Formation Site web · Module 4 · Guide pratique
Évaluer chaque outil avant de le déployer

Google Analytics, Mailchimp, Calendly — peut-on les utiliser sous la Loi 25?

La Loi 25 n'interdit pas les outils SaaS hors Québec. Elle exige une évaluation préalable (EFVP), une entente écrite et une mention dans la politique. Sans ces étapes, chaque outil actif sur votre site est un sous-traitant invisible — donc indéfendable.

Faire auditer mon site web Planifier la formation pour mon équipe →

La majorité des sites de PME québécoises utilisent une dizaine d'outils tiers : hébergeur, plugin de formulaire, outil d'infolettre, analytics, prise de rendez-vous, clavardage, CRM. La plupart ont leurs serveurs aux États-Unis ou ailleurs hors du Québec. La Loi 25 ne les interdit pas — mais elle impose un encadrement précis : évaluation préalable (EFVP), entente écrite, mention dans la politique. Sans ces trois éléments, vous êtes exposé à des constats simples lors d'un audit : « Pourquoi avez-vous transféré ces données aux États-Unis sans évaluer si la protection y était adéquate? »

Applicable à tout site web. Les outils tiers cités (Google Analytics, Mailchimp, Calendly, HubSpot) sont indépendants du CMS — ils s'utilisent avec WordPress, Wix, Shopify, Squarespace, Webflow ou un site sur mesure. Les obligations s'appliquent à toute organisation québécoise qui les déploie, peu importe la plateforme du site.

Définition

Un outil tiers est un service externe (SaaS, API, plugin, hébergeur) qui reçoit, traite ou stocke des renseignements personnels pour le compte de votre organisation. Un transfert hors Québec a lieu dès que les données quittent le territoire québécois — ce qui inclut la majorité des outils SaaS américains, européens ou asiatiques utilisés par les PME.

Les outils tiers typiques d'un site PME et leurs implications

Voici les outils que vous trouverez sur la plupart des sites de PME québécoises, avec leur localisation et l'implication Loi 25 :

Outil	Fonction	Localisation
Google Analytics 4	Analytics	États-Unis
Meta Pixel	Tracking pub	États-Unis
Mailchimp	Infolettre	États-Unis
Calendly	RDV en ligne	États-Unis
HubSpot	CRM/marketing	EU/US/Canada (selon plan)
Cloudflare	CDN/sécurité	Mondiale
WHC (Web Hosting Canada)	Hébergement	Canada (Beauharnois QC)
WP Engine, Kinsta, SiteGround	Hébergement WP managé	US/EU principalement

L'EFVP web simplifiée — six étapes

Pour chaque outil tiers, l'évaluation des facteurs relatifs à la vie privée (EFVP) imposée par les articles 17 et 3.3 de la Loi 25 peut se faire en six étapes proportionnées à la sensibilité des données :

Inventaire — quel outil, quelle fonction, qui l'a installé, qui le maintient.
Localisation — où sont les serveurs (politique du fournisseur, contrat, page « Data centers »).
Sensibilité — quelles catégories de renseignements transitent (nom + courriel ≠ santé ≠ biométrie).
Régime juridique — quel cadre s'applique au pays d'hébergement (US = CLOUD Act, UE = RGPD, Canada = LPRPDE).
Mesures contractuelles — DPA (Data Processing Agreement), SCC (Standard Contractual Clauses), section confidentialité du MSA.
Décision — protection adéquate? Si oui : procéder + entente écrite + mention politique. Si non : ne pas déployer ou rapatrier.

Le résultat de cette EFVP doit être documenté. Une note de 1-2 pages par outil suffit pour la majorité des cas — l'objectif est la traçabilité, pas la longueur.

