Entente de traitement des renseignements personnels — Québec (Loi 25)
Entente de traitement des renseignements personnels — Law 25 s. 18.3
DATA PROCESSING AGREEMENT
Entente de traitement des renseignements personnels — Law 25 (CQLR c P-39.1), s. 18.3
This Data Processing Agreement ('DPA') is entered into as of [Agreement Date], between:
CONTROLLER (Organisation): [Controller Name], [Controller Address] | CPO: [Controller CPO]
PROCESSOR (Prestataire de services): [Processor Name], [Processor Address]
1. MANDATE AND PROCESSING SCOPE
Mandate: [Mandate Description]
Types of personal information: [Personal Info Types]
Data subjects: [Data Subjects]
Authorized purpose: [Processing Purpose]
The Processor may only process personal information for the purpose of the mandate described above. Any use for other purposes is strictly prohibited under Law 25, s. 18.3.
2. SECURITY MEASURES
The Processor implements the following security measures appropriate to the sensitivity of the personal information: [Security Measures]
Privacy incident notification: The Processor shall notify the Controller of any privacy incident (confidentiality incident) within [Breach Notification Period] of becoming aware. The notification must include: nature of the incident, personal information affected, persons affected, measures taken to reduce risk of harm, and estimated timeline for remediation.
The Controller is responsible for notifying the Commission d'accès à l'information (CAI) and affected individuals as required by Law 25, ss. 3.5-3.8.
3. SUB-PROCESSORS
Sub-processor rule: [Sub-Processor Rule]
Any authorized sub-processor must be bound by data processing obligations equivalent to those in this DPA.
4. RETENTION AND RETURN OF DATA
Retention: [Retention Period]
Return / deletion on mandate end: [Return/Deletion Method]
Administrative monetary penalties under Law 25 may reach up to $10 million CAD or 2% of worldwide turnover for violations. The Processor indemnifies the Controller for any penalties attributable to the Processor's breach of this DPA.
Controller (Organisation)
________________
Signature
Processor (Prestataire de services)
________________
Signature
Qu'est-ce qu'un Entente de traitement des renseignements personnels — Québec (Loi 25) ?
L'entente de traitement des renseignements personnels au Québec (entente de sous-traitance) est un document juridique formel régi par la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), telle que modifiée par la Loi 25, ainsi que par les articles 35 à 41 du Code civil du Québec portant sur la protection de la vie privée. Cette entente est requise lorsqu'une entreprise communique des renseignements personnels à un prestataire de services (le sous-traitant) qui les traite pour son compte. Elle encadre la portée du traitement, les mesures de sécurité, la notification des incidents de confidentialité, le recours à des sous-traitants ultérieurs ainsi que la remise ou la destruction des données à la fin du mandat.
La Loi 25 oblige l'entreprise qui confie des renseignements personnels à un tiers à conclure une entente écrite précisant les mesures de protection applicables et restreignant l'utilisation des données aux seules fins du mandat confié. Le sous-traitant ne peut utiliser les renseignements à d'autres fins ni les conserver au-delà de la durée nécessaire. En cas d'incident de confidentialité présentant un risque de préjudice sérieux, l'entreprise doit aviser la Commission d'accès à l'information (CAI) et les personnes concernées. L'entente doit aussi tenir compte du transfert de renseignements à l'extérieur du Québec, qui exige une évaluation préalable des facteurs relatifs à la vie privée. Une entente de traitement conforme à la Loi 25 permet de répartir clairement les responsabilités entre le responsable des renseignements et son sous-traitant et de démontrer la diligence de l'entreprise en cas de contrôle de la CAI.
Quand avez-vous besoin d'un Entente de traitement des renseignements personnels — Québec (Loi 25) ?
