Module 5 · Guide pratique · Formation Gouvernance PRP
Sous-traitants et DPA — mode « quand, pourquoi, base »

Sous-traitants et DPA selon la Loi 25 —
quand, pourquoi, comment démarrer?

Chaque sous-traitant qui manipule des renseignements personnels est un prolongement de votre organisation — et votre responsabilité. Ce guide aide à identifier vos sous-traitants et à poser les bases d'encadrement par DPA.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Les PME québécoises confient aujourd'hui une grande partie de leurs traitements de renseignements personnels à des sous-traitants — hébergement infonuagique, comptabilité externe, CRM, services TI, outils marketing. Chacun de ces prestataires devient un prolongement de votre organisation aux yeux de la Loi 25. Ce module présente l'essentiel : comment identifier vos sous-traitants, quand un DPA est requis, et quoi inclure dans les ententes de base. L'approfondissement des cas complexes est couvert dans une formation dédiée.

Ce que ça signifie concrètement pour un dirigeant

Si un de vos sous-traitants subit un incident touchant vos données :

  • c'est votre organisation qui est responsable devant la CAI, pas le sous-traitant seul ;
  • c'est à vous de notifier les personnes concernées et de gérer la crise ;
  • sans DPA, vous n'avez aucun levier contractuel pour exiger des mesures correctives.

Le sous-traitant exécute — mais c'est votre nom qui apparaît dans les décisions publiques.

Qu'est-ce qu'un sous-traitant au sens de la Loi 25?

Un sous-traitant est un tiers qui traite des renseignements personnels pour votre compte — pas pour son propre compte. Cela inclut hébergeurs, fournisseurs SaaS, comptables externes, services TI, outils de marketing, bureaux de paie, agences de recrutement, etc.

Comment identifier vos sous-traitants

Une PME type a entre 10 et 30 sous-traitants qui traitent des renseignements personnels — souvent sans que ce soit formellement identifié. Voici les catégories à examiner :

  • Infonuagique / hébergement — hébergeur du site web, du courriel, des fichiers (Google Workspace, Microsoft 365, Dropbox).
  • Outils de gestion — CRM (ex. HubSpot, Zoho), ERP, outils de comptabilité (QuickBooks, Acomba), paie.
  • Services professionnels externes — comptable, avocat, RH, consultants qui traitent vos données.
  • Marketing et communications — plateformes d'envoi courriel (Mailchimp, Constant Contact), analytics, réseaux sociaux.
  • Services TI — maintenance informatique, sauvegarde, support technique.
  • Prestataires spécifiques — call center, service de destruction, numérisation, transcription.

Pour chaque catégorie, listez les fournisseurs actifs et indiquez s'ils accèdent à des renseignements personnels.

Quand un DPA est-il requis?

Un DPA (Data Protection Agreement, ou entente de protection des données) est attendu dès qu'un sous-traitant :

  • Traite des renseignements personnels pour votre compte — peu importe le volume.
  • A accès à vos bases ou systèmes contenant des RP.
  • Stocke vos données (hébergement, sauvegarde).
  • Transmet vos données à d'autres parties pour votre compte.

En pratique : si un simple accord verbal ou un contrat commercial générique ne mentionne ni la protection des RP, ni les incidents, ni la destruction des données en fin de mandat — il faut un DPA en complément.

🎯 Vos sous-traitants sont-ils encadrés?

  • Avez-vous un inventaire des sous-traitants qui traitent des RP?
  • Chaque sous-traitant principal a-t-il signé un DPA ou une entente équivalente?
  • Savez-vous où sont localisés leurs serveurs (hors Québec notamment)?
  • Avez-vous un protocole si l'un d'eux a un incident?

Si non à une seule question, vous êtes probablement responsable de traitements que vous ne contrôlez pas — exposition directe en cas d'incident chez un fournisseur.

Sous-traitants non encadrés vs encadrés

❌ Non encadrés

  • Aucun inventaire des sous-traitants
  • Contrats commerciaux génériques
  • Aucun DPA spécifique aux RP
  • Transferts hors Québec non évalués
  • Aucun protocole d'incident conjoint

✅ Encadrés

  • Inventaire à jour et catégorisé
  • Contrats + DPA dédié aux RP
  • Clauses sur finalités, sécurité, incidents
  • Transferts évalués et documentés
  • Protocole de notification en cas d'incident

Clauses de base d'un DPA

Un DPA n'a pas à être long. Les 8 clauses minimales :

  • Finalités autorisées — le sous-traitant ne peut utiliser les données que pour la mission confiée.
  • Confidentialité — le sous-traitant et son personnel s'engagent à la confidentialité.
  • Mesures de sécurité — le sous-traitant applique des mesures techniques et organisationnelles raisonnables.
  • Sous-sous-traitance — encadrement des tiers à qui le sous-traitant confierait des tâches.
  • Transferts hors Québec — mention explicite si applicable, avec évaluation préalable.
  • Notification d'incident — obligation de prévenir votre organisation sans délai.
  • Assistance en cas de demande — coopération pour répondre aux demandes d'accès et aux incidents.
  • Restitution ou destruction des données en fin de contrat.

