Module 4 · Guide pratique · Gouvernance numérique pour dirigeants
Grille d'évaluation fournisseur SaaS

Évaluer un fournisseur SaaS avant de signer :
certifications, questionnaires, 7 questions Loi 25

Vous n'avez pas à devenir auditeur. Une grille courte suffit pour évaluer la solidité d'un fournisseur avant de signer — quelles certifications vérifier, quels documents exiger, quelles questions poser sous l'angle Loi 25. Ce guide vous donne le cadre minimal applicable à n'importe quel fournisseur SaaS ou infonuagique qui traitera vos renseignements personnels.

Planifier la formation ← Retour à la formation →

Chaque fois qu'une PME signe avec un fournisseur SaaS — outil de gestion, plateforme de facturation, CRM, logiciel RH — elle confie des renseignements à un tiers. La Loi 25 article 17 exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant le transfert. L'article 18 demande une protection équivalente. Comment vérifier que c'est le cas, concrètement, sans engager un consultant pour chaque achat? Avec une grille structurée — c'est l'objet de ce module.

Les certifications à vérifier en priorité

Une certification n'est jamais une garantie absolue — c'est un signal de maturité. Quatre références reviennent dans 90 % des évaluations de fournisseurs en 2026 :

  • SOC 2 Type II — rapport d'audit américain (encadré par l'AICPA — American Institute of Certified Public Accountants) qui couvre 6 à 15 mois de fonctionnement réel des contrôles. C'est la référence dominante pour les fournisseurs SaaS nord-américains. À demander sous entente de confidentialité (NDA), pas seulement la mention sur le site.
  • ISO 27001:2022 — certification internationale du système de gestion de la sécurité de l'information. Demander le certificat et la déclaration d'applicabilité (SoA) qui définit le périmètre couvert.
  • ISO 27701:2025 — depuis 2025, certifiable indépendamment d'ISO 27001. Spécifique à la protection des renseignements personnels — plus directement aligné avec la Loi 25 que SOC 2 ou ISO 27001 seuls.
  • Certifications sectorielles — PCI-DSS (Payment Card Industry Data Security Standard) si le fournisseur traite des données de paiement, HIPAA si vous opérez dans le secteur santé.

Note importante : SOC 2 et ISO 27001 ont environ 65-75 % de chevauchement de contrôles — un fournisseur sérieux peut détenir les deux à coût mutualisé. Une certification canadienne complémentaire à connaître : CyberSécuritaire Canada (CAN/DGSI 104), pertinente pour évaluer des fournisseurs PME canadiens.

Questionnaires types — la grille d'évaluation structurée

Quand un fournisseur ne détient pas (ou ne révèle pas) ses certifications, un questionnaire structuré devient l'outil de référence. Trois questionnaires sont reconnus dans l'industrie :

  • CAIQ-Lite (Cloud Security Alliance + Whistic) — version condensée du questionnaire de référence CAIQ. Couvre 71 questions sur 16 domaines en version 3.0.1, ou 138 questions en version 4.1. Téléchargeable gratuitement sur le site de la Cloud Security Alliance (cloudsecurityalliance.org). C'est le questionnaire le plus adapté pour une PME — complet sans être ingérable.
  • SIG (Standardized Information Gathering, par Shared Assessments) — 855 questions, ou 126 en version Lite. Plus adapté aux grandes entreprises qui évaluent beaucoup de fournisseurs.
  • VSAQ (Vendor Security Alliance Questionnaire) — questionnaire d'origine Google, volume variable, utilisé surtout quand exigé par un client ou un partenaire.

Recommandation pour une PME québécoise : utiliser CAIQ-Lite v3.0.1 (71 questions) comme grille standard pour tout fournisseur traitant des renseignements personnels. Téléchargeable gratuitement, applicable directement.

Les 5 documents à exiger avant signature

Pour tout fournisseur qui traitera des renseignements personnels (niveau Tier 1 — les plus sensibles), exigez par écrit ces cinq documents :

  • 1. Politique de sécurité du fournisseur — un document publié qui décrit l'approche du fournisseur en matière de sécurité. Si elle n'existe pas, c'est un signal d'alerte.
  • 2. Rapport SOC 2 Type II (sous NDA) ou certificat ISO 27001 + déclaration d'applicabilité — pas seulement la mention sur le site marketing. Le rapport ou le certificat avec sa portée précise.
  • 3. Liste des sous-traitants (sous-sous-traitants) et leur localisation — un fournisseur SaaS s'appuie souvent sur des hébergeurs (AWS, Azure, GCP), des outils tiers, des sous-traitants techniques. Cette chaîne doit être documentée.
  • 4. Entente de traitement des données (DPA — Data Processing Agreement) — le contrat spécifique qui couvre la finalité, la confidentialité, la liste des sous-traitants, la notification de bris, le droit d'audit, la conservation, la destruction et l'assistance EFVP. C'est l'instrument privilégié par le législateur québécois pour démontrer la protection équivalente.
  • 5. Procédure de notification d'incident — qui notifie qui, dans quel délai, par quel canal, avec quel niveau de détail. Critique pour respecter votre propre obligation Loi 25 article 3.5 (notifier la CAI et les personnes concernées en cas d'incident grave).

