Communication de renseignements personnels hors Québec : comprendre l'article 17

Si votre organisation utilise Microsoft 365, Google Workspace, Slack, HubSpot, Stripe ou n'importe quel logiciel hébergé à l'extérieur du Québec, vous communiquez des renseignements personnels hors Québec. Cette réalité touche presque toutes les PME québécoises, et la majorité d'entre elles ne le documentent pas.

Depuis septembre 2023, l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) impose une démarche précise avant chaque communication de ce type. La Commission d'accès à l'information (CAI) peut exiger cette documentation lors d'une inspection ou à la suite d'une plainte. Les organisations qui ne l'ont pas s'exposent à des sanctions administratives pécuniaires importantes.

Ce guide explique ce que l'article 17 exige réellement, comment l'appliquer aux situations courantes, et par où commencer si rien n'a été fait à ce jour.

Ce que dit l'article 17

L'article 17 énonce trois obligations qui s'appliquent avant toute communication de renseignements personnels à l'extérieur du Québec.

1. Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP). Cette évaluation porte sur les risques liés à la communication envisagée. Elle doit être documentée et conservée.

2. S'assurer que les renseignements bénéficieront d'une protection adéquate. L'évaluation doit considérer quatre éléments : la sensibilité des renseignements, la finalité de leur utilisation, les mesures de protection en place (techniques, contractuelles et organisationnelles), et le régime juridique applicable dans la juridiction de destination.

3. Conclure une entente écrite. Cette entente doit refléter les conclusions de l'EFVP et préciser les obligations du destinataire en matière de protection.

Ces trois étapes ne sont pas optionnelles. Elles s'appliquent à toutes les organisations du secteur privé québécois, peu importe leur taille. Le secteur public a des obligations équivalentes sous la Loi sur l'accès aux documents des organismes publics (A-2.1).

Qu'est-ce qu'une communication hors Québec ?

La notion est plus large que ce que beaucoup d'organisations imaginent. Une communication hors Québec se produit dès qu'un renseignement personnel est rendu accessible, transmis, ou hébergé à l'extérieur du territoire québécois.

Voici des situations qui constituent une communication hors Québec :

L'hébergement infonuagique sur des serveurs situés aux États-Unis, en Europe, ou ailleurs (Microsoft 365, Google Workspace, AWS, Azure, Google Cloud)
L'utilisation d'un logiciel-service (SaaS) dont les serveurs sont hors Québec (HubSpot, Salesforce, Stripe, Mailchimp, Zoom)
L'accès aux données par une équipe située à l'extérieur du Québec (soutien technique aux Philippines, équipe TI à Toronto, sous-traitant en Inde)
La sauvegarde de fichiers dans un service infonuagique étranger
Le partage avec un fournisseur établi hors Québec (firme comptable américaine, agence marketing torontoise, cabinet juridique à New York)

L'erreur la plus fréquente consiste à croire qu'une organisation québécoise qui n'exporte pas activement de données ne fait aucune communication hors Québec. Si vos courriels transitent par les serveurs américains de Microsoft, vous communiquez des renseignements personnels hors Québec chaque jour.

Les trois obligations en pratique

1. L'évaluation des facteurs relatifs à la vie privée

L'EFVP est un exercice documenté qui répond à plusieurs questions :

Quels renseignements personnels sont visés par la communication ?
À quel point ces renseignements sont-ils sensibles ?
Pourquoi cette communication est-elle nécessaire ?
Qui aura accès aux renseignements chez le destinataire ?
Quelles mesures de sécurité technique le destinataire applique-t-il ?
Quelles sont les obligations légales du destinataire dans sa juridiction ?
Quels sont les risques résiduels après l'application des mesures de protection ?

La profondeur de l'évaluation doit refléter le risque. Une EFVP pour la communication d'une simple liste de courriels professionnels à un service d'envoi de courriels diffère considérablement d'une EFVP pour la communication de dossiers de santé à un sous-traitant américain.

2. La protection adéquate

L'article 17 utilise l'expression « protection équivalente à celle prévue par la présente loi ». Concrètement, vous devez démontrer que le destinataire offre des garanties comparables à celles qu'exige le droit québécois en matière de :

Sécurité des renseignements (chiffrement, contrôles d'accès, journalisation)
Limitation des finalités d'utilisation
Durée de conservation
Droits des personnes concernées (accès, rectification)
Notification des incidents

Pour évaluer la juridiction de destination, vous comparez le régime juridique applicable. Les États-Unis, par exemple, n'ont pas de loi fédérale équivalente à la Loi 25. Cette absence ne ferme pas la porte à la communication. Elle déplace simplement vers le contrat et les mesures techniques la part des garanties qui doivent encadrer le transfert.

