur l’appareil ;
• la synchronisation n’est qu’un complément, pas une dépendance ;
• les données ne sont jamais transmises en clair.

Cette architecture a deux conséquences directes :

1. Utilisation en mode hors-ligne complète
   Les utilisateurs peuvent travailler sans connexion Internet, ce qui est particulièrement utile pour les organisations situées en régions, les équipes mobiles ou les environnements sensibles où l’accès réseau est limité.
2. Réduction radicale du risque lié à l’hébergement externe
   Même si un serveur de synchronisation était compromis, les données qu’il contient resteraient illisibles sans les clés détenues par l’utilisateur.
3. 
   

1.3. Chiffrement bout en bout : un modèle zero-knowledge

D’un point de vue non technique, le chiffrement de bout en bout d’Anytype peut se résumer ainsi :

• chaque document, image, note ou base de données est chiffré avant de quitter l’appareil ;
• les clés sont générées et stockées localement ;
• les serveurs ne possèdent aucune clé de déchiffrement.

Il en découle une garantie forte : ni l’entreprise Anytype, ni un fournisseur d’hébergement, ni une autorité étrangère ne peut accéder à vos données en clair.

Cette caractéristique distingue Anytype de la vaste majorité des solutions cloud, même celles qui chiffrent les données “au repos”, mais qui conservent les clés du côté du serveur.

1.4. Licences et transparence : open source vs “source available”

Contrairement à certaines idées reçues, Anytype n’est pas entièrement open source.

• Les protocoles fondamentaux utilisés pour la synchronisation et la structuration des données (any-sync, any-block, etc.) sont publiés sous licence MIT, une licence open source très permissive.
• Les applications clientes (mobile, desktop) sont publiées en source available, sous une licence propriétaire permissive appelée « Any Source Available License ».

Cette licence permet :

• l’accès au code source ;
• l’audit indépendant ;
• l’inspection des mécanismes de sécurité ;

… tout en interdisant certains usages commerciaux (notamment la réutilisation directe du code pour un service concurrent).

Cela place Anytype dans une position intermédiaire :

transparent, mais pas totalement libre.

Pour les PME et OBNL, cette transparence est un atout, puisqu’elle permet de vérifier comment les données sont manipulées, sans les limitations d’une boîte noire complètement propriétaire.

2. La souveraineté numérique dans le contexte québécois et canadien

2.1. Une préoccupation croissante

La souveraineté numérique désigne la capacité d’une société, d’un gouvernement ou d’une organisation à :

• contrôler l’hébergement de ses données ;
• maîtriser l’accès à ces données ;
• définir les règles de traitement conformément à ses lois et valeurs propres.

Au Canada, et plus particulièrement au Québec, la dépendance aux infrastructures numériques externes — en majorité américaines — est désormais perçue comme un risque stratégique.

Même lorsque des données sont stockées physiquement au Canada, si l’infrastructure appartient à un fournisseur américain, elles peuvent être soumises à des lois extraterritoriales telles que :

• le Cloud Act (États-Unis) ;
• le Patriot Act ;
• diverses obligations légales de divulgation.

Ce phénomène est amplifié par le fait que la quasi-totalité des géants infonuagiques sont américains :

• Amazon Web Services
• Microsoft Azure
• Google Cloud Platform
• Oracle Cloud
• IBM Cloud

Pour une PME, un OBNL ou un professionnel, cela signifie que des données sensibles (clients, membres, bénéficiaires, dossiers internes) peuvent être exposées à des juridictions étrangères, même involontairement.

2.2. Enjeux pour les organisations québécoises

Les principaux risques identifiés :

1. Perte de contrôle sur les données
   Utiliser un service cloud propriétaire revient à accepter que la copie maîtresse des données réside sur un serveur qui n’appartient pas à l’organisation.
2. Risque juridique
   Une demande légale étrangère pourrait — en théorie — forcer un fournisseur à fournir un accès aux données non chiffrées ou aux ressources nécessaires à leur déchiffrement.
3. Manque de transparence
   Les entreprises propriétaires peuvent modifier unilatéralement leurs politiques de confidentialité, leurs architectures ou leurs lieux d’hébergement.
4. Incompatibilité partielle avec certaines exigences locales, notamment en matière de consentement, d’évaluation des risques et de conservation des données.

Dans ce contexte, les solutions local-first ou zero-knowledge comme Anytype deviennent particulièrement attrayantes, car elles réduisent considérablement l’exposition aux infrastructures étrangères.

3. Loi 25 : obligations et implications pour les outils numériques

3.1. Principes généraux

La Loi 25 modernise les lois québécoises en matière de protection des renseignements personnels. Elle impose notamment :

• la nomination d’un responsable de la protection des renseignements personnels ;
• la tenue d’un registre des incidents ;
• des obligations d’aviser la CAI en cas d’incident ;
• l’adoption de politiques de gouvernance et de pratiques de gestion des données ;
• des EFVP (évaluations des facteurs relatifs à la vie privée) pour tout projet impliquant des technologies sensibles ou un transfert de données hors Québec ;
• la reconnaissance du droit à l’oubli et de la portabilité des données.