Ce que ça veut dire concrètement

Si vos outils tiers ne sont pas évalués :

Chaque transfert hors Québec se fait sans la base légale exigée par l'article 17 — collecte conforme techniquement, mais transfert non conforme.
Vous n'avez aucune entente écrite avec votre fournisseur — situation indéfendable lors d'un audit.
Votre politique de confidentialité ne peut pas être complète, parce qu'elle ne nomme pas les outils que vous n'avez pas inventoriés.

Ce que ça signifie concrètement pour un dirigeant

Chaque outil non encadré est un sous-traitant invisible qui traite des données pour votre compte sans cadre.
Si l'un de ces outils subit une fuite, vous êtes responsable du transfert que vous n'avez pas évalué — votre fournisseur, lui, est protégé par son contrat.
Le CLOUD Act américain permet aux autorités US d'exiger des données détenues par les fournisseurs américains, même hors US. C'est un facteur du régime juridique à considérer dans l'EFVP.

L'outil n'est pas le problème. L'absence d'évaluation l'est.

🎯 Diagnostic rapide : vos outils tiers sont-ils encadrés?

Trois questions, vérifiables sans aide technique :

Pour chaque outil tiers actif sur votre site, avez-vous une note d'évaluation (EFVP) datée?
Avez-vous une entente écrite (DPA ou MSA avec section confidentialité) signée avec chaque fournisseur?
Chaque outil tiers est-il nommé dans votre politique de confidentialité avec sa localisation?

Si un seul élément manque pour un seul outil, vous êtes en non-conformité avec l'article 17 — peu importe la taille de l'organisation.

Dans la réalité des PME québécoises

📋 Aucune EFVP existante. Les outils ont été installés au fil du temps par des webmestres successifs ou des employés marketing. Personne n'a documenté l'évaluation préalable.

📑 Aucune entente écrite. Le compte Mailchimp, Calendly ou Google Analytics a été créé avec un courriel d'employé. Les conditions générales acceptées en ligne ne constituent pas une entente écrite spécifique aux exigences de l'article 17.

🔍 Outils oubliés dans la politique. La politique de confidentialité parle vaguement de « cookies » et « partenaires », sans nommer les outils précis. Tout audit révèle l'écart en quelques minutes.

Cas réel simplifié

Une PME québécoise utilise sur son site : WordPress hébergé chez WP Engine (US), Mailchimp pour l'infolettre, Calendly pour les RDV, Google Analytics 4, et un widget Tidio pour le clavardage.

Contexte :

Chaque outil a été déployé par un webmestre différent au fil de 3 ans
Aucune EFVP n'a été menée pour aucun
Aucun DPA n'a été signé spécifiquement
La politique de confidentialité parle de « cookies analytiques » sans plus

Résultat lors d'un audit B2B (donneur d'ouvrage gouvernemental) :

Le donneur d'ouvrage demande la liste des outils + EFVP + DPA pour chacun
L'organisation a 5 outils actifs, 0 EFVP, 0 DPA
Le contrat est mis en attente le temps de produire la documentation
4 semaines de retard, perte d'opportunité commerciale

Cinq outils non documentés = quatre semaines de mise en conformité réactive.

Quatre croyances erronées sur les outils tiers

« Si l'outil est gratuit ou peu utilisé, l'évaluation n'est pas nécessaire. » Faux. L'obligation découle de la collecte et du transfert, pas du modèle économique ni du volume.
« Accepter les conditions générales en ligne fait office d'entente écrite. » Faux. L'article 17 exige une entente écrite qui tient compte des résultats de l'évaluation et des modalités convenues. Les CGU standard ne contiennent pas ces éléments.
« Si on choisit la région UE de l'outil, on évite le transfert. » Partiellement faux. La donnée reste hors Québec et soumise au cadre européen — qui n'est pas équivalent à la Loi 25 selon une analyse rigoureuse. De plus, le CLOUD Act peut s'appliquer même aux serveurs européens d'un fournisseur américain.
« Notre webmestre a installé l'outil, c'est lui qui en répond. » Faux. Le webmestre peut être responsable techniquement, mais c'est l'organisation qui est juridiquement responsable du transfert et de l'EFVP.

