Module 5 · Exigences légales · Formation Gouvernance PRP
Sous-traitants et ententes DPA selon la Loi 25

Sous-traitants et ententes DPA selon la Loi 25 —
exigences au Québec

Confier un traitement de renseignements personnels à un sous-traitant ne délègue jamais la responsabilité. Ce texte présente les exigences légales d'encadrement, les clauses minimales et les risques en cas d'absence d'entente.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Contexte : la responsabilité s'étend à vos sous-traitants

Les PME québécoises s'appuient massivement sur des fournisseurs externes qui traitent des renseignements personnels — hébergement, infonuagique, comptabilité, CRM, marketing, services TI. Chaque fois qu'un renseignement personnel sort de votre organisation vers un tiers pour votre compte, la Loi 25 s'applique à ce flux.

La responsabilité ne se délègue pas avec les données. Votre organisation reste responsable devant la CAI et les personnes concernées — même si l'incident a lieu chez le fournisseur. D'où l'obligation d'encadrer contractuellement ces relations.

Ce que vous devez retenir — version dirigeant

  • Vous êtes responsable de ce que fait votre sous-traitant avec vos données.
  • Un DPA est attendu pour tout sous-traitant accédant à des RP.
  • Les transferts hors Québec exigent une évaluation distincte préalable.
  • Un DPA générique n'est pas automatiquement conforme à la Loi 25.

Ce que ça implique pour votre organisation

Si vos sous-traitants ne sont pas encadrés par DPA :

  • vous êtes responsable sans levier contractuel en cas d'incident chez eux,
  • vous ne pouvez pas démontrer la diligence en matière d'encadrement externe,
  • votre propre conformité est fragile par extension — vos pratiques sont aussi solides que le maillon le plus faible.

L'angle mort des sous-traitants est la deuxième source d'incidents PRP dans les PME, après les erreurs humaines internes.

Ce que ça signifie concrètement pour vous

Le jour où un de vos sous-traitants a un incident :

  • c'est votre organisation qui apparaît dans les décisions publiques de la CAI ;
  • c'est vous qui devez notifier clients et employés concernés ;
  • c'est votre réputation qui absorbe l'impact — pas seulement celle du fournisseur.

L'encadrement par DPA n'est pas une précaution — c'est la seule façon d'exiger des mesures que vous subirez sinon passivement.

Définition légale du sous-traitant

Un sous-traitant, au sens de la Loi 25, est un tiers qui traite des renseignements personnels pour le compte d'une organisation, selon les instructions et les finalités fixées par cette dernière. Il n'agit pas pour son propre compte, mais pour celui du donneur d'ordre.

Cadre juridique applicable

Obligation d'encadrement contractuel

La Loi 25 impose à l'organisation de conclure une entente (DPA ou équivalent) avec chaque sous-traitant traitant des renseignements personnels pour son compte. L'entente doit préciser les finalités, les obligations de confidentialité, les mesures de sécurité et les conditions de restitution ou destruction des données.

Obligation d'évaluation des transferts hors Québec

Toute communication de renseignements personnels à un tiers situé hors du Québec doit faire l'objet d'une évaluation préalable. Cette évaluation vise à s'assurer que les renseignements bénéficient d'une protection adéquate dans la juridiction de destination. Elle s'applique notamment aux hébergeurs infonuagiques américains, européens ou asiatiques.

Maintien de la responsabilité

L'organisation demeure responsable des renseignements personnels confiés à un sous-traitant. Le sous-traitant peut être tenu co-responsable dans certains cas, mais l'organisation donneuse d'ordre ne peut pas se décharger de sa responsabilité par simple délégation.

Obligations concrètes d'encadrement

  • Identifier les sous-traitants qui traitent des RP — inventaire tenu et documenté.
  • Conclure un DPA ou équivalent avec chacun avant tout traitement.
  • Inclure les clauses minimales : finalités, confidentialité, sécurité, incident, restitution.
  • Évaluer préalablement les transferts hors Québec, de manière documentée.
  • Documenter l'encadrement dans le registre des traitements.
  • Réviser périodiquement les ententes (annuellement ou à chaque renouvellement).
  • Vérifier la conformité continue du sous-traitant (attestations, audits le cas échéant).

