Formation Numérique · Module 2 · Guide pratique
Choisir la région et signer un DPA solide
Où sont vos données et quels DPA avec vos fournisseurs SaaS?
Microsoft 365, Google Workspace, AWS proposent des régions canadiennes. Bien choisir réduit la portée de l'EFVP. Mais le CLOUD Act reste — et seul un DPA spécifique encadre vraiment la protection des données.
La majorité des PME québécoises utilisent Microsoft 365, Google Workspace ou des outils SaaS américains équivalents. Bonne nouvelle : ces fournisseurs offrent maintenant des régions canadiennes (Toronto, Québec, Montréal). Mauvaise nouvelle : choisir une région ne suffit pas. Le CLOUD Act américain s'applique à toute filiale d'une société américaine, et l'article 17 de la Loi 25 exige une entente écrite spécifique — pas seulement les conditions générales en ligne.
Définition
Un DPA (Data Processing Agreement) est une entente écrite entre votre organisation (responsable) et un fournisseur SaaS (sous-traitant) qui encadre le traitement des renseignements personnels. La région d'hébergement est la zone géographique où les données sont stockées au repos. Stockage et traitement peuvent différer — un point souvent oublié.
Choisir la région — les principaux fournisseurs
Microsoft 365 — Canada Central (Toronto) et Quebec City
Microsoft s'engage, pour les locataires commerciaux, à stocker les données primaires au repos des charges principales (Exchange Online, SharePoint Online, OneDrive for Business) dans les centres de données canadiens. Le DPA Microsoft inclut SCCs, engagements gouvernementaux, notifications de violation. Mais : exposition au CLOUD Act car Microsoft est américaine — l'EFVP reste requise.
Pour Microsoft Copilot : chaque traitement peut constituer un transfert transfrontalier nécessitant documentation Loi 25.
Google Workspace — Montréal (northamerica-northeast1)
Google opère une région canadienne à Montréal. Pour les éditions admissibles, l'administrateur peut activer la Data Region Policy pour stocker les données couvertes au repos au Canada. Distinction critique : stockage vs traitement. La policy gouverne le stockage au repos — la recherche Gmail, l'indexation Drive, le filtrage spam peuvent traiter en transit hors région.
AWS — Canada Central (Montréal) et Canada West (Calgary)
Deux régions disponibles. AWS DPA fourni avec clauses contractuelles standardisées. Même remarque CLOUD Act.
Slack, Teams, Zoom
Slack : stockage primaire historiquement aux États-Unis. Options payantes : Slack EKM (clés client) et Slack Data Residency. Teams : suit les paramètres M365. Zoom : Data Center Region Selection permet d'exclure certaines régions, mais hosting US par défaut pour comptes nord-américains.
Les 10 clauses minimales d'un DPA
Inspirées des standards internationaux et des articles 17/18.3 de la Loi 25 :
- Objet, durée, nature, finalité — types de RP, catégories de personnes
- Instructions documentées — le sous-traitant ne traite que sur instruction écrite
- Confidentialité du personnel — engagement de toute personne avec accès
- Mesures de sécurité précisées — chiffrement, MFA, journalisation, sauvegardes
- Sous-traitance ultérieure — autorisation, mêmes obligations, liste publique
- Assistance — réponse aux demandes d'accès, EFVP, incidents, consultations CAI
- Notification d'incident — délais (typiquement 24-72h), contenu, coopération
- Droit d'audit — possibilité d'auditer ou de mandater un tiers
- Localisation — pays de stockage, pays de traitement (peuvent différer), sous-traitants
- Restitution ou suppression — au choix du responsable, à la fin du contrat
Ce que ça veut dire concrètement
- Sans DPA spécifique, les CGU acceptées en ligne ne tiennent pas l'article 17 ou 18.3.
- Sans choix de région, vous transférez systématiquement hors Canada — EFVP plus complexe.
- Sans connaissance du CLOUD Act, vous croyez être protégé alors que les données peuvent être réquisitionnées.