3. L'entente écrite

L'entente avec le destinataire doit traduire les conclusions de votre EFVP. Plusieurs clauses sont devenues incontournables :

Description précise des renseignements communiqués et de leur finalité
Engagement de confidentialité et limitation à la finalité prévue
Mesures de sécurité minimales exigées
Encadrement (ou interdiction) des sous-communications à d'autres tiers
Notification rapide en cas d'incident de confidentialité
Coopération en cas de demande d'accès ou de rectification
Modalités de retour ou de destruction des renseignements à la fin du contrat
Droit de vérification ou d'audit

Pour les fournisseurs majeurs (Microsoft, Google, AWS), ces clauses se trouvent dans des annexes contractuelles standardisées (DPA, Data Processing Addendum). Encore faut-il les avoir signées et en conserver la trace.

Scénarios courants et ce qu'ils exigent

Voici comment l'article 17 s'applique aux outils que la plupart des PME québécoises utilisent.

| Outil ou situation | Obligation déclenchée | |---|---| | Microsoft 365 (Exchange, OneDrive, Teams) | EFVP, addenda au contrat (DPA) | | Google Workspace | EFVP, addenda au contrat (DPA) | | HubSpot, Salesforce, Pipedrive | EFVP, addenda au contrat | | Stripe, Square, Moneris (selon hébergement) | EFVP, vérification des clauses | | Slack, Notion, Asana | EFVP, addenda au contrat | | Sauvegardes infonuagiques (Backblaze, Carbonite) | EFVP, choix d'une région d'hébergement si possible | | Sous-traitant ou pigiste hors Québec | EFVP complète, entente sur mesure | | Firme comptable, juridique ou marketing hors Québec | EFVP complète, entente sur mesure |

Les fournisseurs SaaS majeurs offrent généralement des outils d'aide à la conformité : pages de conformité régionale, choix de la région d'hébergement, addenda contractuels standardisés. Votre rôle consiste à les activer, à les signer, et à conserver la documentation.

Ce que la CAI vérifie en cas d'inspection

Lors d'une inspection ou d'une plainte, la CAI demande typiquement :

La liste des fournisseurs et outils qui hébergent des renseignements personnels hors Québec
Les EFVP réalisées pour chacun (au moins les plus importants)
Les ententes contractuelles correspondantes
La preuve que ces ententes sont à jour
La procédure interne d'évaluation pour tout nouveau fournisseur

L'absence de documentation pèse lourd dans l'évaluation de la collaboration de l'organisation. La CAI tient compte de la qualité de la démarche entreprise, et une documentation imparfaite mais sincère est mieux reçue qu'une absence totale d'effort.

Par où commencer si rien n'a été fait

Si votre organisation découvre l'article 17 et n'a pas encore documenté ses communications hors Québec, voici une démarche réaliste en sept étapes.

Inventaire des outils. Listez tous les logiciels, services infonuagiques, sous-traitants et fournisseurs qui ont accès à des renseignements personnels.
Localisation des données. Pour chaque outil, identifiez où les données sont hébergées. Cette information se trouve dans la documentation du fournisseur ou dans son addenda de traitement des données.
Triage par sensibilité. Classez les outils selon la sensibilité des renseignements qu'ils traitent (données financières, dossiers de santé, données RH, simples coordonnées).
EFVP prioritaires. Commencez par les outils qui traitent les renseignements les plus sensibles ou en plus grand volume. Évitez de tout faire en une semaine.
Vérification des ententes. Pour chaque fournisseur, vérifiez si un addenda contractuel adéquat est en place. Pour les fournisseurs majeurs, ces documents existent ; il s'agit souvent simplement de les signer.
Documentation centralisée. Conservez les EFVP, les ententes et les preuves dans un registre unique, accessible au responsable de la protection des renseignements personnels.
Procédure pour les futurs fournisseurs. Mettez en place une procédure d'évaluation systématique avant l'adoption de tout nouvel outil. Cela évite de devoir refaire l'exercice à reculons.

Pour une organisation comptant entre 20 et 100 employés, cette démarche initiale prend généralement entre 20 et 60 heures, selon la complexité de la pile technologique.

Une démarche continue

L'article 17 ne s'applique pas une seule fois. Chaque nouveau fournisseur, chaque changement de plateforme, chaque modification importante des renseignements communiqués déclenche une nouvelle évaluation. Une PME québécoise qui adopte trois ou quatre nouveaux outils par année doit intégrer cette vérification à son processus d'achat ou de sélection technologique.

C'est précisément pour cette raison qu'Observantia centralise le registre des fournisseurs, les EFVP et les ententes au même endroit. Le tableau de bord conserve l'historique des évaluations, signale les renouvellements à venir, et aide le responsable de la protection des renseignements personnels à garder une vue d'ensemble. Essayez gratuitement pendant 14 jours.

Articles connexes

Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.