L'utilisation de Google Analytics, Mailchimp ou Calendly est-elle interdite par la Loi 25?

Non. La Loi 25 n'interdit pas les outils SaaS hors Québec. Elle exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant le déploiement (art. 17 et 3.3), une entente écrite avec le fournisseur et la mention de chaque outil dans la politique de confidentialité publiée. Sans ces étapes, le transfert hors Québec est non conforme — pas l'outil lui-même.

Qu'est-ce qu'une EFVP et quand est-elle obligatoire?

L'évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse documentée des risques PRP. L'article 17 la rend obligatoire avant tout transfert de renseignements personnels hors Québec. L'article 3.3 l'exige pour tout projet d'acquisition, de développement ou de refonte de système d'information impliquant des renseignements personnels. La CAI a publié en avril 2024 un guide en 6 étapes et un modèle de rapport.

Choisir la région européenne d'un outil suffit-il pour éviter les obligations de transfert?

Non. La donnée reste hors Québec et soumise à un cadre juridique étranger (le RGPD européen) qui n'est pas équivalent à la Loi 25 selon une analyse rigoureuse. De plus, le CLOUD Act américain peut s'appliquer aux serveurs européens d'un fournisseur américain, ce qui doit être pris en compte dans l'évaluation du régime juridique applicable au sens de l'article 17 alinéa 4.

Accepter les conditions générales en ligne tient-il lieu d'entente écrite?

Non. L'article 17 exige une entente écrite qui tient compte des résultats de l'évaluation et des modalités convenues pour atténuer les risques identifiés. Les CGU standard ne contiennent pas ces éléments. Une organisation doit signer un Data Processing Agreement (DPA) ou intégrer une section confidentialité spécifique au Master Service Agreement (MSA) avec chaque fournisseur.

Ces obligations s'appliquent-elles aux sites Wix, Shopify ou Webflow?

Oui. Les obligations de l'article 17 s'appliquent à toute organisation québécoise qui transfère des renseignements personnels hors Québec, peu importe la plateforme du site. Les outils tiers cités (Google Analytics, Mailchimp, Calendly, HubSpot) sont indépendants du CMS et leurs implications légales sont identiques que le site soit sur WordPress, Wix, Shopify, Squarespace, Webflow ou un développement sur mesure.

Formation Site web · Module 4 · Exigences légales
Articles 17, 3.3 et démarche EFVP CAI

Outils tiers, hébergement et transferts hors Québec — Exigences Loi 25 Québec

L'article 17 exige une EFVP avant tout transfert hors Québec et une entente écrite avec le destinataire. L'article 3.3 étend l'EFVP à tout projet impliquant un système d'information. Voici les obligations exactes et la démarche CAI.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

La majorité des outils utilisés par les sites de PME (analytics, infolettre, CRM, prise de rendez-vous, hébergeurs managés) ont leurs serveurs hors du Québec — souvent aux États-Unis. La Loi 25 les permet, mais à conditions strictes : évaluation des facteurs relatifs à la vie privée (EFVP) avant déploiement, entente écrite avec le destinataire, mention dans la politique de confidentialité. L'article 17 fixe le cadre des transferts hors Québec ; l'article 3.3 étend l'obligation d'EFVP à tout projet de système d'information impliquant des renseignements personnels. La Commission d'accès à l'information a publié en avril 2024 un guide détaillant la démarche en six étapes.

Applicable à tout site web. Les obligations s'appliquent à toute organisation québécoise qui utilise un outil tiers ou un hébergeur dont les serveurs sont hors Québec — peu importe la plateforme du site (WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure). C'est l'activité de transfert qui crée l'obligation.

Ce que vous devez retenir — version dirigeant

Article 17 — EFVP obligatoire avant transfert hors Québec + entente écrite avec le destinataire.
Article 3.3 — EFVP obligatoire pour tout projet de système d'information avec données personnelles, proportionnée à la sensibilité.
Le guide CAI EFVP (avril 2024) propose une démarche en 6 étapes et un modèle de rapport.
L'organisation reste responsable même si le webmestre a installé l'outil.

Ce que ça implique pour votre organisation

Si aucune EFVP n'a été menée pour vos outils, chaque transfert se fait sans la base légale exigée par l'article 17.
Si vous n'avez que les CGU acceptées en ligne, vous n'avez pas l'entente écrite spécifique exigée — situation indéfendable lors d'un audit.
En cas d'incident chez un fournisseur, votre absence d'évaluation devient le premier constat — vous êtes responsable du transfert non encadré.

Ce que ça signifie concrètement pour vous

Chaque outil non évalué représente un sous-traitant invisible qui traite vos données sans cadre que vous puissiez démontrer.
Le CLOUD Act américain (2018) permet aux autorités américaines d'exiger des données détenues par des fournisseurs US — même hébergées hors US. C'est un facteur du « régime juridique » de l'article 17 alinéa 4.
Une organisation qui ne peut pas produire ses EFVP devant un partenaire B2B perd l'opportunité commerciale ou se met en position de mise en conformité réactive.