Les sanctions peuvent atteindre 10 M $ ou 2 % du chiffre d’affaires mondial.

3.2. Choix d’outils et EFVP

Chaque fois qu’une organisation choisit un outil :

• de prise de notes,
• de gestion de clients,
• de gestion documentaire,
• ou de collaboration,

elle doit, en vertu de la Loi 25 :

1. évaluer les risques ;
2. documenter les mesures de sécurité ;
3. s’assurer que le transfert hors Québec ne dégrade pas la protection accordée aux données.

Un outil centralisé comme Notion, même s’il est utile, implique :

• un hébergement sur AWS (États-Unis ou UE) ;
• l’absence de chiffrement de bout en bout ;
• des données accessibles par le fournisseur en cas d’obligation légale ;
• la nécessité de réaliser une EFVP complète en cas de données personnelles.

À l’inverse, une solution E2EE comme Anytype :

• réduit l’exposition aux fournisseurs externes ;
• offre une justification solide dans le cadre d’une EFVP ;
• diminue drastiquement les risques d’incident impliquant un tiers ;
• facilite la conformité aux règles liées au transfert hors Québec.

4. Comparatif détaillé : Anytype, Notion, Evernote et autres alternatives

Le tableau suivant compare les principales caractéristiques pertinentes pour une organisation.

4.1. Tableau comparatif

Critère	Anytype	Notion	Evernote
Architecture	Local-first avec synchronisation P2P optionnelle	Cloud centralisé (AWS)	Cloud centralisé (Google Cloud)
Chiffrement	Chiffrement de bout en bout (zero-knowledge)	Chiffrement au repos et en transit, mais pas E2EE	Chiffrement au repos, pas E2EE
Accès aux données par le fournisseur	Impossible (pas de clé côté serveur)	Possible sur demande légale	Possible (pas de chiffrement utilisateur)
Mode hors-ligne	Complet	Très limité	Partiel
Collaboration	En développement, modèle pair-à-pair	Très avancée, multi-utilisateurs	Basique
Transparence	Protocoles open source, clients source available	Code fermé	Code fermé
Souveraineté	Très élevée (clé contrôlée par l’utilisateur)	Faible	Faible
Conformité Loi 25	Plus facile à justifier dans une EFVP	Risque accru, documentation lourde	Risque accru

4.2. Comparaison approfondie

Anytype : avantages clés

• maîtrise totale du chiffrement ;
• capacité de fonctionner sans réseau ;
• protocole transparent et auditable ;
• absence de dépendance à un serveur central ;
• excellent choix pour les notes sensibles, wikis internes, journaux, documentation technique ou stratégique.

Notion : points forts et limites

• collaboration très avancée ;
• interface mature et riche ;
• vaste écosystème d’intégrations ;
• mais dépendance totale au cloud AWS, données accessibles au fournisseur.

Evernote : points forts et limites

• moteur de recherche puissant ;
• plateforme connue et stable ;
• mais architecture cloud centralisée, absence de chiffrement E2EE, dépendance à GCP (États-Unis).

5. Cas d’usage concrets pour les organisations québécoises

5.1. PME de services professionnels

Anytype permet de :

• documenter des processus internes ;
• conserver des notes de réunions ;
• structurer des dossiers de clients ;
• organiser des listes de tâches ou des mini-projets.

Le chiffrement E2EE réduit les risques liés à des fuites externes, et le mode hors-ligne est précieux pour les équipes de terrain.

5.2. OBNL manipulant des données sensibles

Un OBNL qui accompagne des populations vulnérables pourrait utiliser Anytype pour :

• gérer des projets internes ;
• documenter la gouvernance ;
• conserver des guides internes ;
• structurer des initiatives communautaires.

Pour les données très sensibles, il est possible d’utiliser un chiffrement supplémentaire ou de conserver certaines informations en local-only, renforçant la posture de conformité.

5.3. Travailleurs indépendants et professionnels libéraux

Pour les travailleurs indépendants manipulant des notes confidentielles :

• psychologie,
• coaching,
• droit,
• travail social,
• comptabilité,

Anytype constitue une alternative très sécurisée aux outils cloud.

6. Conclusion : une solution alignée avec les nouveaux impératifs de souveraineté

Anytype ne remplacera pas toutes les plateformes cloud collaboratives, et son écosystème est encore en développement. Toutefois, son architecture local-first, son chiffrement de bout en bout et sa transparence en font une solution alignée sur les enjeux actuels de souveraineté numérique au Québec.

Dans un contexte où la Loi 25 impose une documentation stricte, une analyse rigoureuse des risques et une réduction maximale de l’exposition aux tiers, Anytype offre des garanties fortes :

• maîtrise totale des clés ;
• réduction des risques liés aux fournisseurs étrangers ;
• fonctionnement hors ligne assuré ;
• support à la conformité par conception.

Pour les organisations à la recherche d’un équilibre entre flexibilité, sécurité, confidentialité et souveraineté, Anytype représente une option particulièrement digne d’intérêt.