Exemples concrets PME — traduction des obligations

Inventaire des sous-traitants

Une PME de construction identifie 15 sous-traitants qui traitent des RP : hébergement web, messagerie, comptable externe, CRM ventes, outil de soumission, adjointe virtuelle, etc. Cet inventaire est intégré au registre des traitements.

DPA avec hébergeur infonuagique

L'organisation examine le DPA générique du fournisseur (Google, Microsoft). Si des aspects Loi 25 manquent, elle conclut une annexe québécoise précisant évaluation des transferts et notification d'incident selon les délais attendus.

Évaluation d'un transfert hors Québec

L'hébergeur a ses serveurs aux États-Unis : l'organisation documente l'évaluation (nature des données, protection américaine applicable, mesures contractuelles du fournisseur) avant de conclure l'entente.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations procèdent ainsi :

  • elles se fient au contrat commercial générique signé avec le fournisseur,
  • elles acceptent le DPA standard du fournisseur sans vérifier sa conformité Loi 25,
  • elles ignorent les petits prestataires qui accèdent aux données (adjointe virtuelle, consultant ponctuel),
  • elles n'évaluent pas les transferts hors Québec qui existent par défaut.

Résultat :

  • sous-traitants non encadrés selon la Loi 25 spécifiquement ;
  • transferts hors Québec non documentés ;
  • responsabilité juridique ouverte sans levier contractuel.

Sans DPA, votre sous-traitant est votre angle mort — vous êtes responsable de ce que vous ne voyez pas.

Deux réalités possibles

✗ Sous-traitants non encadrés

  • Aucun inventaire formel
  • Contrats commerciaux génériques seuls
  • Aucune évaluation des transferts hors Québec
  • Aucun protocole d'incident conjoint
  • Responsabilité ouverte sans levier

✓ Sous-traitants encadrés

  • Inventaire documenté et révisé
  • DPA ou annexe spécifique Loi 25
  • Transferts évalués et documentés
  • Clauses de notification et coopération
  • Responsabilité encadrée contractuellement

Obligation légale ou bonne pratique? La distinction compte.

⚖️ Obligation légale

  • Encadrement contractuel (DPA)
  • Clauses minimales (finalités, sécurité, incident)
  • Évaluation des transferts hors Québec
  • Maintien de la responsabilité de l'organisation
  • Restitution/destruction en fin de contrat

💡 Bonne pratique fortement recommandée

  • Annexe québécoise sur les DPA génériques internationaux
  • Audit annuel des sous-traitants principaux
  • Clauses de pénalité en cas d'incident
  • Test de notification annuel avec fournisseurs clés
  • Plan de contingence si un sous-traitant défaille

Exemples d'application concrète

Inventaire et priorisation pour une PME

Liste des sous-traitants existants, classement par volume de RP traités et sensibilité. Les 5 premiers (les plus critiques) sont encadrés en priorité par DPA. Les autres suivent dans un plan d'action à 6-12 mois.

DPA avec fournisseur infonuagique international

L'organisation examine le DPA générique du fournisseur, identifie les écarts Loi 25 (transferts, délai de notification), et négocie une annexe québécoise. Pour les fournisseurs qui refusent de l'ajouter, une évaluation de risque guide la décision (conserver ou migrer).

Procédure d'incident conjointe

Un DPA bien fait précise : le sous-traitant notifie l'organisation dans les 24-48 h après découverte, fournit tous les éléments d'évaluation du risque, coopère à la notification aux personnes concernées et à la CAI. Cette procédure évite l'improvisation le jour de l'incident.

Risques en cas de non-conformité

Angle 1 — Sanctions juridiques

  • Sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Ordonnances de la CAI exigeant la mise en conformité des ententes sous-traitants.
  • Actions privées pour préjudice lié à un incident chez un sous-traitant non encadré.
  • Sanction aggravée en cas de transfert hors Québec non évalué préalablement.

Angle 2 — Coûts opérationnels d'un encadrement absent

  • Gestion de crise sans coopération du fournisseur faute de clauses.
  • Notification tardive ou incomplète aux clients et à la CAI.
  • Mise à niveau d'urgence des ententes sous pression d'enquête.
  • Perte de confiance des clients qui apprennent l'incident par le fournisseur.

