Accueil
Article actuel

La Loi 25 n'interdit pas le cloud : elle impose un processus que la majorité des projets ERP ignorent

Auteur de l’article :
Publié le
April 2, 2026
Lecture :
10
mins
[background image] image of an innovation lab (for an ai developer tools business)

Ce contenu ne constitue pas un avis juridique.

La Loi 25 n'interdit pas le cloud : elle impose un processus que la majorité des projets ERP ignorent

La Loi 25 du Québec n'interdit pas le transfert de renseignements personnels hors de la province. Elle impose une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert, une entente contractuelle écrite avec le fournisseur infonuagique, et la démonstration que le niveau de protection offert est équivalent à celui garanti au Québec. Un projet ERP cloud peut être conforme. Mais la majorité des déploiements passent ces étapes en 72 heures, sans analyse sérieuse.

Ce que la Loi 25 exige réellement avant un déploiement ERP cloud

Entrée en vigueur progressivement depuis septembre 2022, avec les obligations les plus critiques actives depuis septembre 2023 et septembre 2024, la Loi 25 impose un cadre précis avant tout transfert de données personnelles hors du Québec. Y compris vers d'autres provinces canadiennes comme l'Ontario ou l'Alberta.

Les obligations concrètes pour un projet ERP cloud :

  • EFVP obligatoire : avant de confier le traitement de données à un tiers hors Québec, vous devez réaliser une évaluation documentée des risques liés à la juridiction de destination, aux mesures de sécurité du fournisseur, et aux accès gouvernementaux potentiels.
  • Entente contractuelle spécifique : les conditions d'utilisation standard d'un éditeur SaaS ne suffisent pas. Un contrat encadrant les types de données transférées, les finalités autorisées, les obligations de confidentialité et les droits d'audit est requis.
  • Désignation d'un responsable de la protection des renseignements personnels (RPRP) : en l'absence de désignation, c'est le PDG qui est automatiquement considéré comme responsable.
  • Démonstration de la conformité en cas de contrôle : la CAI (Commission d'accès à l'information) peut demander à voir vos évaluations documentées. L'intention n'est pas suffisante. La documentation l'est.

Ce cadre s'applique à Oracle Cloud ERP, SAP S/4HANA Cloud, Microsoft Dynamics 365, NetSuite, et à toute autre solution ERP hébergée hors du Québec. Ce n'est pas une question d'éditeur. C'est une question de géolocalisation des données et de juridiction applicable.

Le risque réel du CLOUD Act américain sur vos données ERP

La majorité des éditeurs ERP majeurs sont des entreprises américaines : Oracle, Microsoft, Salesforce. SAP SE est une société de droit allemand, mais avec des infrastructures cloud aux États-Unis. Le CLOUD Act américain de 2018 permet aux autorités fédérales américaines d'accéder aux données détenues par des entreprises américaines, même si ces données sont physiquement stockées dans des centres de données canadiens ou européens.

Ce risque doit être évalué dans votre EFVP. Il ne disqualifie pas automatiquement un fournisseur américain, mais il doit être documenté avec les mesures d'atténuation choisies : chiffrement des données avec clés gérées par le client, pseudonymisation, restrictions d'accès contractuelles, et évaluation des recours disponibles pour les personnes concernées.

Si votre ERP traite des données de fournisseurs, clients ou employés québécois, ces données sont couvertes par la Loi 25 dès leur collecte. Leur migration vers un environnement cloud hébergé aux États-Unis ou en Irlande déclenche les obligations d'EFVP. Peu importe la nationalité de votre entreprise ou la taille de votre projet.

Les États-Unis ne sont pas reconnus comme une juridiction offrant une protection équivalente à la loi québécoise. L'Union européenne, généralement oui. Cette distinction est concrète : un ERP hébergé en région AWS Canada (Montréal) simplifie considérablement l'analyse d'équivalence par rapport à un hébergement en région US-East.

Pourquoi la plupart des projets ERP ignorent ces obligations

Les intégrateurs ERP certifiés vendent des projets d'implantation. L'EFVP, les clauses contractuelles de protection des données, et la documentation de conformité Loi 25 ne sont pas dans leur périmètre de livraison standard. Ils ne sont pas des avocats spécialisés en protection des données. Et ils n'ont pas d'intérêt économique à allonger le cycle de vente avec des considérations réglementaires.

Le résultat courant : le projet démarre, les données sont migrées vers le cloud, et la question de la conformité Loi 25 est traitée après coup, souvent à la demande d'un auditeur externe ou lors d'un incident de sécurité. À ce stade, rattraper les lacunes documentaires coûte plus cher que de les prévenir.