Un(e) Entente de traitement des renseignements personnels (Loi 25) est nécessaire chaque fois que des parties au Québec souhaitent formaliser leur arrangement concernant les opérations commerciales, la gouvernance d'entreprise et les transactions commerciales. Il existe de nombreuses situations dans lesquelles ce document devient essentiel pour protéger les intérêts de toutes les parties concernées. Dans un contexte commercial, vous pourriez avoir besoin d'un(e) Entente de traitement des renseignements personnels (Loi 25) lors de l'établissement de nouvelles relations commerciales, de la formalisation d'arrangements existants qui étaient auparavant informels, de l'expansion de vos opérations commerciales, ou de la restructuration d'ententes existantes. Les entreprises immatriculées auprès du REQ devraient s'assurer qu'une documentation appropriée est maintenue pour toutes les transactions commerciales significatives. Vous devriez également envisager d'utiliser un(e) Entente de traitement des renseignements personnels (Loi 25) lorsqu'il y a eu un changement de circonstances affectant un arrangement existant, lorsque vous devez vous conformer à de nouvelles exigences réglementaires, lorsque vous souhaitez mettre à jour une documentation obsolète, ou lorsque des conseillers professionnels recommandent de formaliser certains aspects de vos affaires. Au Québec, le maintien d'une documentation juridique à jour et exacte est considéré comme une pratique exemplaire et peut aider à prévenir des litiges coûteux. Il est généralement conseillé de préparer un(e) Entente de traitement des renseignements personnels (Loi 25) avant que des problèmes ne surviennent, plutôt que d'essayer de documenter les modalités après qu'un différend ait déjà commencé. La documentation proactive apporte clarté et réduit le potentiel de malentendus. Le moment de l'exécution est également important : au Québec, certains documents doivent être exécutés avant que des actions spécifiques ne soient prises ou dans des délais prescrits pour être efficaces.
Que faut-il inclure dans votre Entente de traitement des renseignements personnels — Québec (Loi 25) ?
Un(e) Entente de traitement des renseignements personnels (Loi 25) bien rédigé(e) pour utilisation au Québec devrait contenir plusieurs éléments essentiels pour garantir son efficacité juridique et offrir une protection adéquate à toutes les parties. Identification des parties : Le document doit clairement identifier toutes les parties concernées, y compris leurs noms légaux complets, adresses et numéros d'identification pertinents. Pour les particuliers au Québec, cela inclut le numéro d'assurance sociale ou le permis de conduire. Pour les entreprises, le numéro d'entreprise du Québec (NEQ) et l'adresse du siège social doivent être précisés. Considérants et contexte : Le document devrait inclure des informations de contexte expliquant le cadre et l'objet de l'arrangement. Cela aide à établir les intentions des parties et peut être important pour l'interprétation des termes du document en cas d'ambiguïté ultérieure, conformément aux articles 1425 à 1432 du C.c.Q. Clauses opérationnelles : Les modalités et conditions principales doivent être énoncées clairement et de manière exhaustive. Cela comprend les droits et obligations de chaque partie, toute condition ou préalable, la durée de l'arrangement et toute limitation ou restriction. Tous les termes clés doivent être définis avec précision pour éviter l'ambiguïté et les différends potentiels. Modalités financières : Le cas échéant, le document doit préciser tout paiement, frais, dépôt ou autre contrepartie financière. Les montants en dollars canadiens (CAD), les calendriers de paiement et les méthodes de paiement doivent être clairement indiqués. Toute disposition relative aux paiements en retard, aux frais d'intérêt (conformément à l'art. 1565 C.c.Q.) ou aux ajustements doit également être incluse. Durée et résiliation : Le document doit préciser sa durée, y compris la date de début, la date de fin ou les conditions d'expiration, et toute disposition de renouvellement ou de prolongation. Les circonstances dans lesquelles l'une ou l'autre des parties peut résilier l'arrangement de manière anticipée doivent être clairement définies, de même que les exigences de préavis et les conséquences de la résiliation. Résolution des différends : Le document doit inclure des dispositions pour la résolution de tout différend pouvant survenir, comme la négociation, la médiation, l'arbitrage ou le recours aux tribunaux. Au Québec, les parties peuvent choisir de spécifier la compétence des tribunaux québécois et le droit applicable (C.c.Q. et Code de procédure civile). Loi applicable et juridiction : Le document doit préciser qu'il est régi par les lois du Québec et que les différends seront soumis à la compétence des tribunaux québécois. Ceci est particulièrement important dans les transactions interprovinciales ou lorsque les parties sont situées dans différentes juridictions. Signatures et exécution : Le document doit être dûment signé par toutes les parties ou leurs représentants autorisés. Au Québec, certains documents peuvent nécessiter d'être attestés par témoin, notariés (acte notarié en vertu de l'art. 2819 C.c.Q.) ou exécutés sous forme d'acte authentique pour être juridiquement efficaces. La date d'exécution doit être clairement consignée et chaque partie doit conserver un exemplaire original signé.
