Comment évaluer si vos fournisseurs technologiques sont conformes à la Loi 25

Sous la Loi 25, votre responsabilité à l'égard des renseignements personnels de vos clients ne s'arrête pas aux murs de votre cabinet. Quand vous confiez des données à un fournisseur technologique (CRM, plateforme de courriels, outil de signature électronique, stockage infonuagique, logiciel de vidéoconférence), vous restez responsable de la protection de ces données. Si une brèche survient chez votre fournisseur parce que ses mesures de sécurité étaient inadéquates, c'est votre cabinet qui fait face au recours collectif de vos clients.

Choisir un fournisseur conforme n'est pas un luxe. C'est une obligation légale et une mesure de protection financière directe.

Votre responsabilité ne s'arrête pas à vos murs

La Loi 25 impose à l'entreprise qui confie des renseignements personnels à un tiers de s'assurer, par contrat, que ce tiers offre des garanties suffisantes de protection. L'entreprise doit veiller à ce que les renseignements ne soient utilisés qu'aux fins prévues, que des mesures de sécurité adéquates soient en place, et que les renseignements soient détruits à la fin du mandat.

En pratique, cela signifie que vous ne pouvez pas simplement choisir le fournisseur le moins cher ou le plus facile à configurer et espérer que tout ira bien. Vous devez évaluer ses pratiques de sécurité et de confidentialité avant de lui confier les données de vos clients. Et cette évaluation doit être documentée dans une EFVP, surtout si le fournisseur est situé hors du Québec. [Notre guide sur les EFVP détaille la marche à suivre](/fr/blog/efvp-evaluation-facteurs-vie-privee-loi-25).

Si vous n'avez jamais évalué vos fournisseurs actuels, commencez maintenant. En cas de brèche, un tribunal pourrait considérer que le choix d'un fournisseur sans mesures de sécurité adéquates constitue en soi une faute lourde, vous exposant au [recours collectif avec le plancher de 1 000 $ par personne](/fr/blog/loi-25-recours-collectif-risque-cabinet).

Les 5 critères d'évaluation d'un fournisseur

Chaque fournisseur qui touche aux données de vos clients devrait être évalué selon cinq critères fondamentaux.

1. Certifications de sécurité

Les certifications sont la preuve qu'un tiers indépendant a vérifié les pratiques de sécurité du fournisseur. Elles ne garantissent pas l'absence de brèche, mais elles démontrent un niveau de diligence vérifiable.

SOC 2 Type II est la certification la plus pertinente pour les fournisseurs infonuagiques. Elle couvre cinq principes de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée. Le « Type II » signifie que l'auditeur a vérifié que les contrôles fonctionnent effectivement sur une période de temps (généralement 6 à 12 mois), pas seulement qu'ils existent sur papier (ce qui serait un Type I). Exigez le Type II. ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Elle couvre la gestion des risques, les contrôles d'accès, le chiffrement, la sécurité physique, la continuité des activités et la conformité réglementaire. Un fournisseur certifié ISO 27001 a mis en place un cadre systématique de gestion de la sécurité, audité annuellement. ISO 27701 est l'extension de ISO 27001 spécifique à la gestion de la vie privée. Elle couvre les exigences additionnelles pour la protection des renseignements personnels : consentement, droits des personnes, notification d'incidents, transferts internationaux. Un fournisseur certifié ISO 27701 en plus de ISO 27001 offre la couverture la plus complète en matière de sécurité et de vie privée. Ce qui ne suffit pas : Une simple déclaration sur le site web du fournisseur affirmant qu'il est « conforme » ou qu'il « prend la sécurité au sérieux ». Sans certification vérifiable par un auditeur indépendant, ces déclarations n'ont aucune valeur probante.

2. Résidence des données

L'endroit physique où sont stockées les données de vos clients a des implications juridiques directes sous la Loi 25.

Données hébergées au Québec : Situation idéale. Aucune EFVP n'est requise pour le transfert (l'EFVP reste requise pour le projet technologique lui-même si c'est un nouveau système). Données hébergées dans une autre province canadienne : EFVP obligatoire pour le transfert. L'évaluation du cadre juridique de destination est généralement favorable, car les provinces canadiennes disposent de lois de protection des données reconnues. Données hébergées aux États-Unis : EFVP obligatoire. L'absence de loi fédérale américaine de protection des données comparable à la Loi 25 ou au RGPD nécessite une analyse plus approfondie. Les clauses contractuelles (DPA), les certifications du fournisseur et les mesures techniques de sécurité deviennent essentielles pour démontrer la protection adéquate. Données hébergées en Europe : EFVP obligatoire, mais l'évaluation est généralement favorable grâce au cadre robuste du RGPD. Le piège fréquent : Un fournisseur qui affirme héberger les données « au Canada » sans préciser la province. Demandez la localisation exacte. Un centre de données à Toronto ou à Vancouver déclenche quand même l'obligation d'EFVP pour le transfert hors Québec. Demandez aussi si les données peuvent être répliquées ou transférées temporairement dans d'autres juridictions (pour les sauvegardes, le traitement ou la reprise après sinistre).

