Get a quote

Registre de traitement des données sous Loi 25

La conformité n’est pas la partie excitante de gérer une PME. Mais quand la Commission d’accès à l’information (CAI) ouvre un dossier, elle veut voir une chose précise dans votre registre de traitement : la chaîne de vos fournisseurs et le parcours réel de vos données. Voici comment remplir cette section avec confiance — et comment vos fournisseurs internet et cloud y trouvent leur place.

Qu’est-ce qu’un registre de traitement des données sous Loi 25 ?

Réponse courte : Le registre de traitement est un document interne obligatoire qui cartographie tous les renseignements personnels que votre entreprise collecte, utilise, conserve ou communique, ainsi que les tiers qui y ont accès. Il doit être tenu à jour et présenté à la CAI sur demande. 

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — s’applique à toute entreprise québécoise du secteur privé qui manipule des renseignements personnels dans le cadre de ses activités. Le registre est l’un des deux ou trois documents que la CAI exige systématiquement lors d’une vérification, avec la politique de protection et le plan de réponse aux incidents.

Concrètement, le registre répond à six questions pour chaque catégorie de données détenues : quelles données, pourquoi, où, combien de temps, qui y a accès, et comment elles sont protégées. Les fournisseurs internet et cloud apparaissent dans les colonnes « où » et « qui y a accès » — et c’est là que la plupart des PME ont des trous.

Où s’inscrit votre fournisseur internet dans le registre ?

Réponse courte : Trois rôles possibles, parfois cumulés : transport de la donnée, hébergement de l’équipement terminal, et conservation de journaux. Documentez-les séparément.

Un fournisseur d’accès internet n’est pas toujours un sous-traitant au sens strict — mais il l’est plus souvent qu’on ne le pense. Voici comment départager :

1. Transit pur

Si votre fournisseur transporte vos données chiffrées de bout en bout sans en conserver le contenu, il agit comme un transporteur (équivalent télécoms). Dans ce cas, l’entrée au registre se limite à : nom du fournisseur, type de lien (fibre, fixe sans fil), juridiction, et clause de confidentialité au contrat.

2. Hébergement de l’équipement terminal

Si votre fournisseur loue ou opère le routeur, le pare-feu, ou le commutateur sur votre site, il a un accès théorique à des renseignements personnels qui transitent en clair sur votre LAN. À documenter : qui peut intervenir à distance, comment cet accès est tracé, et avec quel niveau d’authentification.

3. Conservation de journaux (logs)

Tout fournisseur internet conserve des journaux de connexion pour des raisons opérationnelles. Documentez la durée, la finalité, l’accès, et la procédure en cas de demande des autorités.

Quelles erreurs reviennent le plus souvent dans les registres de PME ?

Réponse courte : Quatre erreurs reviennent presque toujours — oublier les sous-traitants secondaires, confondre résidence et souveraineté des données, négliger les journaux, et ne pas dater la dernière revue.
  1. Oublier les sous-traitants secondaires. Vous documentez votre fournisseur cloud, mais pas les fournisseurs de votre fournisseur. Or l’article 18.3 vous tient responsable de la chaîne complète.
  2. Confondre résidence et souveraineté des données. Une donnée stockée dans un centre de Montréal opéré par une société américaine reste exposée au CLOUD Act. La résidence physique ne suffit pas — il faut documenter la juridiction applicable.
  3. Négliger les journaux. Les logs contiennent des renseignements personnels (adresses IP, identifiants, horodatages). Ils doivent figurer au registre avec leur propre durée de conservation.
  4. Ne pas dater la dernière revue. Un registre sans date de mise à jour est considéré comme non maintenu. Ajoutez une colonne « dernière revue » à chaque entrée.

Questions fréquentes sur le registre de traitement Loi 25

Toutes les PME doivent-elles tenir un registre de traitement sous Loi 25 ?

Oui. La Loi 25 s’applique à toute entreprise du secteur privé qui recueille, détient, utilise ou communique des renseignements personnels dans le cadre de ses activités au Québec. Le registre est un document interne obligatoire qui doit pouvoir être présenté à la CAI sur demande.

Mon fournisseur internet est-il un « tiers » au sens de la Loi 25 ?

Un fournisseur qui transporte vos données sans les stocker ni les traiter n’est généralement pas un sous-traitant au sens strict. Mais dès qu’il conserve des journaux, héberge votre équipement terminal ou opère votre pare-feu, il devient un acteur à documenter.

Que se passe-t-il si mon fournisseur cloud est américain ?

L’article 17 impose une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout transfert hors Québec. Un hébergement chez un fournisseur soumis au CLOUD Act américain implique une documentation plus lourde et un risque résiduel à inscrire formellement au registre.

Quels champs sont obligatoires pour chaque entrée du registre ?

Cinq minimum : finalité, catégories de renseignements, accès, durée de conservation, localisation. Plus, pour chaque fournisseur, le contrat de sous-traitance et les mesures de sécurité en place.