Comment mettre en place les DPA — démarche pas-à-pas

Encadrer les sous-traitants se construit en plusieurs vagues — pas en une seule séance. L'objectif est de couvrir d'abord les sous-traitants qui touchent les données les plus sensibles, puis d'étendre progressivement.

  1. Lister les sous-traitants à partir du registre des traitements. La colonne « destinataires externes / sous-traitants » du registre alimente directement cette liste — c'est pour ça que le registre se construit en premier.
  2. Prioriser par sensibilité et volume. Sous-traitants qui traitent des données sensibles (santé, finances détaillées, mineurs) ou de grands volumes en premier. Les outils courants à faible risque (signature électronique pour contrats internes par exemple) peuvent attendre.
  3. Vérifier les DPA déjà fournis. Les grands fournisseurs cloud (Microsoft 365, Google Workspace, AWS, etc.) proposent leurs propres DPA standards. Lire et évaluer s'ils couvrent les exigences Loi 25 — souvent oui pour les clauses techniques, parfois manquant sur les transferts hors Québec ou la notification d'incident.
  4. Préparer votre modèle de DPA à partir du template ci-dessous, à utiliser pour les sous-traitants qui n'en ont pas ou pour compléter les DPA standards insuffisants.
  5. Négocier ou faire signer. Pour les petits fournisseurs locaux, votre modèle s'impose facilement. Pour les grands fournisseurs cloud, c'est généralement leur modèle qu'on accepte — bien lire avant.
  6. Conserver les DPA signés dans un dossier dédié et référencer chaque DPA dans la colonne correspondante du registre des traitements.
  7. Réviser à chaque renouvellement de contrat ou changement substantiel (nouveau sous-traitant, nouvelle fonctionnalité, nouveau transfert hors Québec).

Template — Clause DPA commentée

Ce template peut être inséré dans un contrat de service existant ou utilisé comme entente autonome. Chaque article est suivi d'une note d'adaptation.

Entente de protection des renseignements personnels (DPA)

Entre [Nom de l'organisation] (« le responsable ») et [Nom du sous-traitant] (« le sous-traitant »), pour le traitement de renseignements personnels dans le cadre des services de [description courte].

💡 À adapter : identifier les deux parties clairement et nommer brièvement le service (ex. « hébergement de l'infolettre », « plateforme de paie », « stockage de documents »).

Article 1 — Objet et finalités autorisées

Le sous-traitant traite les renseignements personnels uniquement aux fins suivantes : [liste des finalités]. Toute autre utilisation, agrégation, revente ou enrichissement est interdit sans consentement écrit préalable du responsable.

💡 À adapter : finalités précises, alignées sur le registre des traitements. Plus l'objet est étroit, mieux vous êtes protégé.

Article 2 — Catégories de renseignements et de personnes

Le traitement couvre les catégories suivantes : [liste]. Les personnes concernées sont : [clients, employés, candidats, prospects].

💡 À adapter : reprendre les colonnes correspondantes de votre registre. Si des données sensibles (art. 12) sont incluses, le préciser explicitement.

Article 3 — Confidentialité et accès limité

Le sous-traitant s'engage à ce que toute personne ayant accès aux renseignements personnels soit liée par une obligation de confidentialité et n'y accède que dans la mesure nécessaire à l'exécution de la mission. Cet engagement survit à la fin du contrat.

💡 À adapter : standard, à conserver tel quel.

Article 4 — Mesures de sécurité

Le sous-traitant met en œuvre des mesures techniques et organisationnelles raisonnables : chiffrement des données en transit et au repos, contrôle d'accès par authentification forte, journalisation des accès, sauvegardes régulières, formation du personnel à la protection des renseignements personnels.

💡 À adapter : demander une preuve (certification ISO 27001, rapport SOC 2) pour les sous-traitants cloud. Pour les petits fournisseurs, demander une description écrite des mesures.

Article 5 — Sous-sous-traitance

Le sous-traitant ne peut confier le traitement à un tiers sans autorisation écrite préalable du responsable. La liste des sous-sous-traitants autorisés est annexée à la présente entente et mise à jour à chaque ajout.

💡 À adapter : pour les grands fournisseurs cloud, la liste des sous-sous-traitants est souvent publique et longue — accepter en annexe au lieu de négocier chaque ajout.

Article 6 — Localisation des données et transferts hors Québec

Les renseignements personnels sont conservés à [pays / région]. Tout transfert hors du Québec requiert une évaluation préalable (EFVP) par le responsable. Le sous-traitant fournit sur demande la liste à jour des localisations et des transferts effectués.

💡 À adapter : indiquer la localisation réelle. Si le fournisseur ne peut pas garantir une localisation canadienne, ce déclencheur d'EFVP est obligatoire (Loi 25 art. 17).

Article 7 — Notification d'incident de confidentialité

Le sous-traitant notifie le responsable de tout incident de confidentialité touchant ses renseignements personnels dans un délai maximal de [24-72 heures] suivant la prise de connaissance. La notification précise la nature, l'étendue, les catégories concernées et les mesures prises.

