Les CGU acceptées en ligne suffisent-elles comme DPA sous la Loi 25?

Non. Les articles 17 et 18.3 de la Loi 25 exigent une entente écrite spécifique qui tient compte des résultats de l'EFVP et des modalités convenues pour atténuer les risques. Les CGU standard ne contiennent pas ces éléments. Une organisation doit signer un DPA spécifique ou intégrer une section confidentialité au contrat de service avec chaque fournisseur traitant des renseignements personnels.

Choisir une région canadienne supprime-t-il les obligations de l'article 17?

Non. La résidence canadienne réduit la portée mais ne supprime pas l'obligation. Le CLOUD Act américain s'applique aux filiales et bureaux d'une société américaine, même si les serveurs sont au Canada. L'article 17 alinéa 4 exige d'évaluer le régime juridique applicable, qui inclut cette possibilité de réquisition extraterritoriale.

Quelle est la différence entre stockage et traitement des données?

Le stockage est le maintien des données au repos dans un centre de données. Le traitement est l'opération active sur les données : recherche, indexation, calcul, affichage. La résidence des données chez Microsoft 365 ou Google Workspace gouverne le stockage au repos, mais certains traitements (recherche Gmail, indexation Drive, filtrage spam) peuvent transiter hors région. Cette distinction doit être analysée dans l'EFVP.

Que doit contenir un DPA conforme aux articles 17 et 18.3?

Au minimum : objet/durée/finalité, instructions écrites du responsable, confidentialité du personnel, mesures de sécurité précisées, encadrement des sous-traitants ultérieurs, assistance pour répondre aux droits des personnes, notification d'incidents avec délais, droit d'audit, localisation explicite, restitution ou suppression à la fin du contrat. L'article 18.3 exige aussi l'usage limité au contrat et la non-conservation après expiration.

Cette obligation s'applique-t-elle quel que soit l'environnement?

Oui. Toute organisation québécoise qui utilise des outils SaaS traitant des renseignements personnels est soumise aux articles 17 et 18.3, peu importe la stack technique (Mac, Windows, Linux, sur site, cloud, hybride). C'est l'activité de transfert qui crée l'obligation.

Formation Numérique · Module 2 · Exigences légales
Articles 17, 18.3, 3.3, 12

Localisation des données et DPA fournisseurs — Exigences Loi 25

Article 17 : EFVP avant transfert hors Québec et entente écrite. Article 18.3 : communication à un sous-traitant sans consentement permise sous condition de contrat écrit avec mesures de protection. Voici les obligations exactes.

Analyser mon infrastructure numérique Planifier l'accompagnement →

Contexte légal

La Loi 25 distingue deux situations qui se cumulent souvent dans la réalité d'une PME utilisant des SaaS : la communication à un sous-traitant (article 18.3) et la communication hors Québec (article 17). Les deux exigent une entente écrite spécifique avec mesures de protection détaillées. L'article 3.3 ajoute l'obligation d'EFVP avant tout projet d'acquisition de système — incluant les nouveaux fournisseurs SaaS.

Applicable à tout environnement. Les obligations s'appliquent indépendamment de la stack technique. Tout fournisseur SaaS traitant des renseignements personnels québécois est concerné.

Ce que vous devez retenir — version dirigeant

Article 17 — EFVP + entente écrite spécifique avant transfert hors Québec.
Article 18.3 — contrat écrit avec mesures de protection + usage limité + non-conservation pour communication à sous-traitant sans consentement.
Article 3.3 — EFVP avant adoption d'un nouveau fournisseur SaaS.
Le CLOUD Act subsiste même avec résidence canadienne chez un fournisseur américain.

Ce que ça implique pour votre organisation

Sans DPA spécifique, vos transferts sont juridiquement non encadrés — chaque incident chez un fournisseur vous expose seul.
Sans choix explicite de région, vous transférez par défaut hors Canada — EFVP plus complexe et plus coûteuse.
Sans EFVP avant adoption, vous violez l'article 3.3 dès l'ajout d'un nouveau fournisseur traitant des RP.

Ce que ça signifie concrètement pour vous

Le CLOUD Act n'est pas hypothétique : les autorités américaines peuvent légalement exiger des données détenues par un fournisseur américain, même hébergées au Canada.
Les CGU acceptées en ligne par un employé ne créent pas l'entente écrite spécifique exigée par les articles 17 et 18.3.
Une plainte ou un audit B2B révélant l'absence de DPA met l'organisation en situation indéfendable.

La réputation du fournisseur ne remplace pas la traçabilité contractuelle.

Cadre juridique applicable

Article 17 — Communication hors Québec

L'article 17 exige une EFVP avant tout transfert hors Québec, considérant : sensibilité du RP, finalité, mesures de protection (incluant contractuelles), cadre juridique applicable. La communication n'est permise que si l'évaluation démontre une protection adéquate, et doit faire l'objet d'une entente écrite. S'applique aussi aux filiales québécoises d'entreprises internationales communiquant des RP à leur siège social.

Article 18.3 — Communication à un sous-traitant sans consentement

L'article 18.3 permet la communication sans consentement si nécessaire à l'exécution d'un mandat ou contrat de service, à condition que le contrat écrit précise : les mesures de protection de la confidentialité, l'usage limité à l'exécution du contrat, la non-conservation après expiration.