Citer cette page
Référencez ce modèle gratuit dans un article, un programme de cours ou une note de recherche :
Forms Legal. (2026). Entente de traitement des renseignements personnels — Québec (Loi 25) (Québec) [Legal document template]. Forms Legal. https://forms-legal.com/fr/quebec/business/contracts/entente-traitement-renseignements-personnels-quebec
"Entente de traitement des renseignements personnels — Québec (Loi 25) (Québec)." Forms Legal, 2026, https://forms-legal.com/fr/quebec/business/contracts/entente-traitement-renseignements-personnels-quebec.
@misc{formslegal-entente-traitement-renseignements-personnels-quebec,
author = {{Forms Legal}},
title = {Entente de traitement des renseignements personnels — Québec (Loi 25) (Québec)},
year = {2026},
howpublished = {\url{https://forms-legal.com/fr/quebec/business/contracts/entente-traitement-renseignements-personnels-quebec}},
note = {Free legal document template. Based on Civil Code of Québec (CCQ), Book Five: Obligations}
}Questions Fréquentes
En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1), telle que substantiellement modifiée par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 2021) — entrée en vigueur progressivement de septembre 2022 à septembre 2023 — une entente de traitement est requise chaque fois qu'une organisation communique des renseignements personnels à un tiers mandataire pour l'exécution d'un mandat ou d'un contrat de service. L'art. 18.3 de la Loi 25 exige que toute communication de renseignements personnels à un tiers à des fins d'exécution d'un mandat ou d'un contrat de service soit régie par une entente écrite. L'entente doit prévoir des mesures pour protéger la confidentialité des renseignements, interdire leur utilisation à d'autres fins que le mandat, et obliger le mandataire à aviser l'organisation de tout incident de confidentialité. Cette exigence est analogue, mais distincte, des ententes de traitement de l'article 28 du RGPD européen.
En vertu de la Loi 25, une entente de traitement des renseignements personnels au Québec doit comprendre : (1) la finalité pour laquelle les renseignements personnels sont communiqués — le mandataire ne peut les utiliser qu'aux fins du mandat précisé; (2) les mesures de sécurité pour protéger la confidentialité des renseignements — proportionnelles à leur sensibilité; (3) une interdiction de communiquer les renseignements à des sous-traitants sans l'autorisation de l'organisation; (4) une obligation de notification — le mandataire doit aviser promptement l'organisation de tout incident de confidentialité; (5) une disposition prévoyant le retour ou la destruction des renseignements à la fin du mandat; et (6) pour les communications transfrontalières hors Québec, une évaluation des facteurs relatifs à la vie privée (EFVP) en vertu de l'art. 17 de la Loi 25 établissant que les renseignements bénéficieront d'une protection adéquate dans la juridiction destinataire.
La Loi 25 a introduit des sanctions administratives pécuniaires importantes administrées par la Commission d'accès à l'information (CAI) pour les violations du droit à la vie privée au Québec. Pour les organisations, les sanctions administratives peuvent atteindre jusqu'à 10 millions de dollars CAD ou 2 % du chiffre d'affaires mondial de l'exercice précédent (le montant le plus élevé étant retenu) pour certaines violations. Pour les infractions pénales jugées devant la Cour du Québec, les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations graves. La CAI dispose également de larges pouvoirs d'enquête et d'application, notamment celui d'ordonner aux organisations de cesser de traiter des renseignements personnels, de mettre en œuvre des mesures de sécurité spécifiques et d'aviser les personnes concernées des incidents de confidentialité. Les administrateurs et dirigeants de sociétés peuvent être tenus personnellement responsables dans certaines circonstances.