💡 À adapter : 24-72 h selon la sensibilité. Plus court pour les sous-traitants de données sensibles. Préciser le canal de notification (courriel dédié, formulaire d'urgence).

Article 8 — Assistance et coopération

Le sous-traitant coopère avec le responsable pour répondre aux demandes d'accès, de rectification, de retrait du consentement ou de portabilité dans un délai raisonnable, et lui fournit toute information requise en cas d'enquête de la CAI ou de litige.

💡 À adapter : ajouter un délai chiffré (généralement 15 jours ouvrables) si le sous-traitant gère beaucoup de données accessibles uniquement par lui (ex. plateforme RH externe).

Article 9 — Restitution ou destruction en fin de contrat

Au terme de la prestation, le sous-traitant restitue les renseignements personnels au responsable dans un format technologique structuré, ou les détruit de manière sécurisée selon la procédure documentée, au choix du responsable. La destruction est attestée par écrit.

💡 À adapter : exiger une attestation écrite de destruction — sans cela, vous ne pouvez pas démontrer que les données ont vraiment été éliminées.

Article 10 — Droit d'audit

Le responsable peut, sur préavis raisonnable, vérifier le respect des engagements du sous-traitant, soit directement, soit par un tiers indépendant. Les modalités sont convenues d'avance pour ne pas perturber l'opération du sous-traitant.

💡 À adapter : pour les grands fournisseurs cloud, accepter à la place les certifications (SOC 2, ISO 27001) et les rapports d'audit fournis annuellement.

Signatures

[Nom, titre, date, signature — responsable] | [Nom, titre, date, signature — sous-traitant]

💡 À adapter : conserver l'original signé avec les contrats de service. Référencer dans la colonne « DPA » du registre des traitements.

Quand passer à une expertise approfondie

Les bases couvertes par ce module suffisent pour la majorité des PME avec des sous-traitants standards (SaaS courants, services professionnels québécois). Une expertise approfondie est recommandée si :

  • vous transférez des RP vers l'étranger (États-Unis, Europe, Asie) — évaluation des transferts obligatoire ;
  • vous utilisez des outils d'intelligence artificielle qui traitent des RP ;
  • vous avez des sous-traitants en chaîne (votre sous-traitant sous-traite à son tour) ;
  • votre secteur a des exigences particulières (santé, finance).

Dans ces cas, une formation dédiée ou un mandat de conseil spécifique sont plus appropriés qu'un DPA standard.

Erreurs fréquentes à éviter

  • Supposer que le contrat commercial suffit — un contrat de service ne couvre généralement pas les obligations PRP.
  • Se fier au DPA générique du fournisseur — souvent orienté RGPD ou lois étrangères, pas Loi 25.
  • Oublier les petits prestataires — une adjointe virtuelle qui accède à vos courriels est un sous-traitant.
  • Aucun suivi des transferts hors Québec — serveurs aux États-Unis sans évaluation.
  • Pas de protocole d'incident — le sous-traitant ne sait pas qui prévenir ni comment chez vous.

Ce que la Loi 25 implique concrètement

  • Identifier les sous-traitants qui traitent des RP pour votre compte.
  • Encadrer par contrat — DPA ou équivalent, avec clauses minimales.
  • Évaluer les transferts hors Québec — EFVP préalable obligatoire.
  • Être notifié en cas d'incident chez le sous-traitant.
  • Documenter les ententes et révisions dans le registre des traitements.

Pourquoi c'est critique

Sans DPA, votre organisation est exposée de trois façons :

  • Vous êtes responsable de ce que fait votre sous-traitant avec vos données.
  • Vous n'avez aucun levier contractuel en cas d'incident chez lui.
  • Votre démonstration de diligence est impossible faute d'encadrement écrit.

Sans DPA, votre sous-traitant est votre angle mort — vous êtes responsable de ce que vous ne voyez pas.

Concrètement pour une PME

Sans encadrement de vos sous-traitants :

  • chaque incident chez un fournisseur devient votre incident sans préavis ;
  • vous gérez la crise en urgence, sans pouvoir exiger la coopération ;
  • votre réputation dépend de pratiques que vous ne contrôlez pas.

Le coût vient de l'angle mort — pas de l'encadrement.

En résumé

Définition : Un sous-traitant traite des RP pour votre compte. La Loi 25 exige un encadrement contractuel (DPA) dès qu'il accède à des RP.

3 faits clés

  • Vous êtes responsable de ce que font vos sous-traitants avec vos données
  • 8 clauses minimales dans un DPA suffisent pour la plupart des cas
  • Les transferts hors Québec exigent une évaluation préalable distincte

👉 Action : Faites l'inventaire de vos sous-traitants cette semaine. Identifiez ceux qui ont accès à des RP. Commencez par un DPA avec les 3-5 principaux.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales d'encadrement des sous-traitants, les clauses obligatoires et les risques en cas de non-conformité.

Sous-traitants selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une seule question,
vous êtes probablement responsable de traitements que vous ne contrôlez pas — exposition directe dès qu'un de vos fournisseurs a un incident.

Pas certain que vos sous-traitants sont correctement encadrés?
L'Analyse gouvernance PRP évalue l'encadrement des sous-traitants et les transferts.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)