Transfert de données hors Québec : ce que la Loi 25 exige vraiment

Votre site web est hébergé sur un serveur en Virginie. Votre CRM est un SaaS américain. Vos sauvegardes vont sur Google Drive. Votre formulaire de contact utilise un outil dont les serveurs sont en Irlande. Dans la réalité opérationnelle d'une PME québécoise en 2026, les données personnelles de vos clients traversent des frontières à chaque instant — souvent sans que vous en soyez conscient.

C'est précisément ce que l'article 17 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) encadre. Voici ce que vous devez savoir et faire.

Ce que dit l'article 17 de la Loi 25

L'article 17 de la Loi 25 impose qu'avant de communiquer des renseignements personnels à l'extérieur du Québec — ou avant de confier à une personne à l'extérieur du Québec la tâche de les recueillir, d'en faire usage ou de les communiquer — votre organisation doit :

1. Réaliser une évaluation pour s'assurer que ces renseignements bénéficieront d'une protection adéquate, notamment au regard des principes de protection applicables au Québec
2. Conclure un accord écrit avec le destinataire, prévoyant les mesures de protection requises
3. Publier sur votre site une politique de confidentialité qui informe les personnes concernées de ces transferts

En pratique : si vous utilisez un service SaaS américain qui traite des renseignements personnels de vos clients québécois, vous êtes soumis à ces obligations — qu'il s'agisse de votre logiciel comptable, de votre outil de courriel marketing, de votre CRM ou de votre hébergeur web.

Le Cloud Act américain : pourquoi c'est problématique

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), adopté aux États-Unis en 2018, permet aux autorités fédérales américaines d'accéder aux données stockées par des entreprises américaines sur leurs serveurs, même si ces données sont physiquement situées en dehors des États-Unis. Ce texte crée un conflit direct avec les attentes raisonnables de confidentialité des résidents québécois.

Concrètement, cela signifie que si vos données clients sont stockées chez AWS (Amazon), Azure (Microsoft), Google Cloud ou tout autre fournisseur américain — même sur des serveurs situés au Canada — le gouvernement américain peut théoriquement y accéder sur simple requête judiciaire américaine, sans passer par une procédure d'entraide judiciaire internationale.

La CAI est consciente de cette réalité. Elle ne vous interdit pas d'utiliser des fournisseurs américains — mais elle vous impose de :

• En informer vos utilisateurs dans votre politique de confidentialité
• Évaluer le risque que représente ce transfert pour les droits de vos clients
• Mettre en place des mesures compensatoires si le risque est jugé élevé (chiffrement de bout en bout, clauses contractuelles spécifiques)

Quels services utilisez-vous sans le savoir ?

La plupart des PME québécoises transfèrent des données personnelles hors du Québec via des services qu'elles considèrent comme des outils neutres. Voici les catégories les plus courantes :

Hébergement web

Si votre site est sur Vercel, Netlify, AWS, DigitalOcean ou WP Engine avec une région par défaut, vos données — y compris les logs qui contiennent des adresses IP, des données de session et parfois des informations de formulaire — transitent par des serveurs hors Québec. La plupart offrent des régions canadiennes en option, mais elles ne sont pas activées par défaut.

Outils de courriel marketing

Mailchimp, ActiveCampaign, Klaviyo, Brevo — tous ces outils stockent les listes de diffusion sur des serveurs américains ou européens. Vos listes contiennent des adresses courriel, des données comportementales (ouvertures, clics) et parfois des données de profil. Ces transferts doivent être documentés et déclarés dans votre politique de confidentialité.

CRM et outils de vente

HubSpot, Salesforce, Pipedrive, Zoho — les CRM les plus populaires sont hébergés aux États-Unis. Chaque fiche client constitue un renseignement personnel transféré hors Québec. Leurs DPA (Data Processing Agreements) respectent généralement le RGPD européen, mais leur conformité spécifique à la Loi 25 québécoise est rarement certifiée explicitement.

Formulaires et outils de collecte

Typeform, Google Forms, Jotform, Tally — tous stockent les réponses sur des serveurs hors Québec. Si votre formulaire collecte des renseignements personnels (ce qui est le cas de tout formulaire de contact ou d'inscription), ce transfert est soumis à l'article 17.

Analytics

Google Analytics 4 transfère des données comportementales et des données pseudonymisées (adresses IP tronquées, identifiants de session) vers des serveurs américains. Même avec Consent Mode v2, le transfert hors Québec existe. C'est pourquoi plusieurs entreprises se tournent vers des alternatives cookieless hébergées en Europe ou au Canada (Plausible, Fathom, Matomo self-hosted).

Ce que votre accord contractuel doit contenir

L'article 17 de la Loi 25 exige un accord écrit avec tout sous-traitant qui traite des renseignements personnels hors du Québec. Cet accord — souvent appelé DPA ou Data Processing Agreement — doit couvrir a minima :

• La description précise des renseignements personnels traités et les finalités de ce traitement
• L'obligation du destinataire d'appliquer des mesures de sécurité appropriées
• L'interdiction de communiquer ces renseignements à des tiers sans autorisation
• L'obligation de respecter les droits des personnes concernées (accès, rectification, portabilité, suppression)
• Les modalités de destruction des données en fin de contrat
• L'obligation de vous notifier en cas d'incident de confidentialité dans les délais requis par la Loi 25

La plupart des grands fournisseurs SaaS ont des DPA standardisés disponibles sur demande ou dans leurs paramètres d'administration. Le problème est qu'ils sont rédigés pour le RGPD européen, pas pour la Loi 25 québécoise. Il est de votre responsabilité de vérifier que les protections prévues sont équivalentes ou supérieures à ce qu'exige la loi québécoise.

Ce que vous devez publier dans votre politique de confidentialité

Votre politique de confidentialité doit inclure une section dédiée aux transferts transfrontaliers qui précise :

• Les pays ou régions où vos données peuvent être transférées
• Les catégories de fournisseurs qui effectuent ces transferts (sans nécessairement tous les nommer, mais en décrivant les types de services)
• Les mesures de protection en place (accords contractuels, chiffrement, certifications)
• Les droits des personnes concernées en lien avec ces transferts

Exemple de formulation conforme : « Certains de nos fournisseurs de services (hébergement web, courriel marketing, outils analytiques) traitent vos données sur des serveurs situés aux États-Unis ou en Europe. Nous avons conclu des accords de traitement avec ces fournisseurs pour assurer une protection adéquate de vos renseignements personnels, conformément aux exigences de la Loi 25. »

Les 5 étapes pour un transfert conforme

1. Inventoriez tous vos outils SaaS. Pour chaque outil, notez si les données sont stockées hors Québec et quelle catégorie de renseignements personnels est traitée.
2. Obtenez un DPA pour chaque fournisseur. Cherchez d'abord dans les paramètres de votre compte (section « Privacy » ou « Legal »). Si non disponible, contactez directement le support.
3. Évaluez l'adéquation de la protection. Pour chaque fournisseur américain, posez-vous la question : les mesures de sécurité déclarées sont-elles raisonnablement équivalentes à ce qu'exige la Loi 25 ? Si le risque est élevé, des mesures compensatoires supplémentaires peuvent être nécessaires.
4. Mettez à jour votre politique de confidentialité. Ajoutez une section sur les transferts transfrontaliers avec les informations requises par la CAI.
5. Documentez vos évaluations. La CAI peut vous demander de prouver que vous avez fait les démarches requises. Un registre simple des fournisseurs, des DPA obtenus et des évaluations réalisées constitue votre dossier de conformité.