3. DPA (Data Processing Agreement)

Le DPA, ou entente sur le traitement des données, est le contrat qui lie juridiquement votre fournisseur à des obligations précises en matière de protection des renseignements personnels. La Loi 25 exige que l'entreprise qui confie des données à un tiers le fasse par contrat écrit.

Un DPA adéquat devrait couvrir au minimum :

• Les types de renseignements personnels traités et les finalités du traitement
• L'interdiction pour le fournisseur d'utiliser les données à d'autres fins que le service contractuel
• Les mesures de sécurité que le fournisseur s'engage à maintenir
• L'obligation de notifier votre cabinet en cas d'incident de confidentialité, avec un délai précis
• Les obligations en matière de sous-traitance (le fournisseur peut-il confier vos données à ses propres sous-traitants?)
• La procédure de destruction ou de restitution des données à la fin du contrat
• Le droit d'audit ou d'accès aux rapports de conformité

Ce qui ne suffit pas : Les conditions générales d'utilisation (CGU) standard du fournisseur. Les CGU sont rédigées pour protéger le fournisseur, pas vous. Un DPA spécifique est nécessaire. La plupart des fournisseurs sérieux en proposent un sur demande. Si un fournisseur refuse de signer un DPA, c'est un signal d'alarme important.

4. Politique de notification d'incidents

Quand une brèche survient chez votre fournisseur, la rapidité avec laquelle vous en êtes informé détermine votre capacité à remplir vos propres obligations sous la Loi 25. Vous devez notifier la CAI « avec diligence » et aviser vos clients si le risque est sérieux. Vous ne pouvez pas le faire si votre fournisseur met trois semaines à vous avertir.

Vérifiez que votre fournisseur s'engage contractuellement (dans le DPA) à vous notifier dans un délai précis en cas d'incident. Un délai de 24 à 72 heures est raisonnable. Vérifiez aussi que la notification inclura les informations nécessaires : nature de l'incident, types de données touchées, nombre de personnes concernées, mesures prises.

5. Droit d'audit

Le droit d'audit vous permet de vérifier, directement ou par l'intermédiaire d'un tiers, que votre fournisseur respecte ses engagements contractuels en matière de sécurité et de confidentialité.

En pratique, peu de petits cabinets exerceront un audit direct chez leur fournisseur. Mais le droit d'audit sert de levier de négociation et de garantie. Si le fournisseur refuse catégoriquement tout droit d'audit, même sous forme d'accès à ses rapports SOC 2, c'est préoccupant.

Les alternatives acceptables au droit d'audit direct sont la mise à disposition du rapport SOC 2 Type II le plus récent (généralement sous entente de confidentialité), la certification ISO 27001 vérifiable, et les résultats de tests de pénétration récents.

Les certifications décryptées : ce que chacune couvre vraiment

Les acronymes de certifications peuvent porter à confusion. Voici ce que chacune vérifie concrètement.

SOC 2 Type II vérifie que les contrôles de sécurité du fournisseur fonctionnent effectivement au quotidien, sur une période de 6 à 12 mois. L'auditeur (un cabinet comptable accrédité) teste les accès, les journaux, les alertes, les sauvegardes, les processus de gestion des incidents. C'est la certification la plus concrète et la plus opérationnelle. Elle est renouvelée annuellement. ISO 27001 vérifie que le fournisseur a mis en place un système de management de la sécurité de l'information (SMSI) conforme à la norme internationale. L'audit couvre la gouvernance, la gestion des risques, les politiques, les contrôles techniques et organisationnels. La certification est valide 3 ans, avec des audits de surveillance annuels. ISO 27701 vérifie les pratiques spécifiques de gestion de la vie privée : traitement des renseignements personnels, gestion du consentement, droits des personnes, notification d'incidents liés à la vie privée, transferts internationaux. Elle complète ISO 27001 en ajoutant la couche « vie privée » à la couche « sécurité ». SOC 2 + ISO 27001 + ISO 27701 : C'est la combinaison la plus complète. Elle couvre la sécurité opérationnelle (SOC 2), le système de management (ISO 27001) et la gestion de la vie privée (ISO 27701). Un fournisseur qui détient les trois offre le niveau de garantie le plus élevé disponible sur le marché. SOC 1 : Ne concerne pas la sécurité de l'information. C'est un audit des contrôles financiers. Il n'est pas pertinent pour l'évaluation de la conformité Loi 25. Conformité HIPAA : Pertinente uniquement pour les données de santé aux États-Unis. Elle n'a pas de valeur directe sous la Loi 25, mais elle indique que le fournisseur est habitué à travailler dans un environnement réglementé.

