Une PME québécoise typique utilise entre 30 et 50 fournisseurs externes qui touchent à ses renseignements personnels : firme de paie, tenue de livres, agence marketing, hébergeur infonuagique, plateforme CRM, fournisseur de soutien technique, traducteur, imprimeur, outils RH. Chacun de ces sous-traitants déclenche une obligation contractuelle précise sous la Loi 25.
L'article 18.3 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) impose un contrat écrit et six éléments obligatoires chaque fois qu'une organisation confie à un tiers un mandat ou un contrat de services qui implique des renseignements personnels. La Commission d'accès à l'information (CAI) considère ces clauses comme un minimum. Leur absence dans un contrat compromet sérieusement la position de l'organisation en cas de plainte ou d'incident.
Ce guide explique ce que l'article 18.3 exige, comment ces clauses interagissent avec celles de l'article 17 sur les transferts hors Québec, et comment mettre en place un programme de révision des contrats de fournisseurs.
Ce que dit l'article 18.3
L'article 18.3 s'applique dès que vous communiquez des renseignements personnels à une personne ou à un organisme à qui vous confiez un mandat ou un contrat de services. Il vise spécifiquement la relation responsable–sous-traitant. Cette obligation est distincte de celle qui encadre les communications à un tiers en général.
L'article impose six éléments obligatoires dans le contrat :
- Le contrat doit être écrit. Les ententes verbales ou implicites ne suffisent pas.
- Le contrat doit décrire les mesures de protection que le sous-traitant met en place pour assurer la confidentialité et la sécurité des renseignements personnels.
- L'utilisation est limitée à la finalité du mandat. Le sous-traitant ne peut utiliser les renseignements que pour exécuter le mandat ou le contrat.
- Aucune communication à un tiers n'est permise sans votre autorisation, sauf si la loi l'exige.
- Notification rapide de tout incident de confidentialité ou de toute tentative d'accès non autorisé.
- Droit de vérification de la part de votre organisation pour confirmer le respect des engagements.
Lorsque le sous-traitant exerce ses activités en tout ou en partie hors Québec, le contrat doit également indiquer la juridiction où les renseignements seront stockés, utilisés ou communiqués.
Comment l'article 18.3 s'articule avec l'article 17
Les deux articles couvrent des situations différentes, et la même communication peut déclencher les deux à la fois.
L'article 17 encadre les communications hors Québec, peu importe la nature de la relation. Il exige une évaluation des facteurs relatifs à la vie privée (EFVP) et une protection adéquate.
L'article 18.3 encadre les communications à un sous-traitant, peu importe sa localisation. Il exige un contrat écrit avec six éléments précis.
Lorsque votre sous-traitant est situé à l'extérieur du Québec (exemple typique : un fournisseur SaaS américain), les deux articles s'appliquent simultanément. Vous devez :
- Réaliser une EFVP (article 17)
- Vérifier l'existence d'une protection adéquate dans la juridiction de destination (article 17)
- Conclure un contrat écrit incluant les six éléments obligatoires (article 18.3)
- Documenter la juridiction de traitement des données (article 18.3)
Pour les fournisseurs majeurs (Microsoft, Google, AWS, HubSpot, Salesforce), un addenda contractuel standardisé (DPA, Data Processing Addendum) couvre généralement les six éléments. Encore faut-il l'avoir signé.
Détail des six clauses obligatoires
1. Mesures de protection détaillées
L'engagement générique « nous respectons toutes les lois applicables » ne suffit pas. Le contrat (ou son annexe) doit décrire concrètement :
- Les contrôles d'accès et d'authentification
- Le chiffrement (en transit et au repos lorsque pertinent)
- Les mesures de sauvegarde et de reprise après sinistre
- La sécurité physique des installations
- La journalisation et la surveillance
- La gestion des correctifs et des vulnérabilités
La profondeur de la description doit refléter la sensibilité des renseignements traités. Un fournisseur de paie qui traite des numéros d'assurance sociale n'a pas le même niveau d'exigence qu'un service d'envoi de courriels marketing.
2. Limitation à la finalité du mandat
Le sous-traitant ne peut utiliser les renseignements personnels que pour exécuter le mandat. Toute autre utilisation, incluant le profilage, l'analytique pour ses propres fins, le marketing direct ou la revente, est interdite sans votre autorisation explicite.
Plusieurs outils SaaS analysent les données clients pour améliorer leurs propres modèles. Cette pratique tombe directement dans le champ de cette interdiction. Le contrat doit clairement écarter cet usage ou préciser les conditions sous lesquelles il est permis.
3. Aucune sous-communication sans autorisation
Le sous-traitant ne peut transmettre les renseignements à ses propres sous-contractants sans votre accord préalable. Lorsqu'une telle autorisation est accordée, le sous-traitant doit imposer aux sous-contractants des obligations contractuelles équivalentes aux siennes (confidentialité, sécurité, notification d'incident).