Un conseil ERP indépendant intègre la conformité Loi 25 dans la grille de sélection de la solution dès la phase de définition des besoins. La localisation des données, les engagements contractuels de l'éditeur, et la structure d'EFVP font partie des critères d'évaluation au même titre que le périmètre fonctionnel ou le coût total de possession.

Les éditeurs qui facilitent la conformité Loi 25, et ceux qui la compliquent

Tous les éditeurs ERP cloud ne sont pas égaux sur la question de la conformité québécoise. Voici les paramètres concrets qui différencient les options :

  • Disponibilité d'une région Canada : AWS et Microsoft Azure offrent des régions Canada (Montréal/Toronto) où les données peuvent être hébergées. Google Cloud également. SAP BTP et Oracle Cloud Infrastructure disposent de régions canadiennes mais avec une disponibilité de services plus restreinte selon les modules.
  • Capacité à négocier des clauses de protection des données : les grands éditeurs comme Oracle et SAP ont des processus DPA (Data Processing Agreement) documentés. Les éditeurs mid-market sont souvent moins structurés sur ce point et leurs conditions standard sont parfois insuffisantes au regard de la Loi 25.
  • Chiffrement avec clés gérées par le client (BYOK) : cette fonctionnalité, disponible chez Oracle Cloud et Microsoft Azure pour les déploiements enterprise, réduit significativement le risque lié au CLOUD Act en rendant les données inaccessibles même pour l'éditeur lui-même.
  • Transparence sur les sous-processeurs : la Loi 25 exige une liste des tiers qui traitent les données en votre nom. Certains éditeurs publient cette liste et la tiennent à jour. D'autres la fournissent uniquement sur demande contractuelle explicite.

Intégrer la conformité Loi 25 dans votre appel d'offres ERP

La conformité ne s'obtient pas après la signature. Elle se structure pendant la sélection. Un appel d'offres ERP bien conçu inclut une section dédiée aux exigences de protection des données, opposable aux soumissionnaires :

  • Localisation des centres de données et engagement contractuel de résidence des données
  • Disponibilité d'un DPA conforme aux exigences québécoises et capacité à négocier des clauses supplémentaires
  • Processus de notification en cas d'incident de sécurité : la Loi 25 impose une notification dans les 72 heures
  • Documentation des sous-processeurs et droits d'audit
  • Disponibilité du BYOK ou d'un mécanisme de chiffrement équivalent

Les réponses des soumissionnaires à ces exigences sont révélatrices. Un éditeur incapable de répondre précisément à ces questions en phase d'appel d'offres aura les mêmes difficultés en phase de déploiement. Au moment où le coût du changement sera beaucoup plus élevé.

Posez ces questions maintenant. Pas après la signature.

Questions fréquentes

La Loi 25 oblige-t-elle à héberger les données ERP au Québec ?

Non. La Loi 25 n'impose pas la résidence des données au Québec. Elle impose une EFVP avant tout transfert hors Québec et la démonstration que le niveau de protection est équivalent. Héberger en région Canada simplifie l'analyse, mais un hébergement en Europe ou aux États-Unis avec les mesures appropriées peut aussi être conforme.

Un transfert de données vers Toronto ou Calgary déclenche-t-il la Loi 25 ?

Oui. Tout transfert hors du Québec, même vers une autre province canadienne, déclenche l'obligation d'EFVP. Le risque est généralement plus faible pour les provinces canadiennes soumises à la LPRPDE, mais l'évaluation documentée reste obligatoire. Ce n'est pas parce que c'est au Canada que c'est automatiquement conforme.

Les conditions d'utilisation standard d'Oracle ou de SAP suffisent-elles ?

Non. Les conditions d'utilisation standard ne couvrent pas les exigences spécifiques de la Loi 25 en matière de transfert transfrontalier. Oracle et SAP disposent tous deux de processus DPA (Data Processing Agreement) qui peuvent être adaptés. Ces documents doivent être négociés et signés avant le déploiement, pas après.

Quelles sont les sanctions en cas de non-conformité à la Loi 25 ?

La CAI peut imposer des sanctions administratives pécuniaires allant jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial pour les manquements graves, et jusqu'à 25 M$ ou 4 % du chiffre d'affaires pour les violations les plus sévères. Des poursuites pénales sont également possibles. Ces montants s'alignent sur le modèle RGPD européen.

Un ERP cloud peut-il être 100 % conforme à la Loi 25 ?

Oui, à condition de choisir la bonne configuration et de documenter rigoureusement le processus. Résidence des données en région Canada, DPA signé avec l'éditeur, EFVP documentée, BYOK activé et RPRP désigné : avec ces éléments en place, un déploiement cloud est conforme. La non-conformité n'est pas une fatalité du cloud. C'est le résultat d'un projet mal préparé.