Check-list rapide : 10 questions à poser à tout fournisseur

Avant de signer un contrat avec un fournisseur qui traitera des données de vos clients, posez ces dix questions. Les réponses alimenteront directement votre EFVP.

1. Où sont hébergées les données physiquement? Exigez le pays et la province (ou l'État). Pas seulement « en Amérique du Nord ». 2. Les données peuvent-elles être transférées ou répliquées dans d'autres juridictions? Certains fournisseurs répliquent les données dans plusieurs centres de données pour la redondance. Vous devez le savoir. 3. Disposez-vous de certifications SOC 2 Type II, ISO 27001 ou ISO 27701? Demandez à voir les certificats ou les rapports. Un fournisseur certifié les fournira sans hésitation. 4. Offrez-vous un DPA? Si le fournisseur ne sait pas ce qu'est un DPA, vous avez votre réponse. 5. Quel est votre délai de notification en cas d'incident de confidentialité? La réponse devrait être un nombre d'heures, pas « dès que possible ». 6. Quelle est votre politique de rétention et de destruction des données? Que se passe-t-il avec les données de vos clients quand vous résiliez le contrat? Sont-elles supprimées? Dans quel délai? De quelle manière? 7. Quels contrôles d'accès sont en place? Chiffrement en transit et au repos, authentification multifacteur, accès basés sur les rôles, journalisation des accès. 8. Les données de nos clients sont-elles utilisées pour entraîner des modèles d'IA ou à d'autres fins que le service contractuel? Question devenue critique avec la prolifération des outils d'IA. Si la réponse est oui, ou « pas pour l'instant », c'est un risque à documenter. 9. Pouvons-nous accéder à votre rapport SOC 2 le plus récent? La plupart des fournisseurs certifiés le fournissent sous entente de confidentialité (NDA). 10. Que se passe-t-il avec nos données si votre entreprise est acquise, fusionnée ou fait faillite? C'est une question que peu de cabinets posent, mais qui peut avoir des conséquences majeures si les données de vos clients se retrouvent chez un acquéreur inconnu.

Un fournisseur qui répond clairement et rapidement aux dix questions démontre une maturité en matière de conformité. Un fournisseur qui esquive, tarde ou ne comprend pas les questions est un risque que vous portez personnellement.

Les signaux d'alarme

Certaines réponses (ou absences de réponses) devraient vous faire reconsidérer votre choix de fournisseur.

Aucune certification vérifiable. Une déclaration de conformité sur un site web n'est pas une certification. Si le fournisseur ne détient aucun SOC 2, aucun ISO 27001, aucun audit indépendant, vous n'avez aucune garantie extérieure de ses pratiques de sécurité. Refus de signer un DPA. Un fournisseur qui refuse de s'engager contractuellement sur la protection des données que vous lui confiez ne prend pas la conformité au sérieux. Cherchez une alternative. Incapacité de préciser la localisation des données. Si le fournisseur ne peut pas vous dire exactement où sont stockées vos données, il ne contrôle probablement pas sa propre chaîne d'hébergement. Délai de notification d'incident vague ou absent. « Nous vous notifierons dans un délai raisonnable » n'est pas une réponse acceptable. Exigez un engagement contractuel en heures. Données utilisées pour l'entraînement d'IA sans consentement explicite. Si le fournisseur utilise les données de vos clients pour améliorer ses produits ou entraîner ses algorithmes, c'est une utilisation non autorisée qui vous expose directement. Pas de processus de destruction des données à la fin du contrat. Si vos données restent indéfiniment chez un ancien fournisseur, votre surface d'exposition ne fait que croître avec le temps.

Pourquoi la résidence des données au Canada compte

Pour un cabinet de services financiers québécois, un fournisseur qui héberge les données au Canada (et idéalement au Québec) offre trois avantages concrets.

L'EFVP est simplifiée. Pour un hébergement au Québec, l'analyse du cadre juridique de destination n'est pas nécessaire (les données ne quittent pas la province). Pour un hébergement ailleurs au Canada, l'évaluation est généralement favorable grâce aux lois provinciales et fédérales de protection des données. Le cadre juridique est cohérent. Les données restent sous la juridiction de lois de protection des renseignements personnels compatibles. En cas de litige, les tribunaux québécois et canadiens sont compétents. Pas de conflit de lois entre juridictions. La perception de vos clients. Dans le secteur financier, la confiance est le fondement de la relation. Pouvoir dire à vos clients que leurs données ne quittent jamais le Canada est un argument concret de transparence et de sécurité.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/fr/blog/loi-25-guide-conseiller-financier)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/fr/blog/loi-25-obligations-cabinet-financier)*
• *[EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée](/fr/blog/efvp-evaluation-facteurs-vie-privee-loi-25)*
• *[Recours collectif Loi 25 : le risque financier que les petits cabinets sous-estiment](/fr/blog/loi-25-recours-collectif-risque-cabinet)*