L'EFVP n'est pas un document — c'est un raisonnement traçable. Et c'est cette traçabilité qui est demandée.

Définition légale

Une évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse documentée des risques liés à la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels dans un projet ou une opération. Au sens de la Loi 25, elle doit être proportionnée à la sensibilité, la finalité, la quantité, la répartition et le support des renseignements.

Cadre juridique applicable

Article 17 — Transferts hors Québec

« Avant de communiquer à l'extérieur du Québec un renseignement personnel, la personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée. Elle doit notamment tenir compte des éléments suivants : 1° la sensibilité du renseignement ; 2° la finalité de son utilisation ; 3° les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait ; 4° le régime juridique applicable dans l'État où ce renseignement serait communiqué (...). »

L'article ajoute : « La communication peut s'effectuer si l'évaluation démontre que le renseignement bénéficierait d'une protection adéquate (...). Elle doit faire l'objet d'une entente écrite qui tient compte notamment des résultats de l'évaluation et, le cas échéant, des modalités convenues dans le but d'atténuer les risques identifiés. »

L'article s'applique aussi quand l'organisation confie à un tiers hors Québec « la tâche de recueillir, d'utiliser, de communiquer ou de conserver pour son compte un tel renseignement » — ce qui inclut la majorité des outils SaaS.

Article 3.3 — EFVP pour les projets de systèmes d'information

« Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d'acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. (...) La réalisation d'une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. »

Implication concrète : déployer un nouveau plugin de formulaire, changer d'hébergeur ou ajouter un outil de prise de rendez-vous est un projet d'acquisition de système d'information — l'EFVP est requise.

Position de la CAI — Guide EFVP avril 2024

Le guide propose une démarche en six étapes :

Déterminer si une évaluation est requise
Définir le projet et l'objet de l'évaluation
Préparer l'évaluation (inventaire, parcours, sensibilité, obligations applicables)
Évaluer les facteurs et adopter les stratégies
Documenter l'évaluation (rapport)
Maintenir l'évaluation à jour

La CAI précise : « Vous devez commencer votre EFVP dès le début de votre projet : pour pouvoir influencer son déroulement en cours de route ; pour agir à temps et choisir la solution qui protège et respecte le mieux la vie privée. »

Obligations concrètes pour les organisations

Inventorier les outils tiers actifs sur le site (lien direct avec le module 1 — cartographie)
Mener une EFVP avant chaque déploiement et la conserver à jour
Évaluer les 4 facteurs de l'article 17 (sensibilité, finalité, mesures de protection, régime juridique)
Conclure sur l'adéquation de la protection — si elle n'est pas suffisante, ne pas transférer ou rapatrier
Signer une entente écrite spécifique (DPA, SCC, MSA section confidentialité) — pas seulement les CGU
Mentionner chaque outil dans la politique de confidentialité avec sa localisation
Tenir à jour l'EFVP en cas de modification de l'outil, du fournisseur ou de la finalité

Exemples concrets pour une PME

Obligation : EFVP avant transfert (art. 17) → Exemple PME : avant de déployer Calendly, l'organisation produit une note de 1-2 pages : finalité (planification de RDV), données concernées (nom, courriel), localisation (États-Unis, Google Cloud + AWS), régime juridique (CLOUD Act), mesures contractuelles (DPA Calendly), conclusion (protection adéquate avec DPA signé), date.

Obligation : entente écrite (art. 17) → Exemple PME : téléchargement et signature du DPA Mailchimp (« Data Processing Addendum »), conservation dans le dossier PRP, version conservée datée et accessible aux audits.

Obligation : EFVP pour projet SI (art. 3.3) → Exemple PME : avant de remplacer Contact Form 7 par Gravity Forms, courte EFVP comparative (où vont les données, plugin local ou avec API tiers, modifications du plan d'EFVP global du site).

Obligation : mention dans la politique → Exemple PME : dans la politique de confidentialité, section dédiée « Outils tiers » : tableau listant chaque outil (Google Analytics, Mailchimp, Calendly, HubSpot, Cloudflare) avec finalité et localisation des serveurs.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations considèrent que choisir un fournisseur reconnu (Google, Mailchimp, HubSpot) suffit pour la conformité — au motif que ces grandes entreprises ont nécessairement des mesures de sécurité robustes.

Résultat :

Aucune EFVP documentée — l'obligation d'évaluation préalable n'est pas remplie
Aucune entente écrite spécifique — les CGU acceptées en ligne ne suffisent pas
Le régime juridique américain (CLOUD Act) n'a pas été évalué dans le contexte de l'article 17 alinéa 4
La politique ne mentionne pas l'outil — non-conformité à l'article 8 et au guide CAI politique

La réputation du fournisseur ne remplace pas la traçabilité de votre évaluation.

