Module 5 · Guide pratique · Formation Gouvernance PRP
Sous-traitants et DPA — mode « quand, pourquoi, base »

Sous-traitants et DPA selon la Loi 25 —
quand, pourquoi, comment démarrer?

Chaque sous-traitant qui manipule des renseignements personnels est un prolongement de votre organisation — et votre responsabilité. Ce guide aide à identifier vos sous-traitants et à poser les bases d'encadrement par DPA.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Les PME québécoises confient aujourd'hui une grande partie de leurs traitements de renseignements personnels à des sous-traitants — hébergement infonuagique, comptabilité externe, CRM, services TI, outils marketing. Chacun de ces prestataires devient un prolongement de votre organisation aux yeux de la Loi 25. Ce module présente l'essentiel : comment identifier vos sous-traitants, quand un DPA est requis, et quoi inclure dans les ententes de base. L'approfondissement des cas complexes est couvert dans une formation dédiée.

Ce que ça signifie concrètement pour un dirigeant

Si un de vos sous-traitants subit un incident touchant vos données :

  • c'est votre organisation qui est responsable devant la CAI, pas le sous-traitant seul ;
  • c'est à vous de notifier les personnes concernées et de gérer la crise ;
  • sans DPA, vous n'avez aucun levier contractuel pour exiger des mesures correctives.

Le sous-traitant exécute — mais c'est votre nom qui apparaît dans les décisions publiques.

Qu'est-ce qu'un sous-traitant au sens de la Loi 25?

Un sous-traitant est un tiers qui traite des renseignements personnels pour votre compte — pas pour son propre compte. Cela inclut hébergeurs, fournisseurs SaaS, comptables externes, services TI, outils de marketing, bureaux de paie, agences de recrutement, etc.

Comment identifier vos sous-traitants

Une PME type a entre 10 et 30 sous-traitants qui traitent des renseignements personnels — souvent sans que ce soit formellement identifié. Voici les catégories à examiner :

  • Infonuagique / hébergement — hébergeur du site web, du courriel, des fichiers (Google Workspace, Microsoft 365, Dropbox).
  • Outils de gestion — CRM (ex. HubSpot, Zoho), ERP, outils de comptabilité (QuickBooks, Acomba), paie.
  • Services professionnels externes — comptable, avocat, RH, consultants qui traitent vos données.
  • Marketing et communications — plateformes d'envoi courriel (Mailchimp, Constant Contact), analytics, réseaux sociaux.
  • Services TI — maintenance informatique, sauvegarde, support technique.
  • Prestataires spécifiques — call center, service de destruction, numérisation, transcription.

Pour chaque catégorie, listez les fournisseurs actifs et indiquez s'ils accèdent à des renseignements personnels.

Quand un DPA est-il requis?

Un DPA (Data Protection Agreement, ou entente de protection des données) est attendu dès qu'un sous-traitant :

  • Traite des renseignements personnels pour votre compte — peu importe le volume.
  • A accès à vos bases ou systèmes contenant des RP.
  • Stocke vos données (hébergement, sauvegarde).
  • Transmet vos données à d'autres parties pour votre compte.

En pratique : si un simple accord verbal ou un contrat commercial générique ne mentionne ni la protection des RP, ni les incidents, ni la destruction des données en fin de mandat — il faut un DPA en complément.

🎯 Vos sous-traitants sont-ils encadrés?

  • Avez-vous un inventaire des sous-traitants qui traitent des RP?
  • Chaque sous-traitant principal a-t-il signé un DPA ou une entente équivalente?
  • Savez-vous où sont localisés leurs serveurs (hors Québec notamment)?
  • Avez-vous un protocole si l'un d'eux a un incident?

Si non à une seule question, vous êtes probablement responsable de traitements que vous ne contrôlez pas — exposition directe en cas d'incident chez un fournisseur.