Ce que ça signifie concrètement pour un dirigeant
- Vous êtes responsable du choix de région — un défaut de configuration n'exonère pas l'organisation.
- Le CLOUD Act n'est pas hypothétique : les autorités américaines peuvent légalement exiger des données hébergées au Canada par un fournisseur américain.
- Les CGU acceptées en ligne par un employé ne créent pas l'entente écrite spécifique exigée par les articles 17 et 18.3.
Choisir Canada réduit l'EFVP — et le risque juridique. Mais ne l'élimine pas.
🎯 Diagnostic rapide
- Pour Microsoft 365 ou Google Workspace, avez-vous configuré la résidence des données au Canada?
- Pour chaque fournisseur SaaS traitant des renseignements personnels, avez-vous signé un DPA spécifique (pas les CGU)?
- Pour chaque transfert hors Québec, avez-vous une EFVP datée prenant en compte le CLOUD Act le cas échéant?
Si non à une seule, vous êtes en non-conformité avec l'article 17 ou 18.3.
Quatre erreurs fréquentes
- « Les données sont au Canada, on est conformes. » Faux. Le CLOUD Act s'applique à toute filiale d'une société américaine. La résidence canadienne réduit le risque mais ne supprime pas l'EFVP.
- « Les CGU acceptées en ligne valent comme DPA. » Faux. Les articles 17 et 18.3 exigent une entente écrite spécifique avec mesures de protection détaillées.
- « Stockage et traitement, c'est pareil. » Faux. La résidence des données gouverne le stockage au repos. Les opérations en transit (recherche, indexation, IA) peuvent traiter ailleurs.
- « On signera un DPA quand on aura un incident. » Trop tard. Le DPA encadre la responsabilité et le partage des obligations en cas d'incident — sans lui, vous êtes seul responsable.
Choisir Canada réduit l'EFVP — et le risque juridique.
Sans DPA / Avec DPA
✗ Sans DPA
- CGU en ligne uniquement
- Région d'hébergement par défaut (souvent US)
- Aucune EFVP datée
- Ignorance du CLOUD Act
- Responsabilité diffuse en cas d'incident
✓ Avec DPA
- DPA spécifique signé
- Résidence Canada activée quand possible
- EFVP datée par fournisseur
- CLOUD Act évalué
- Responsabilités contractualisées
Ce que la Loi 25 implique concrètement
- Article 17 — EFVP obligatoire avant tout transfert hors Québec, entente écrite avec le destinataire.
- Article 18.3 — communication à un sous-traitant sans consentement permise si contrat écrit avec mesures de protection, usage limité, non-conservation.
- Article 3.3 — EFVP avant tout projet d'acquisition incluant les nouveaux fournisseurs SaaS.
- Article 12 — utilisation aux seules fins déclarées (clause à imposer au fournisseur).
Concrètement pour une PME :
- Chaque fournisseur sans DPA est une responsabilité non partagée
- Chaque outil sans choix de région explicite transfère hors Canada par défaut
- Chaque incident chez un fournisseur sans cadre vous expose seul
Le coût vient de l'absence de cadre contractuel — pas du fait d'utiliser des outils SaaS.
En résumé
Définition : un DPA est l'entente écrite spécifique qui encadre le traitement par un fournisseur SaaS, distincte des CGU.
- Articles 17 et 18.3 — entente écrite spécifique exigée
- Résidence Canada disponible chez M365, Google Workspace, AWS
- CLOUD Act subsiste — EFVP requise même avec résidence canadienne
👉 Action : choisir la région la plus proche, signer un DPA spécifique, documenter une EFVP par fournisseur.
Le cadre des sous-traitants et de l'EFVP est traité dans la Formation Gouvernance PRP, modules Sous-traitants et DPA et EFVP de base. Ce module-ci se concentre sur l'application opérationnelle aux fournisseurs SaaS de l'organisation : choix de régions, clauses spécifiques, distinction stockage vs traitement.
Pour aller plus loin
Articles 17, 18.3, 3.3, 12, exigences DPA détaillées, CLOUD Act expliqué?
Voir les exigences légales →