Les 7 questions Loi 25 à poser systématiquement

Au-delà des documents, sept questions doivent obtenir des réponses écrites avant signature — ces réponses font partie du dossier EFVP que votre organisation produit pour ce fournisseur :

  • 1. Localisation physique des données — région, centre de données précis. Pas « au Canada » mais bien « Canada Central (Toronto) » ou « Québec (Montréal) ».
  • 2. Sous-traitants et leur localisation — incluant le fournisseur d'hébergement sous-jacent. Pertinent surtout si certains sont sous CLOUD Act (Amazon, Google, Microsoft, etc.).
  • 3. Juridiction légale du fournisseur et des sous-traitants — pays d'incorporation, structure de propriété, exposition au CLOUD Act, à FISA 702, à d'autres régimes équivalents.
  • 4. Droit de sortie au format ouvert — vous pouvez récupérer toutes vos données dans un format standard exploitable, sans pénalité ni dépendance technique. C'est la mesure anti-verrouillage la plus importante.
  • 5. Durées de conservation et procédures de destruction — combien de temps les renseignements sont conservés après la fin du contrat, et quelle procédure documentée garantit leur destruction effective.
  • 6. Notification d'incident — délai contractuel et canal. La Loi 25 article 3.5 exige une notification « avec diligence » — pas un délai légal de 72 heures (le 72 h est un repère pratique de la CAI aligné avec le règlement européen, pas une obligation québécoise littérale).
  • 7. Droit d'audit du client — pouvez-vous (ou un mandataire) vérifier sur place ou sur pièces la mise en œuvre des engagements? Ce droit est rarement exercé mais sa présence dans le contrat est un levier juridique précieux.

Questions supplémentaires si le fournisseur intègre de l'intelligence artificielle

En 2026, la plupart des fournisseurs SaaS intègrent une dimension IA — assistant intelligent, automatisation, recommandation. Ces fonctions soulèvent des questions spécifiques qui doivent figurer dans la DPA, pas seulement dans la politique d'utilisation :

  • Les données du client sont-elles utilisées pour entraîner ou affiner les modèles?
  • Quelle est la durée de rétention des données soumises au modèle?
  • Les données soumises sont-elles partagées avec un tiers (OpenAI, Anthropic, AWS Bedrock, autre)?
  • L'IA prend-elle des décisions automatisées qui affectent des personnes? (Loi 25 art. 12.1 exige une information spécifique aux personnes concernées dans ce cas.)

Quand l'EFVP devient incontournable avant signature

Tous les fournisseurs ne demandent pas le même niveau de diligence. Comme repère pratique :

  • Fournisseur Tier 1 (traitement de renseignements personnels) — EFVP complète obligatoire, 5 documents exigés, 7 questions Loi 25 répondues par écrit, DPA signée.
  • Fournisseur Tier 2 (pas de renseignements personnels mais accès à des données d'entreprise) — questionnaire CAIQ-Lite, contrôle des certifications, contrat avec clauses de confidentialité.
  • Fournisseur Tier 3 (outils utilitaires sans accès à des données sensibles) — vérification de base, lecture des conditions d'utilisation, pas de processus EFVP formel.

Pièges à éviter

  • Se contenter du marketing fournisseur — la page Trust Center ou Compliance du site web est un point de départ, pas une preuve. Demander les rapports d'audit eux-mêmes, sous entente de confidentialité.
  • Oublier le droit de sortie — beaucoup de PME signent sans vérifier qu'elles peuvent récupérer leurs données dans un format ouvert exploitable. Le réveil arrive le jour où elles veulent changer de fournisseur.
  • Signer sans entente de traitement des données — un contrat de service commercial standard ne couvre quasiment jamais les obligations Loi 25 article 17 et 18. La DPA est un addendum spécifique.
  • Évaluer à la signature et oublier après — un fournisseur évolue : nouveau sous-traitant, nouvelle fonction IA, changement de juridiction. Réévaluation annuelle minimale recommandée.
  • Confondre certification SOC 2 Type I et Type II — Type I est une photo ponctuelle (un jour donné). Type II couvre 6 à 15 mois de fonctionnement réel — c'est la référence à exiger pour les décisions importantes.

En résumé

Évaluer un fournisseur SaaS, c'est appliquer une grille structurée — pas devenir auditeur. Quatre certifications de référence (SOC 2 Type II, ISO 27001:2022, ISO 27701:2025, certifications sectorielles), un questionnaire éprouvé (CAIQ-Lite, 71 questions), cinq documents à exiger, sept questions Loi 25 obligatoires, plus des questions IA si applicable. Le dossier ainsi constitué devient la preuve documentaire de votre diligence Loi 25 articles 17 et 18 — et vous protège le jour où la CAI demande pourquoi tel fournisseur a été retenu.

Passer à la suite de la formation

Le module 4 vous donne la grille d'évaluation fournisseurs. Le module 5 referme la boucle — comment équiper et soutenir vos employés pour que la sécurité devienne un travail d'équipe, pas une surveillance.

← Retour à la formation Planifier la formation