Article 3.3 — EFVP pour projets de systèmes d'information

L'article 3.3 exige une EFVP avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels. L'adoption d'un nouveau fournisseur SaaS qui traitera des RP entre dans cette catégorie.

Article 12 — Utilisation aux fins déclarées

L'article 12 limite l'utilisation aux fins pour lesquelles les renseignements ont été recueillis. Cette limite doit être imposée contractuellement au fournisseur — sinon l'organisation perd le contrôle de l'usage des données qu'elle confie.

Les 10 clauses minimales d'un DPA conforme

Objet, durée, nature, finalité du traitement, types de RP, catégories de personnes
Instructions documentées du responsable — le sous-traitant ne traite que sur instruction écrite
Confidentialité du personnel — engagement de toute personne avec accès
Mesures de sécurité précisées — chiffrement, MFA, journalisation, sauvegardes
Sous-traitance ultérieure — autorisation, mêmes obligations, liste publique tenue à jour
Assistance — réponse aux droits d'accès/rectification/portabilité, EFVP, incidents, consultations CAI
Notification d'incident — délais (typiquement 24-72h), contenu, coopération
Droit d'audit — possibilité d'auditer ou de mandater un tiers
Localisation — pays de stockage, pays de traitement, sous-traitants ultérieurs
Restitution ou suppression — au choix du responsable, à la fin du contrat

Exemples concrets pour une PME

Obligation : EFVP avant transfert (art. 17) → Exemple PME : avant d'adopter HubSpot pour le CRM, EFVP de 2 pages : finalité, RP traités, localisation des serveurs (US), CLOUD Act applicable, DPA signé, mesures techniques (chiffrement, MFA), conclusion (protection adéquate avec DPA), date.

Obligation : contrat écrit sous-traitant (art. 18.3) → Exemple PME : téléchargement et signature du DPA Microsoft (Microsoft Products and Services DPA), conservation datée dans le dossier PRP, accessible aux audits.

Obligation : choix de région → Exemple PME : activation de Google Workspace Data Region Policy = Canada pour les éditions admissibles. M365 configuré sur tenant Canada Central. Documentation conservée du choix.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations considèrent que choisir un fournisseur réputé (Microsoft, Google, AWS) suffit, parce que ces grandes entreprises ont nécessairement des mesures robustes.

Aucune EFVP datée — l'obligation préalable n'est pas remplie
Aucun DPA signé spécifiquement — les CGU acceptées ne suffisent pas
Le CLOUD Act non évalué dans le contexte de l'article 17 alinéa 4
La région d'hébergement laissée au paramètre par défaut (souvent US)

La réputation du fournisseur ne remplace pas la traçabilité de votre évaluation.

Deux réalités possibles

✗ Sans encadrement

CGU acceptées en ligne uniquement
Région d'hébergement par défaut
EFVP absente
CLOUD Act non considéré
Responsabilité diffuse

✓ Avec encadrement

DPA signé et archivé
Résidence Canada activée
EFVP datée
CLOUD Act évalué
Responsabilités claires

Risques en cas de non-conformité

Sanctions juridiques

SAP (art. 90.12) — jusqu'à 10 M$ ou 2 % du CA mondial
Amende pénale (art. 91) — jusqu'à 25 M$ ou 4 % du CA mondial
Ordonnance de la CAI — cessation du transfert, production d'EFVP, modification d'ententes
Action privée de personnes ayant subi un préjudice du fait d'un transfert non encadré

Coûts opérationnels

Mise en conformité réactive sous pression d'audit B2B (4-8 semaines)
Possible suspension d'outils en cours de campagne marketing
Communications réputationnelles si l'écart devient public
Pertes commerciales B2B avec partenaires qui exigent les DPA et EFVP

Concrètement pour une PME :

Chaque fournisseur sans DPA est un risque non partagé
Chaque outil avec région par défaut transfère hors Canada par défaut
Chaque incident chez un fournisseur expose l'organisation sans couverture

Le coût vient de l'absence de cadre — pas du choix de l'outil.

Lien avec la gouvernance PRP

Le cadre des sous-traitants et de l'EFVP est traité dans la Formation Gouvernance PRP, modules Sous-traitants et DPA et EFVP de base. Ce module-ci se concentre sur l'application opérationnelle aux fournisseurs SaaS de l'organisation.

🛡️ Diagnostic rapide

Avez-vous un DPA signé pour chaque fournisseur SaaS traitant des RP?
La résidence des données est-elle configurée sur Canada quand l'option existe?
Avez-vous une EFVP datée par fournisseur, prenant en compte le CLOUD Act?

Analyser mon infrastructure numérique →

Concrètement

La Loi 25 ne vous interdit pas d'utiliser des fournisseurs SaaS américains. Elle vous oblige à choisir consciemment, à documenter votre choix, et à formaliser le cadre par DPA. Sans ces étapes, vos transferts sont juridiquement non encadrés — peu importe la qualité du fournisseur.

En résumé

Article 17 — EFVP + entente écrite spécifique avant transfert hors Québec.
Article 18.3 — contrat écrit avec mesures de protection pour communication à sous-traitant.
Résidence Canada disponible chez M365, Google Workspace, AWS — à activer.
CLOUD Act subsiste même avec résidence canadienne — EFVP requise.

Pour la version pratique

Comment choisir la région chez M365, Google Workspace, AWS, Slack, Zoom et signer un DPA?

Voir le guide pratique →

Évaluer vos fournisseurs SaaS

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.