Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 9

Communication hors Québec et gestion des fournisseurs

La plupart des PME utilisent des services hébergés hors Québec. Chaque flux de données hors Québec déclenche des obligations spécifiques — ÉFVP et entente écrite.

9.1 · Réalité des PME

Le défi de l'infonuagique

La plupart des PME utilisent des services hébergés hors Québec :

  • Microsoft 365 (Exchange, Teams, SharePoint) — serveurs aux États-Unis ou en Europe
  • Google Workspace — serveurs internationaux
  • AWS, Azure, GCP — selon la région configurée
  • Shopify, Salesforce, HubSpot, QuickBooks Online — hors Québec
Utiliser Microsoft 365 = communiquer des données hors Québec. Cela déclenche l'obligation d'ÉFVP et d'entente écrite — même si les données sont hébergées au Canada.
9.2 · Obligation préalable

L'ÉFVP avant toute communication hors Québec

Avant de communiquer des renseignements hors Québec, la loi exige qu'une ÉFVP soit réalisée (chapitre 6) tenant compte notamment :

  • De la sensibilité des renseignements
  • De la finalité de leur utilisation
  • Des mesures de protection (chiffrement, contractuelles) qui s'appliqueraient
  • Du régime juridique de la juridiction de destination

La communication ne peut avoir lieu que si l'ÉFVP démontre que les renseignements bénéficieraient d'une protection adéquate. Elle doit faire l'objet d'une entente écrite.

9.3 · Sous-traitance

Mandataires et prestataires de services — contrat obligatoire

Lorsque vous confiez des renseignements à un mandataire (hébergeur, service de paie, CRM, etc.), la communication peut se faire sans consentement si vous avez un contrat écrit qui prévoit :

  • Les mesures de protection à respecter
  • L'usage limité aux fins prévues
  • L'obligation d'aviser le RPRP de tout incident ou tentative de violation
  • La destruction ou le retour des renseignements à la fin du contrat
  • Le droit de vérification de l'organisation (audits)
  • L'interdiction de sous-traiter sans autorisation

Voir le gabarit de clause contractuelle fournisseur (chapitre 13).

9.4 · Plan d'action

Démarche pratique pour la PME — 5 étapes

  1. Inventorier tous les fournisseurs qui traitent des renseignements personnels (CRM, RH, comptabilité, marketing, etc.)
  2. Localiser où les données sont hébergées (Québec, Canada, États-Unis, Europe, etc.)
  3. Réaliser une ÉFVP pour chaque communication hors Québec non encore évaluée
  4. Mettre à jour les contrats avec les clauses requises — utiliser le gabarit du chapitre 13
  5. Documenter l'inventaire et les ÉFVP pour démontrer la conformité

✓ Checklist fournisseurs

  • ☐ Avons-nous l'inventaire de nos fournisseurs traitant des données personnelles?
  • ☐ Avons-nous localisé où chaque fournisseur héberge nos données?
  • ☐ Une ÉFVP existe-t-elle pour chaque flux hors Québec?
  • ☐ Nos contrats fournisseurs contiennent-ils les 6 clauses requises?
  • ☐ La revue des contrats est-elle dans le plan annuel du RPRP?
← Droits des personnesVolet technique — TI →