Deux réalités possibles

✗ Sans encadrement

EFVP absente
CGU acceptées en ligne uniquement
Localisation des serveurs inconnue
Régime juridique étranger non évalué
Outils oubliés dans la politique

✓ Avec encadrement

EFVP datée pour chaque outil
DPA ou MSA confidentialité signé
Localisation documentée
Régime juridique étranger évalué
Outils tous nommés dans la politique

Exemples d'application concrète

EFVP allégée (1-2 pages) pour un outil typique

Pour la majorité des PME, une EFVP de 1-2 pages par outil suffit. Structure type :

Identification du projet (nom de l'outil, finalité, date)
Données concernées (catégories, sensibilité)
Localisation des serveurs et régime juridique
Mesures de protection (techniques + contractuelles)
Décision motivée (déployer / ne pas déployer / conditions à respecter)
Suivi prévu (révision annuelle, en cas de changement)

Choisir un hébergeur québécois quand c'est possible

Pour un site WordPress de PME, héberger chez WHC (Beauharnois, QC), Cyber-net ou Hostpapa Canada réduit considérablement la portée des obligations de l'article 17. Les données restent au Canada — pas d'EFVP de transfert nécessaire pour l'hébergement principal. L'EFVP reste requise pour les autres outils (analytics, infolettre, RDV).

Le CLOUD Act et son implication pour les serveurs européens

Le CLOUD Act américain (2018) permet aux autorités américaines d'exiger des données détenues par des fournisseurs incorporés aux États-Unis — même si les serveurs sont en Europe ou au Canada. Choisir « la région UE » d'un outil américain ne supprime donc pas entièrement le risque juridique américain. Cet élément doit être intégré à l'analyse du « régime juridique applicable » de l'article 17 alinéa 4.

Risques en cas de non-conformité

Sanctions juridiques

Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
Ordonnance de la CAI — obligation de cesser un transfert, de produire les EFVP manquantes, de modifier les ententes
Action privée — recours d'une personne ayant subi un préjudice du fait d'un transfert sans encadrement
Impact sur les contrats B2B — clauses de gouvernance des données dans les contrats publics et privés

Coûts opérationnels

Mise en conformité réactive sous pression d'un audit B2B (4-8 semaines en moyenne)
Possibilité de devoir cesser un outil en cours de campagne marketing
Communication aux clients en cas d'incident chez un fournisseur — sans cadre contractuel pour répartir la responsabilité
Pertes commerciales lors d'évaluations fournisseur où la conformité PRP est notée

Une note d'EFVP de 1-2 pages par outil prévient ces coûts — elle ne les crée pas.

Concrètement pour une PME

Sans EFVP ni encadrement contractuel des outils tiers :

Chaque transfert hors Québec se fait sans la base légale de l'article 17
Chaque incident chez un fournisseur expose l'organisation sans couverture contractuelle
Chaque processus B2B avec un donneur d'ouvrage rigoureux est ralenti

Le coût vient de l'absence d'évaluation — pas du choix de l'outil.

Lien avec la gouvernance PRP

Le cadre des sous-traitants et la démarche EFVP sont traités en profondeur dans la Formation Gouvernance PRP, modules Sous-traitants et DPA et EFVP de base. Ce module-ci se concentre sur l'application web concrète : grille d'évaluation par outil typique, clauses minimales à exiger, format d'EFVP allégée pour les PME, choix d'hébergeur.

🛡️ Diagnostic rapide

Trois questions pour évaluer la conformité de vos outils tiers :

Avez-vous une EFVP datée pour chaque outil tiers actif sur votre site?
Avez-vous une entente écrite spécifique (DPA, SCC ou MSA confidentialité) signée avec chaque fournisseur?
Chaque outil tiers est-il nommé dans votre politique avec sa localisation?

Si non à une seule, vous êtes probablement en non-conformité avec l'article 17 — peu importe la taille de l'organisation.

Faire auditer mon site web →

Concrètement

Vos obligations existent dès qu'un seul outil tiers reçoit des renseignements personnels pour votre compte.
Mais sans EFVP ni entente écrite, vos transferts sont juridiquement indéfendables — même si l'outil est par ailleurs sécuritaire.
Ce qui transforme la situation théorique en exposition réelle, c'est le premier audit B2B, le premier incident chez un fournisseur, ou la première vérification CAI.

La Formation Site web et Loi 25 traite ce module avant les cookies parce que les cookies sont déposés par les outils tiers. Comprendre les outils en premier rend la mécanique des cookies plus claire.

En résumé

Article 17 — EFVP obligatoire avant transfert hors Québec + entente écrite spécifique.
Article 3.3 — EFVP obligatoire pour tout projet de système d'information avec données personnelles.
Le guide CAI EFVP avril 2024 propose une démarche en 6 étapes.
Le CLOUD Act peut s'appliquer même aux serveurs européens d'un fournisseur américain.

Pour la version pratique

Tableau des outils typiques avec localisation, démarche EFVP simplifiée en 6 étapes, choix d'hébergeur?

Voir le guide pratique →

Évaluer la conformité de vos outils tiers

L'audit de visibilité publique Loi 25 inventorie les outils tiers actifs sur votre site, vérifie leur mention dans la politique et identifie les transferts non encadrés.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.