Aller au contenu principal

Hébergement souverain et conformité Loi 25

La protection des renseignements personnels n'est pas une option. Nos sites sont conformes Loi 25 par conception, et hébergés hors juridiction américaine.

Depuis le 22 septembre 2023, la Loi 25 (anciennement projet de loi 64) encadre la collecte, la conservation et le traitement des renseignements personnels par les organisations québécoises. Toute PME, OBNL ou organisme qui opère un site web au Québec est concerné, sans exception.

Le problème : la plupart des sites web québécois construits sur WordPress ou Webflow sont hébergés aux États-Unis (AWS, Google Cloud, Netlify, Vercel US) et utilisent des outils américains (Google Analytics, Meta Pixel) qui transfèrent les données en continu vers des serveurs soumis au CLOUD Act. Cette simple configuration place ton organisation en non-conformité potentielle.

Chez Studio Sixième, nous construisons des sites conformes Loi 25 par conception, hébergés sur des infrastructures européennes et canadiennes, sans tracker tiers par défaut.

Checklist de conformité incluse dans chaque projet

  • Hébergement hors juridiction américaine — Hetzner (Allemagne / Finlande) ou OVH (Beauharnois, QC)
  • Pas de Google Analytics par défaut — remplacé par Vercel Analytics (anonymisé, sans cookies) ou Plausible (self-hosted)
  • Pas de Meta Pixel, Hotjar ou autres trackers US sans consentement explicite
  • Politique de confidentialité adaptéerédigée selon le modèle de la Commission d'accès à l'information
  • Bannière cookies sur mesure— pas d'abonnement Axeptio ou Cookiebot, code en propre
  • Formulaires conformes— stockage des consentements, droit à l'oubli implémenté
  • Chiffrement TLS 1.3 partout, HSTS activé, certificats auto-renouvelés
  • Sauvegardes chiffrées quotidiennes, rétention 30 jours, redondance géographique

Risques concrets pour ton organisation

Être non conforme Loi 25 n'est pas théorique. Les conséquences observables :

  • Sanctions financières — jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial— c'est plus strict que le RGPD
  • Obligation de notifier un incident à la CAI et aux personnes concernées, sous peine de pénalités additionnelles
  • Atteinte à la réputation en cas de fuite — rendue publique par la CAI, relayée par les médias
  • Perte de contrats publics— les appels d'offres gouvernementaux exigent de plus en plus la conformité Loi 25 comme critère
  • Action collective possible — les utilisateurs ont le droit de poursuivre pour atteinte à leurs renseignements personnels

Audit de conformité ou refonte ?

Audit Loi 25 et refonte complète vers une stack conforme · Nouveau site conforme dès la livraison inclus dans tous nos forfaits.

Demander un audit

Questions fréquentes sur les services web à Québec

C'est quoi la Loi 25 en clair ?

La Loi 25 (officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) oblige toute organisation québécoise à : (1) désigner un responsable de la protection des renseignements personnels, (2) obtenir un consentement clair avant de collecter des données, (3) informer les utilisateurs de l'usage qui en est fait, (4) les protéger contre les transferts non consentis hors Québec. Les sanctions vont jusqu'à 25 M$ ou 4% du chiffre d'affaires mondial.

Qu'est-ce que le CLOUD Act américain ?

Le CLOUD Act (2018) autorise les autorités américaines à exiger l'accès aux données stockées par des entreprises US, même si les serveurs sont physiquement ailleurs. Si ton site est hébergé sur AWS, Google Cloud ou Vercel (entreprises US), tes données peuvent théoriquement être consultées sans ton consentement ni celui des utilisateurs québécois — ce qui est problématique sous Loi 25.

Pourquoi Hetzner plutôt qu'un hébergeur canadien ?

Nous utilisons Hetzner (Allemagne + Finlande) pour trois raisons : (1) il est soumis au RGPD européen, plus strict que le cadre canadien actuel, (2) il est totalement hors juridiction américaine, (3) il offre un rapport qualité/prix imbattable. Pour les clients qui exigent un hébergement strictement canadien, nous offrons aussi OVH Beauharnois (Québec). Les deux sont conformes Loi 25.

Un site Next.js sur Vercel est-il conforme Loi 25 ?

Techniquement, Vercel opère principalement sur AWS US — donc il tombe sous le CLOUD Act. On peut configurer Vercel pour router uniquement via des régions européennes (data residency), mais ça reste une entreprise US. Pour une conformité stricte, nous recommandons Hetzner ou OVH. Nous pouvons tout de même déployer sur Vercel si le client préfère et comprend les implications — c'est un arbitrage conscient.

Est-ce que vous fournissez la politique de confidentialité ?

Oui. Chaque site livré inclut un modèle de politique de confidentialité adaptée à la Loi 25 et au RGPD, une bannière cookies sur mesure (sans abonnement à Axeptio ou Cookiebot), et une page de gestion des consentements. Nous ne sommes pas avocats — pour les cas complexes, nous recommandons une révision par un juriste spécialisé.

Combien coûte la mise en conformité ?

Rien en plus, si c'est un nouveau projet avec Studio Sixième : la conformité est incluse par défaut dans tous nos forfaits. Pour une mise à niveau d'un site existant WordPress ou Webflow, nous offrons un audit Loi 25 qui identifie les écarts et propose un plan de correction, suivi d'une refonte complète vers une stack conforme. Tarification transparente sur demande.