Sous-traitants et fournisseurs : clauses essentielles pour respecter la Loi 25

Votre CRM est « conforme » selon la page marketing du fournisseur — mais c'est votre nom qui figurera sur la plainte si les données fuient. Hébergeur, agence, infonuagique : vous déléguez le traitement, pas la responsabilité. Le contrat est votre preuve de diligence.

Obligation Loi 25 : avant de confier des renseignements personnels à un tiers, vous devez vous assurer qu'il offre des garanties suffisantes — et le documenter.

Diligence avant la signature

Ne signez pas sur la foi d'un badge « GDPR ready ». Posez des questions concrètes : où sont hébergées les données, qui sont les sous-traitants en cascade, quelles mesures de sécurité, historique d'incidents. Pour un projet à risque élevé, une EFVP intègre cette analyse — ce n'est pas réservé aux multinationales.

Clauses clés dans les contrats

Voici la liste que je revois systématiquement avec les PME — adaptez au vocabulaire juridique de votre avocat :

• Finalités et instructions — le fournisseur ne traite que selon vos directives écrites; pas de « amélioration produit » floue avec vos données clients.
• Confidentialité — obligation pour tout le personnel et sous-traitants du fournisseur.
• Mesures de sécurité — chiffrement, contrôle d'accès, sauvegardes; niveau adapté à la sensibilité (données RH ≠ liste de diffusion).
• Sous-traitance en cascade — autorisation préalable; mêmes exigences pour le sous-traitant du sous-traitant.
• Localisation et transferts — où sont stockées les données; avis en cas de changement de région ou de fournisseur.
• Notification d'incident — délai court (souvent 24 à 72 h) pour vous laisser respecter vos obligations envers la CAI.
• Fin de contrat — restitution ou destruction sécurisée; preuve sur demande.
• Audit — droit de vérifier, ou rapport SOC 2 / équivalent récent accepté.

Risque pour votre entreprise

Si un fournisseur est la source d'une fuite, la CAI et les personnes concernées s'adressent d'abord à vous — organisation responsable du traitement. Un fournisseur négligent peut entraîner des sanctions, la perte d'un appel d'offres B2B et des semaines de remediation. Priorisez les contrats qui touchent clients et RH avant les outils périphériques (sondage interne, tableau blanc).

En bref

Commencez par votre hébergeur Web, votre CRM et votre outil de paie. Une clause copiée-collée d'un modèle européen ne couvre pas automatiquement la Loi 25 — faites relire par quelqu'un qui connaît le Québec.

Références utiles

• CAI — Sous-traitance et communication à des tiers — attentes pour les organisations québécoises.
• Loi P-39.1 (secteur privé) — obligations avant de confier des renseignements à un tiers.
• EFVP Loi 25 — analyse de risque pour les projets et fournisseurs sensibles.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations de la Loi 25 se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.