Comment transférer des données personnelles hors du Québec en toute légalité

Dès que des renseignements personnels quittent le Québec, par exemple pour être stockés chez un fournisseur infonuagique aux États-Unis, vous avez des obligations légales. Ce guide vous explique comment procéder correctement.

La loi n'interdit pas les transferts, mais exige que vous évaluiez les risques et preniez des mesures de protection adéquates. C'est une question de diligence, pas de prohibition.

Étapes à suivre

  1. 1

    Identifier les transferts

    Listez tous les cas où des renseignements personnels quittent le Québec : fournisseurs infonuagiques (AWS, Google, Microsoft), sous-traitants à l'étranger, filiales dans d'autres provinces ou pays, sauvegardes hors site.

  2. 2

    Réaliser une EFVP

    Avant tout transfert hors Québec, vous devez faire une évaluation des facteurs relatifs à la vie privée (EFVP). Analysez les risques liés à la juridiction de destination et les mesures de protection.

  3. 3

    Évaluer le cadre juridique

    La juridiction de destination offre-t-elle une protection équivalente? Considérez : les lois locales (ex: CLOUD Act aux États-Unis), les accès gouvernementaux possibles, les recours disponibles pour les personnes.

  4. 4

    Conclure une entente écrite

    Signez un contrat avec le destinataire incluant : les types de données transférées, les finalités autorisées, les mesures de sécurité, les obligations de confidentialité, les droits d'audit.

  5. 5

    Mettre en place des garanties

    Selon les risques identifiés : chiffrement des données, pseudonymisation, clauses contractuelles renforcées, restrictions d'accès, évaluation de sécurité du fournisseur.

  6. 6

    Documenter et conserver

    Conservez votre EFVP, les contrats et la justification de votre décision. Vous devez pouvoir démontrer que vous avez pris des précautions raisonnables.

Conseils et avertissements

Cas courants de transfert

  • Hébergement infonuagique : AWS, Azure, Google Cloud avec données hors Québec. Certains fournisseurs offrent l'option d'héberger les données au Québec.
  • Outils SaaS : Salesforce, HubSpot, Mailchimp. Vérifiez où sont stockées vos données.
  • Support technique : Équipes de support dans d'autres pays qui accèdent à vos systèmes.
  • Filiales et partenaires : Partage de données clients avec des entités hors Québec.
  • Sauvegardes : Copies de secours dans des centres de données à l'étranger.

Mesures de protection courantes

  • Chiffrement : Données chiffrées avec clés que vous contrôlez, ce qui empêche le fournisseur de lire les données.
  • Pseudonymisation : Remplacer les identifiants directs par des codes, ce qui limite les risques si les données sont exposées.
  • Clauses contractuelles : Engagements du fournisseur sur la sécurité, la confidentialité et les accès gouvernementaux.
  • Restriction géographique : Exiger que les données restent dans des régions spécifiques.
  • Audit et certification : Fournisseurs certifiés SOC 2, ISO 27001 offrent des garanties documentées.

Erreurs à éviter

  • Ignorer les fournisseurs SaaS. Ce n'est pas parce que c'est « dans le cloud » que ce n'est pas un transfert.
  • Supposer que « tout le monde le fait ». La popularité d'un service n'élimine pas vos obligations légales.
  • Oublier l'EFVP. Sans évaluation documentée, vous ne pouvez pas démontrer votre diligence.
  • Négliger les contrats. Les conditions d'utilisation standard ne suffisent pas toujours. Négociez si nécessaire.

Questions fréquentes

L'hébergement chez AWS ou Azure est-il un transfert hors Québec?

Si vos données sont stockées dans une région hors Québec (même ailleurs au Canada), c'est techniquement un transfert. Choisissez la région Canada (Montréal) si disponible. Sinon, une EFVP est requise.

Les États-Unis sont-ils une destination à risque?

Le CLOUD Act permet aux autorités américaines d'accéder aux données détenues par des entreprises américaines, même si les données sont stockées ailleurs. Ce risque doit être évalué dans votre EFVP et des mesures d'atténuation peuvent être nécessaires.

Puis-je utiliser Google Workspace ou Microsoft 365?

Oui, mais avec précautions. Choisissez l'hébergement au Canada si disponible. Réalisez une EFVP. Vérifiez les clauses de protection des données du fournisseur. Documentez votre analyse.

Une EFVP est-elle requise pour chaque fournisseur?

Oui, chaque transfert hors Québec nécessite une EFVP.

Dois-je informer les personnes du transfert?

Oui. Votre politique de confidentialité doit indiquer que des renseignements peuvent être transférés hors Québec, vers quelles juridictions, et pourquoi.

Que faire si un fournisseur refuse de signer une entente de confidentialité adéquate?

C'est un signal d'alarme. Sans engagement contractuel, vous ne pouvez pas démontrer de garanties adéquates. Cherchez un fournisseur alternatif ou évaluez si le risque est acceptable.

Les transferts vers l'Ontario ou l'Alberta sont-ils concernés?

Oui. Tout transfert hors Québec, même au Canada, déclenche l'obligation d'EFVP. Le risque est généralement plus faible pour les provinces canadiennes, mais l'évaluation reste obligatoire.

Outil connexe

Modèle d'EFVP avec section spécifique pour les transferts hors Québec et grille d'évaluation des risques.

Télécharger le modèle EFVP