La Loi 25 du Québec s'est explicitement inspirée du Règlement général sur la protection des données (RGPD) de l'UE et partage de nombreux concepts, mais il existe des différences importantes en matière d'ententes de traitement. Les deux exigent des ententes écrites avec le sous-traitant précisant la finalité, les mesures de sécurité, le contrôle des sous-traitants ultérieurs et la notification des incidents. Toutefois, la Loi 25 n'utilise pas la terminologie responsable du traitement/sous-traitant — elle réfère à l'organisation qui détient les renseignements personnels et à la personne à qui elle les communique dans le cadre d'un mandat. La Loi 25 comporte des exigences québécoises spécifiques qui diffèrent du RGPD : l'obligation d'évaluation des facteurs relatifs à la vie privée (EFVP) pour les transferts transfrontaliers (plus large que l'évaluation d'impact sur les transferts du RGPD); la désignation obligatoire d'un responsable de la protection des renseignements personnels pour toutes les organisations; et l'obligation de publier une politique de confidentialité sur le site web de l'organisation. La Loi 25 prévoit également une obligation plus précise de tenue d'un registre des incidents de confidentialité.
A Data Processing Agreement — Quebec (Law 25 / CQLR c P-39.1) does not legally require a lawyer in Quebec, and individuals and businesses may draft and execute the document independently. However, seeking independent legal advice from a qualified Quebec lawyer is recommended for transactions involving substantial financial value, complex regulatory requirements, or cross-border elements where multiple legal jurisdictions may apply. A lawyer can verify that the document complies with all applicable statutory requirements, identify potential risks specific to the transaction, and confirm that the terms adequately protect the interests of all parties involved. The Superior Court of Québec has jurisdiction over disputes arising from this type of document, and Registraire des entreprises du Québec may impose additional compliance obligations depending on the nature of the underlying transaction. Professional legal review is particularly advisable where the document will be submitted to government agencies or used as evidence in legal proceedings.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Convention d'arbitrage — Québec (C.c.Q. arts. 2638-2643, C.p.c. arts. 620-655)
Créez une Convention d'arbitrage québécoise juridiquement contraignante pour régler les différends commerciaux hors tribunal. Régie par le C.c.Q. arts. 2638-2643 et le C.p.c. arts. 620-655. Supporte le compromis (différend existant) et la clause compromissoire (différends futurs). Couvre les règles d'arbitrage (CCAC/CCI/ICDR/ad hoc), le nombre d'arbitres, le siège, la langue, la confidentialité et les frais. La sentence est finale (art. 2643 C.c.Q.). PDF ou Word.
Accord de distribution exclusive (Québec)
Créez un accord de distribution exclusive complet au Québec couvrant le territoire exclusif, les engagements d'achats minimums, les prix, les obligations marketing, la non-concurrence, la propriété intellectuelle et la résiliation selon le droit civil québécois et la Loi sur la concurrence.
Accord-cadre fournisseur — Québec (C.c.Q. arts. 1708–2129)
Créez un Accord-cadre fournisseur québécois complet établissant les conditions générales pour l'approvisionnement continu en biens et/ou services. Régi par le C.c.Q. arts. 1708–1805 (vente), arts. 2098–2129 (contrat de service) et art. 1375 (bonne foi). Couvre tarification, livraison, paiement, qualité, garantie, limitation de responsabilité, durée et résiliation.
Accord de règlement à l'amiable — Québec
Accord de règlement à l'amiable (transaction) régi par les articles 2631 à 2637 du Code civil du Québec. Règle les différends par concessions mutuelles avec l'autorité de la chose jugée (art. 2633 CCQ). Comprend un paiement monétaire facultatif, une quittance mutuelle, la confidentialité, le non-dénigrement et la discontinuation des procédures.