Un outil tiers non évalué est un sous-traitant invisible — donc indéfendable.

Outils non encadrés / Outils encadrés

✗ Outils non encadrés

Aucune EFVP datée
Aucun DPA signé
Outils non nommés dans la politique
Localisation des serveurs inconnue
Responsabilité diffuse en cas d'incident

✓ Outils encadrés

EFVP documentée (1-2 pages par outil)
DPA ou MSA section confidentialité
Outils nommés + localisation publiée
Cartographie des transferts à jour
Responsabilités claires en cas d'incident

Ce que la Loi 25 implique concrètement

Article 17 — EFVP obligatoire avant tout transfert hors Québec, entente écrite avec le destinataire, évaluation de la protection adéquate.
Article 3.3 — EFVP pour tout projet d'acquisition, de développement ou de refonte de système d'information impliquant des renseignements personnels. Proportionnée à la sensibilité.
Article 8 — la possibilité de communication hors Québec doit être mentionnée dans l'avis de collecte (vu au module 3).
Guide CAI EFVP avril 2024 — démarche en 6 étapes, modèle de rapport disponible.

Pourquoi c'est critique

C'est ce qu'un partenaire B2B vérifie. Les processus d'évaluation des fournisseurs intègrent désormais la liste des sous-traitants et leur encadrement.
C'est le sujet le plus exposé en cas d'incident chez un fournisseur. Si Mailchimp subit une fuite, vous êtes en première ligne juridiquement.
C'est le module qui structure votre relation avec votre webmestre. Sans cadre, chaque ajout d'outil crée une non-conformité.

Concrètement pour une PME

Sans EFVP ni encadrement des outils tiers :

Chaque audit B2B se transforme en projet de mise en conformité réactive
Chaque incident chez un fournisseur vous expose sans couverture contractuelle
Chaque ajout d'outil crée une non-conformité supplémentaire invisible

Le coût vient de l'absence d'évaluation — pas du choix de l'outil.

En résumé

Définition : un outil tiers est un service externe qui traite des données pour vous. Sa simple utilisation déclenche l'obligation d'EFVP et d'entente écrite si les serveurs sont hors Québec.

Trois faits clés :

Article 17 — EFVP obligatoire avant transfert hors Québec + entente écrite
Le CLOUD Act peut s'appliquer même aux serveurs européens d'un fournisseur américain
Une EFVP de 1-2 pages par outil suffit dans la majorité des cas — la traçabilité prime sur la longueur

👉 Action : inventorier vos outils, faire une EFVP courte par outil, signer DPA, mettre à jour la politique.

Le cadre des sous-traitants et la démarche EFVP sont traités dans la Formation Gouvernance PRP, modules Sous-traitants et DPA et EFVP de base. Ce module-ci se concentre sur l'application web : grille d'évaluation par outil typique, clauses minimales à exiger, format d'EFVP allégée.

Pour aller plus loin

Articles précis 17 et 3.3, démarche EFVP CAI, distinction transfert/communication, sanctions?

Voir les exigences légales →

Test rapide — vos outils tiers sont-ils défendables?

Trois questions pour évaluer votre situation.

Pouvez-vous produire, pour chaque outil tiers actif, une note d'évaluation (EFVP) datée?

Avez-vous une entente écrite (DPA ou MSA section confidentialité) signée avec chaque fournisseur?

Chaque outil tiers est-il nommé dans votre politique avec la localisation des données?

Si non à une seule, vos transferts hors Québec sont probablement effectués sans la base légale exigée par l'article 17.

Faire auditer mon site web →

Maîtriser la conformité Loi 25 de votre site

La Formation Site web et Loi 25 couvre les sept obligations applicables à votre site — cartographie des collectes, politique de confidentialité, formulaires, outils tiers, cookies, données sensibles publiées, droits des visiteurs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web