Demander un devis

Registre de traitement des données sous Loi 25

La conformité n’est pas la partie excitante de gérer une PME. Mais quand la Commission d’accès à l’information (CAI) ouvre un dossier, elle veut voir une chose précise dans votre registre de traitement : la chaîne de vos fournisseurs et le parcours réel de vos données. Voici comment remplir cette section avec confiance — et comment vos fournisseurs internet et cloud y trouvent leur place.

Qu'est-ce qu'un registre de traitement des données sous Loi 25 ?

Réponse courte : Le registre de traitement est un document interne obligatoire qui cartographie tous les renseignements personnels que votre entreprise collecte, utilise, conserve ou communique, ainsi que les tiers qui y ont accès. Il doit être tenu à jour et présenté à la CAI sur demande.
 

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — s’applique à toute entreprise québécoise du secteur privé qui manipule des renseignements personnels dans le cadre de ses activités. Le registre est l’un des deux ou trois documents que la CAI exige systématiquement lors d’une vérification, avec la politique de protection et le plan de réponse aux incidents.

Concrètement, le registre répond à six questions pour chaque catégorie de données détenues : quelles données, pourquoi, où, combien de temps, qui y a accès, et comment elles sont protégées. Les fournisseurs internet et cloud apparaissent dans les colonnes « où » et « qui y a accès » — et c’est là que la plupart des PME ont des trous.

Où s'inscrit votre fournisseur internet dans le registre ?

Réponse courte : Trois rôles possibles, parfois cumulés : transport de la donnée, hébergement de l’équipement terminal, et conservation de journaux. Documentez-les séparément.

Un fournisseur d’accès internet n’est pas toujours un sous-traitant au sens strict — mais il l’est plus souvent qu’on ne le pense. Voici comment départager :

1. Transit pur

Si votre fournisseur transporte vos données chiffrées de bout en bout sans en conserver le contenu, il agit comme un transporteur (équivalent télécoms). Dans ce cas, l’entrée au registre se limite à : nom du fournisseur, type de lien (fibre, fixe sans fil), juridiction, et clause de confidentialité au contrat.

2. Hébergement de l’équipement terminal

Si votre fournisseur loue ou opère le routeur, le pare-feu, ou le commutateur sur votre site, il a un accès théorique à des renseignements personnels qui transitent en clair sur votre LAN. À documenter : qui peut intervenir à distance, comment cet accès est tracé, et avec quel niveau d’authentification.

3. Conservation de journaux (logs)

Tout fournisseur internet conserve des journaux de connexion pour des raisons opérationnelles. Documentez la durée, la finalité, l’accès, et la procédure en cas de demande des autorités.

Quelles erreurs reviennent le plus souvent dans les registres de PME ?

Réponse courte : Quatre erreurs reviennent presque toujours — oublier les sous-traitants secondaires, confondre résidence et souveraineté des données, négliger les journaux, et ne pas dater la dernière revue.
  1. Oublier les sous-traitants secondaires. Vous documentez votre fournisseur cloud, mais pas les fournisseurs de votre fournisseur. Or l’article 18.3 vous tient responsable de la chaîne complète.
  2. Confondre résidence et souveraineté des données. Une donnée stockée dans un centre de Montréal opéré par une société américaine reste exposée au CLOUD Act. La résidence physique ne suffit pas — il faut documenter la juridiction applicable.
  3. Négliger les journaux. Les logs contiennent des renseignements personnels (adresses IP, identifiants, horodatages). Ils doivent figurer au registre avec leur propre durée de conservation.
  4. Ne pas dater la dernière revue. Un registre sans date de mise à jour est considéré comme non maintenu. Ajoutez une colonne « dernière revue » à chaque entrée.

Questions fréquentes sur le registre de traitement Loi 25

Toutes les PME doivent-elles tenir un registre de traitement sous Loi 25 ?

Oui. La Loi 25 s’applique à toute entreprise du secteur privé qui recueille, détient, utilise ou communique des renseignements personnels dans le cadre de ses activités au Québec. Le registre est un document interne obligatoire qui doit pouvoir être présenté à la CAI sur demande.

Mon fournisseur internet est-il un « tiers » au sens de la Loi 25 ?

Un fournisseur qui transporte vos données sans les stocker ni les traiter n’est généralement pas un sous-traitant au sens strict. Mais dès qu’il conserve des journaux, héberge votre équipement terminal ou opère votre pare-feu, il devient un acteur à documenter.

Que se passe-t-il si mon fournisseur cloud est américain ?

L’article 17 impose une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout transfert hors Québec. Un hébergement chez un fournisseur soumis au CLOUD Act américain implique une documentation plus lourde et un risque résiduel à inscrire formellement au registre.

Quels champs sont obligatoires pour chaque entrée du registre ?

Cinq minimum : finalité, catégories de renseignements, accès, durée de conservation, localisation. Plus, pour chaque fournisseur, le contrat de sous-traitance et les mesures de sécurité en place.

À quelle fréquence faut-il mettre à jour le registre ?

Le registre doit être tenu à jour en continu. Une revue formelle annuelle est une bonne pratique, mais tout changement de fournisseur, ajout de service ou modification de finalité doit être consigné dès qu’il se produit.

Est-ce qu’un fournisseur internet et cloud québécois simplifie la conformité Loi 25 ?

Oui, sur trois plans : la résidence des données est documentée d’office au Québec, aucun transfert hors-Canada n’est requis donc l’ÉFVP de l’article 17 est simplifiée, et la loi applicable au contrat de sous-traitance est québécoise — ce qui réduit la zone grise juridique.

Demandez un devis!

Demandez un devis!