À quelle fréquence faut-il mettre à jour le registre ?

Le registre doit être tenu à jour en continu. Une revue formelle annuelle est une bonne pratique, mais tout changement de fournisseur, ajout de service ou modification de finalité doit être consigné dès qu’il se produit.

Est-ce qu’un fournisseur internet et cloud québécois simplifie la conformité Loi 25 ?

Oui, sur trois plans : la résidence des données est documentée d’office au Québec, aucun transfert hors-Canada n’est requis donc l’ÉFVP de l’article 17 est simplifiée, et la loi applicable au contrat de sous-traitance est québécoise — ce qui réduit la zone grise juridique.

Demandez un devis!

Law 25 Data Processing Registry: Where Your Internet and Cloud Providers Fit In

Compliance is not the exciting part of running a business. But when the Commission d’accès à l’information (CAI) opens a file, it wants to see one specific thing in your data processing registry: your vendor chain and the actual path your data takes. Here is how to fill in that section with confidence — and where your internet and cloud providers belong in it.

What is a Law 25 data processing registry?

Short answer: The data processing registry is a mandatory internal document that maps every category of personal information your business collects, uses, retains, or discloses, along with the third parties that access it. It must be kept current and made available to the CAI on request.

Law 25 — officially the Act to modernize legislative provisions as regards the protection of personal information — applies to every private-sector business in Quebec that handles personal information in the course of its operations. The registry is one of two or three documents the CAI systematically reviews during a compliance check, alongside the privacy policy and the incident response plan.

In practical terms, the registry answers six questions for each category of data your business holds: what data, why, where, for how long, who has access, and how it is protected. Your internet and cloud providers show up in the “where” and “who has access” columns — and that is where most SMEs have gaps.

Where does your internet provider fit in the registry?

Short answer: Three possible roles, sometimes combined: data transport, hosting of terminal equipment, and log retention. Document them separately.

An internet provider is not always a sub-processor in the strict sense — but it is more often than people realize. Here is how to draw the line:

1. Pure transit

If your provider transports your end-to-end encrypted data without retaining its content, it acts as a carrier (the telecom equivalent). In that case, the registry entry is limited to: vendor name, link type (fibre, fixed wireless), jurisdiction, and the confidentiality clause in the contract.

2. Hosting of terminal equipment

If your provider rents or operates the router, firewall, or switch on your site, it has theoretical access to personal information that flows in clear text on your LAN. Document who can intervene remotely, how that access is logged, and at what authentication level.

3. Log retention

Every internet provider retains connection logs for operational reasons. Document the retention period, the purpose, the access controls, and the procedure for handling lawful access requests.

Which mistakes appear most often in SME registries?

Short answer: Four mistakes show up almost every time — forgetting sub-processors, confusing data residency with data sovereignty, overlooking logs, and not dating the last review.
  1. Forgetting sub-processors. You document your cloud provider but not your provider’s providers. Section 18.3 holds you accountable for the full chain.
  2. Confusing data residency with data sovereignty. Data stored in a Montreal data centre operated by a US-headquartered company remains exposed to the CLOUD Act. Physical residency is not enough — applicable law must be documented as well.
  3. Overlooking logs. Log files contain personal information (IP addresses, identifiers, timestamps). They belong in the registry with their own retention period.
  4. Not dating the last review. A registry with no update date is treated as unmaintained. Add a “last reviewed” column to every entry.

Frequently asked questions about the Law 25 registry

Does every Quebec SME need a Law 25 data processing registry?

Yes. Law 25 applies to every private-sector business in Quebec that collects, holds, uses, or discloses personal information. The registry is a mandatory internal document that must be available to the CAI on request.

Is my internet provider considered a third party under Law 25?

A provider that simply transports your data without storing or processing it is generally not a sub-processor in the strict sense. But the moment it retains logs, hosts your terminal equipment, or operates your firewall, it becomes a vendor that must be documented.

What if my cloud provider is American?

Section 17 requires a Privacy Impact Assessment (PIA) before any transfer of personal information outside Quebec. Hosting with a provider subject to the US CLOUD Act means heavier documentation and a residual risk to be formally recorded in the registry.

What fields are mandatory for each registry entry?

Five minimums: purpose, categories of information, access, retention period, location. Plus, for each vendor, the processing agreement and the security measures in place.

How often should the registry be updated?

The registry must be kept current at all times. A formal annual review is good practice, but any change of vendor, addition of a service, or change of purpose should be recorded the moment it happens.

Does a Quebec-based internet and cloud provider simplify Law 25 compliance?

Yes, in three ways: data residency is documented as Quebec by default, no cross-border transfer is required so the Section 17 PIA is simpler, and the processing agreement falls under Quebec law — which removes a meaningful legal grey area.

Customers who chose Air Fibre™

albi-le-geant-logo
hydro-quebec-logo
enertrak-logo
linen-chest-logo
distribution-stox-logo
point-s-logo

Follow us on LinkedIn

Get a quote today!

Get a quote today!