Est-ce qu'un fournisseur américain avec des serveurs au Canada est conforme à Loi 25 ?

C'est une zone grise. Le CLOUD Act américain s'applique aux entreprises américaines indépendamment de l'emplacement physique des serveurs. La CAI n'a pas tranché cette question explicitement, mais votre EFVP devra tenir compte de ce risque. La recommandation : préférer des fournisseurs dont le siège social est hors des États-Unis.

Faut-il un contrat distinct pour chaque pays d'hébergement ?

Non. Un contrat avec votre fournisseur principal suffit, à condition qu'il couvre toute la chaîne de sous-traitance. Demandez à votre fournisseur une liste de ses sous-traitants et des pays où les données peuvent transiter.

Quelle documentation dois-je garder pour prouver ma conformité ?

Trois documents minimum : l'EFVP réalisée avant le transfert, le contrat écrit avec le fournisseur étranger, et la politique de confidentialité de votre entreprise qui mentionne les transferts. Conservez ces documents au moins 5 ans.

KLARHEIT

Héberger ses données au Québec ou en Europe : est-ce légalement équivalent sous Loi 25 ?

02. May 2026 · 6 Min.

La Loi 25 autorise le transfert de renseignements personnels hors du Québec — mais seulement si le pays de destination offre une « protection équivalente ». Ce concept est central mais rarement expliqué clairement pour les petites entreprises. Voici la réponse directe.

Ce que dit la Loi 25 exactement

L'article 17 de la Loi 25 exige qu'avant de communiquer des renseignements personnels hors du Québec, l'entreprise effectue une évaluation de la protection équivalente et conclue un accord écrit avec le destinataire. La Commission d'accès à l'information (CAI) a publié des lignes directrices sur ce que cette évaluation doit couvrir.

L'Europe qualifie-t-elle ?

Oui, dans la grande majorité des cas. Les pays de l'Union européenne sont soumis au RGPD (Règlement général sur la protection des données), qui est considéré par la CAI comme offrant un niveau de protection comparable à la Loi 25. Cela signifie qu'héberger vos données dans un datacenter en Allemagne ou en France est défendable sous Loi 25.

Conditions : vous devez avoir un contrat écrit avec votre fournisseur qui précise les mesures de protection en place, et conserver la documentation de votre évaluation.

Ce qui ne qualifie pas automatiquement

Les États-Unis ne bénéficient pas d'une reconnaissance automatique de protection équivalente. Le CLOUD Act américain (2018) permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, même si les serveurs sont physiquement en Europe. Un fournisseur américain avec des serveurs en Europe reste juridiquement soumis au CLOUD Act.

Ce point est crucial : « serveur en Europe » ne signifie pas « protection équivalente » si le fournisseur est américain.

La solution la plus simple pour une PME

Choisir un fournisseur européen dont les serveurs sont en Europe, et qui n'est pas une filiale d'une entreprise américaine. Dans ce cas, l'évaluation de protection équivalente est quasi automatiquement positive, et la documentation de votre EFVP est simplifiée.

Données hébergées en Europe – EFVP simplifiée, conformité Loi 25

→ Tycho Platform – infrastructure européenne

→ Page spéciale PME québécoises

Suivre le canal Telegram

Votre espace numérique vous attend.

Découvrir Tycho Platform Nous contacter