Concrètement pour une PME

Sans encadrement des sous-traitants :

  • chaque incident chez un fournisseur vous atteint sans préavis ;
  • vous subissez les pratiques de sécurité de vos sous-traitants sans pouvoir les exiger ;
  • votre réputation dépend de choix que vous n'avez pas encadrés.

Le coût vient de l'angle mort — pas de l'encadrement.

Articulation avec la gouvernance PRP

  • Registre des traitements — inventaire central des sous-traitants et des flux.
  • Politique de confidentialité — liste les catégories de tiers destinataires.
  • EFVP — évaluation préalable pour les transferts hors Québec et traitements importants.
  • Registre des incidents — activé par la notification du sous-traitant.
  • Plan de continuité — anticipe la défaillance d'un sous-traitant critique.

Questions fréquentes

Un simple contrat commercial suffit-il?

Rarement. Les contrats commerciaux génériques ne couvrent généralement pas les aspects PRP spécifiques (finalités, sécurité, incident, restitution). Un DPA est soit un contrat distinct, soit une annexe au contrat principal qui précise ces éléments.

Qui a l'initiative du DPA : l'organisation ou le sous-traitant?

L'organisation donneuse d'ordre est responsable de s'assurer qu'un DPA conforme existe. En pratique, les grands fournisseurs proposent leur DPA standard ; les PME plus petites acceptent généralement un DPA préparé par l'organisation.

Faut-il re-signer un DPA à chaque nouveau service?

Pas nécessairement — un DPA cadre peut couvrir l'ensemble des services du fournisseur. En revanche, chaque nouvelle utilisation doit s'inscrire dans les finalités déjà autorisées ; un changement substantiel nécessite une révision ou un avenant.

Comment faire si le sous-traitant refuse de signer un DPA?

C'est un signal fort. L'organisation doit alors évaluer le risque (criticité du service, alternatives disponibles) et documenter sa décision. Si le fournisseur traite des données sensibles ou en volume, un changement de fournisseur est souvent préférable à un traitement non encadré.

La responsabilité est-elle partagée si le sous-traitant cause l'incident?

La responsabilité première demeure à l'organisation donneuse d'ordre. Le DPA peut organiser une répartition des responsabilités contractuelles (qui paie quoi, qui notifie quoi), mais la CAI s'adresse d'abord à l'organisation. C'est elle qui doit gérer la notification et les conséquences publiques.

🎯 Diagnostic rapide

Votre organisation :

  • a-t-elle un inventaire documenté des sous-traitants traitant des RP?
  • les principaux ont-ils signé un DPA conforme à la Loi 25?
  • les transferts hors Québec ont-ils été évalués et documentés?

Si non à une seule question, vous êtes probablement dans une situation d'angle mort — exposition directe dès qu'un fournisseur subit un incident.

Concrètement

Les obligations d'encadrement des sous-traitants existent indépendamment du contrat commercial que vous avez signé. Sans DPA spécifique :

  • votre responsabilité demeure, mais sans levier contractuel pour l'exercer ;
  • vos transferts hors Québec sont probablement non évalués ;
  • votre démonstration de diligence sur le volet externe est fragile.

Commencer par inventorier les 5-10 sous-traitants principaux et sécuriser leurs ententes est un travail de quelques semaines qui couvre la majorité du risque externe d'une PME standard. Les cas complexes (IA, transferts multi-juridictions, sous-sous-traitance) relèvent d'une formation dédiée ou d'un mandat spécifique.

En résumé — Sous-traitants et DPA Loi 25

  • Règle clé : responsabilité maintenue — un DPA est requis pour chaque sous-traitant accédant à des RP
  • Clauses minimales : finalités, confidentialité, sécurité, incident, restitution
  • Transferts hors Québec : évaluation préalable distincte obligatoire
  • DPA génériques : rarement suffisants seuls — annexe québécoise souvent nécessaire

📘 Version pratique du même sujet

Pour un guide concret sur l'identification des sous-traitants, les clauses de base et quand passer à une expertise approfondie.

Guide — Identifier et encadrer vos sous-traitants →

Besoin de structurer l'encadrement de vos sous-traitants?

La Formation Gouvernance PRP couvre les bases de l'identification et de l'encadrement. L'Analyse gouvernance PRP évalue votre situation actuelle et priorise les ententes à sécuriser.

Obtenir mon Analyse gouvernance PRP Construire ma gouvernance PRP

← Retour à la formation complète (6 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.