En pratique, demandez à vos fournisseurs SaaS la liste de leurs propres sous-contractants (sub-processors). La plupart la publient sur une page dédiée. Vérifiez que cette liste est à jour et que vous êtes informé des changements.
4. Notification d'incident sans délai
Le sous-traitant doit vous informer rapidement :
- De tout incident de confidentialité (atteinte, perte, utilisation ou divulgation non autorisée)
- De toute tentative d'accès non autorisé détectée
Cette notification doit être assez rapide pour vous permettre de respecter vos propres obligations sous la Loi 25, notamment l'évaluation du risque de préjudice sérieux et, le cas échéant, la notification à la CAI et aux personnes concernées.
Le contrat devrait préciser un délai concret (24 à 72 heures est courant) et le canal de notification.
5. Droit de vérification
Votre organisation doit pouvoir vérifier que le sous-traitant respecte ses engagements. Cela peut prendre plusieurs formes :
- Obtention de preuves documentaires (politiques internes, certifications, rapports d'audit comme SOC 2 Type II ou ISO 27001)
- Audits ou inspections sur place ou à distance
- Questionnaires de sécurité périodiques
Pour une PME, exiger un audit physique d'un grand fournisseur SaaS est rarement réaliste. La revue annuelle des certifications et rapports d'audit du fournisseur est généralement suffisante.
6. Indication de la juridiction (si hors Québec)
Lorsque le sous-traitant traite les données en tout ou en partie hors Québec, le contrat doit identifier les juridictions concernées. Cette obligation se combine avec celle de l'article 17 pour les transferts hors Québec.
Pour les fournisseurs SaaS, cette information se trouve souvent dans la documentation publique (page « Trust Center » ou « Data residency »). Elle devrait néanmoins figurer dans votre contrat ou son addenda.
Quels fournisseurs sont visés
L'article 18.3 vise tous les sous-traitants qui ont accès à vos renseignements personnels. Voici les catégories les plus courantes pour une PME québécoise :
| Type de fournisseur | Exemples | |---|---| | Hébergement infonuagique | Microsoft 365, Google Workspace, AWS, Azure | | CRM et marketing | HubSpot, Salesforce, Mailchimp, Klaviyo | | Paiement et facturation | Stripe, Square, Moneris, QuickBooks | | RH et paie | ADP, Nethris, BambooHR, Folks | | Communications | Slack, Zoom, Microsoft Teams | | Outils de productivité | Notion, Asana, Monday, Trello | | Soutien technique | Sous-traitants TI, gestionnaires de service infogéré | | Services professionnels | Cabinets comptables, juridiques, marketing, traduction | | Autres | Imprimeur, service de destruction de documents, archivage |
Pour une organisation de 50 employés, l'inventaire complet dépasse souvent les 40 fournisseurs.
Mettre en place un programme de révision des fournisseurs
Pour une PME qui découvre l'article 18.3, voici une démarche réaliste en cinq étapes.
- Inventaire complet. Listez tous les fournisseurs ayant accès à des renseignements personnels. Une feuille de calcul ou un module dédié dans votre outil de conformité suffit.
- Triage par criticité. Classez les fournisseurs selon le volume et la sensibilité des renseignements traités. Commencez par les plus critiques.
- Vérification des contrats existants. Pour chaque fournisseur, vérifiez si un contrat écrit incluant les six éléments est en place. Pour les fournisseurs SaaS majeurs, recherchez et signez l'addenda de traitement des données (DPA).
- Renégociation ciblée. Pour les fournisseurs sans contrat conforme, demandez la mise en place d'un addenda. La plupart des fournisseurs B2B sérieux ont déjà un modèle. Les autres devraient en accepter un que vous proposez.
- Procédure d'achat. Intégrez la vérification de l'article 18.3 à votre processus d'achat. Aucun nouveau fournisseur ne devrait être engagé sans contrat conforme.
Pour une organisation comptant 20 à 100 employés, cette démarche initiale prend généralement entre 30 et 80 heures, selon le nombre de fournisseurs et leur degré de coopération.
Comment Observantia accompagne cette démarche
Observantia centralise le registre des fournisseurs, conserve les contrats et les addenda dans un même dossier, et signale les contrats à renouveler ou à mettre à jour. Le tableau de bord aide le responsable de la protection des renseignements personnels à voir d'un coup d'œil quels fournisseurs sont en conformité avec l'article 18.3 et lesquels ont des éléments manquants. Essayez gratuitement pendant 14 jours.
Articles connexes
- Communication de renseignements personnels hors Québec : comprendre l'article 17
- Registre des incidents de confidentialité : ce que la Loi 25 exige vraiment
- Évaluation de conformité Loi 25 : par où commencer?
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.