Sous-traitants non encadrés vs encadrés

❌ Non encadrés

  • Aucun inventaire des sous-traitants
  • Contrats commerciaux génériques
  • Aucun DPA spécifique aux RP
  • Transferts hors Québec non évalués
  • Aucun protocole d'incident conjoint

✅ Encadrés

  • Inventaire à jour et catégorisé
  • Contrats + DPA dédié aux RP
  • Clauses sur finalités, sécurité, incidents
  • Transferts évalués et documentés
  • Protocole de notification en cas d'incident

Clauses de base d'un DPA

Un DPA n'a pas à être long. Les 8 clauses minimales :

  • Finalités autorisées — le sous-traitant ne peut utiliser les données que pour la mission confiée.
  • Confidentialité — le sous-traitant et son personnel s'engagent à la confidentialité.
  • Mesures de sécurité — le sous-traitant applique des mesures techniques et organisationnelles raisonnables.
  • Sous-sous-traitance — encadrement des tiers à qui le sous-traitant confierait des tâches.
  • Transferts hors Québec — mention explicite si applicable, avec évaluation préalable.
  • Notification d'incident — obligation de prévenir votre organisation sans délai.
  • Assistance en cas de demande — coopération pour répondre aux demandes d'accès et aux incidents.
  • Restitution ou destruction des données en fin de contrat.

Quand passer à une expertise approfondie

Les bases couvertes par ce module suffisent pour la majorité des PME avec des sous-traitants standards (SaaS courants, services professionnels québécois). Une expertise approfondie est recommandée si :

  • vous transférez des RP vers l'étranger (États-Unis, Europe, Asie) — évaluation des transferts obligatoire ;
  • vous utilisez des outils d'intelligence artificielle qui traitent des RP ;
  • vous avez des sous-traitants en chaîne (votre sous-traitant sous-traite à son tour) ;
  • votre secteur a des exigences particulières (santé, finance).

Dans ces cas, une formation dédiée ou un mandat de conseil spécifique sont plus appropriés qu'un DPA standard.

Erreurs fréquentes à éviter

  • Supposer que le contrat commercial suffit — un contrat de service ne couvre généralement pas les obligations PRP.
  • Se fier au DPA générique du fournisseur — souvent orienté RGPD ou lois étrangères, pas Loi 25.
  • Oublier les petits prestataires — une adjointe virtuelle qui accède à vos courriels est un sous-traitant.
  • Aucun suivi des transferts hors Québec — serveurs aux États-Unis sans évaluation.
  • Pas de protocole d'incident — le sous-traitant ne sait pas qui prévenir ni comment chez vous.

Ce que la Loi 25 implique concrètement

  • Identifier les sous-traitants qui traitent des RP pour votre compte.
  • Encadrer par contrat — DPA ou équivalent, avec clauses minimales.
  • Évaluer les transferts hors Québec — EFVP préalable obligatoire.
  • Être notifié en cas d'incident chez le sous-traitant.
  • Documenter les ententes et révisions dans le registre des traitements.

Pourquoi c'est critique

Sans DPA, votre organisation est exposée de trois façons :

  • Vous êtes responsable de ce que fait votre sous-traitant avec vos données.
  • Vous n'avez aucun levier contractuel en cas d'incident chez lui.
  • Votre démonstration de diligence est impossible faute d'encadrement écrit.

Sans DPA, votre sous-traitant est votre angle mort — vous êtes responsable de ce que vous ne voyez pas.

Concrètement pour une PME

Sans encadrement de vos sous-traitants :

  • chaque incident chez un fournisseur devient votre incident sans préavis ;
  • vous gérez la crise en urgence, sans pouvoir exiger la coopération ;
  • votre réputation dépend de pratiques que vous ne contrôlez pas.

Le coût vient de l'angle mort — pas de l'encadrement.

En résumé

Définition : Un sous-traitant traite des RP pour votre compte. La Loi 25 exige un encadrement contractuel (DPA) dès qu'il accède à des RP.

3 faits clés

  • Vous êtes responsable de ce que font vos sous-traitants avec vos données
  • 8 clauses minimales dans un DPA suffisent pour la plupart des cas
  • Les transferts hors Québec exigent une évaluation préalable distincte

👉 Action : Faites l'inventaire de vos sous-traitants cette semaine. Identifiez ceux qui ont accès à des RP. Commencez par un DPA avec les 3-5 principaux.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales d'encadrement des sous-traitants, les clauses obligatoires et les risques en cas de non-conformité.

Sous-traitants selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une seule question,
vous êtes probablement responsable de traitements que vous ne contrôlez pas — exposition directe dès qu'un de vos fournisseurs a un incident.

Pas certain que vos sous-traitants sont correctement encadrés?
L'Analyse gouvernance PRP évalue l'encadrement des sous-traitants et les transferts.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)