Canada | All Industries
Québec (Canada) Law 25 / la Loi 25 [English version follows]
La Loi 25 du Québec (anciennement projet de loi 64), soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, introduit de nouvelles exigences en matière de protection des renseignements personnels pour les organisations des secteurs privé et public, y compris des exigences concernant le transfert de renseignements personnels à l’extérieur du Québec, tant dans la Loi sur la protection des renseignements personnels dans le secteur privé («Loi sur le secteur privé», article 17) que dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels («Loi sur l’accès», article 70.1).
Pour les clients du Québec, il est important de noter que la Loi 25 n’interdit pas le transfert de renseignements personnels hors de la province. Les entreprises et les organismes publics au Québec peuvent traiter des renseignements personnels à l’extérieur du Québec lorsqu’ils utilisent Google Cloud (anciennement Google Cloud Platform), Google Workspace ou Google Workspace for Education (ensemble, les « services infonuagiques »), tout en respectant la Loi 25 du Québec, sous réserve de certaines obligations.
En particulier, la Loi 25 exige qu’une évaluation des facteurs relatifs à la vie privée («EFVP») soit effectuée avant de communiquer des renseignements personnels à l’extérieur du Québec, incluant avant de confier le traitement des renseignements à un tiers à l’extérieur de la province au nom d’une entreprise ou d’un organisme public, afin de s’assurer que les renseignements personnels seront adéquatement protégés en évaluant les risques qui peuvent découler d’une telle communication et en mettant en œuvre les protections appropriées.
Certains de nos clients au Québec pourraient devoir effectuer une EFVP en lien avec leur utilisation des services infonuagiques. Nous invitons donc nos clients au Québec à effectuer l’évaluation requise conformément à la Loi 25 et à tenir compte de la façon dont les mesures de protection des données de Google, comme l’addenda Cloud Data processing Addendum (CDPA) (en anglais), les politiques régionales de données (voir ci-dessous) et les contrôles de sécurité rigoureux, peuvent aider au respect de ces obligations. Vous trouverez des ressources supplémentaires détaillant les mesures de sécurité techniques et organisationnelles de Google pour les services infonuagiques dans notre Centre des bonnes pratiques de sécurité dans Google Cloud et notre Centre de ressources pour la confidentialité.
Étant donné le caractère international de ses services infonuagiques, Google possède des emplacements dans toutes les régions (à l’échelle mondiale) pour stocker et traiter les Données clients (incluant les Renseignements personnels de clients). Vous trouverez plus d’information sur les emplacements où se trouvent les installations de Google et de ses sous-traitant :
Pour Google Cloud :
Pour Google Workspace (incluant Google Workspace for Education) :
- Emplacements de Google (en anglais)
- Emplacements des sous-processeurs (en anglais)
Compte tenu de la Loi 25, certains clients pourraient vouloir plus de choix et de contrôle quant à l’emplacement de leurs Données clients. Vous trouverez plus d’information sur les politiques régionales de données :
Pour Google Cloud : les clients peuvent configurer les services énumérés ici afin de stocker les Données clients enregistrées dans une région précise ou dans plusieurs régions, comme indiqué à la page d'emplacements infonuagiques. Cet engagement se trouve à la section sur l’emplacement des données dans les modalités précises des services Google Cloud (en anglais). De plus, les clients peuvent aussi élaborer une politique organisationnelle qui restreint l’emplacement physique de nouvelles ressources pour les services compatibles.
Pour Google Workspace (incluant Google Workspace for Education) : les clients abonnés aux éditions admissibles peuvent utiliser la fonctionnalité de choix d'emplacements géographiques des données, ce qui leur permet de décider dans quelle région (ex. : Europe) stocker leurs Données clients couvertes au repos (incluant les copies de sauvegarde). Il s’agit d’une fonctionnalité qui s’applique aux services de base de Google Workspace et aux données décrites ici (ce qui est reflété dans la section sur les « régions de données » des Conditions spécifiques des services Google Workspace).
Quick Links
Québec (Canada) Law 25
Québec’s Law 25, an Act to modernize legislative provisions as regards the protection of personal information, introduced new privacy requirements for private and public sector organizations, including cross-border data transfer requirements in both the Act respecting the protection of personal information in the private sector (Private Sector Act, s. 17) and the Act respecting access to documents held by public bodies and the protection of personal information (Public Sector Act, s. 70.1).
For Québec customers, it's important to note that Law 25 does not prohibit the transfer of personal information outside of Québec. Organizations and public bodies in Québec can process personal information outside of Québec when using Google Cloud (formerly known as Google Cloud Platform), Google Workspace or Google Workspace for Education (together, the “Cloud Services”), while complying with Québec Law 25, subject to certain obligations.
In particular, Law 25 requires that a privacy impact assessment (PIA) be conducted before communicating personal information outside Québec, including entrusting a third party outside of the province to process the information on your organization’s behalf, in order to ensure that the personal information will receive adequate protection by assessing the risks resulting from such transfer and implementing appropriate safeguards.
Some of our Québec customers may need to carry out PIAs in relation to their use of the Cloud Services. We encourage Québec customers to conduct the required PIAs in accordance with Law 25 and to consider how Google’s existing data protection measures - such as our Cloud Data processing Addendum (CDPA), data region policies (see below), and robust security controls - can assist in meeting these obligations. Additional resources detailing Google’s technical and organizational security measures for Cloud Services can be found in our Security Best Practices Center and Privacy Resource Center.
Given the global nature of its Cloud Services, Google maintains facilities in all regions (globally) to store and process Customer Data (including Customer Personal Data). You can find more information about the locations where Google and its subprocessors maintain facilities:
For Google Cloud:
For Google Workspace (including Google Workspace for Education):
In light of Law 25, some customers may want more choice and control over the location of their Customer Data. You can find more information about data region policies:
For Google Cloud: Customers may configure services listed here to store Customer Data at rest in a specific region or multi-region, as listed in the Cloud Locations Page. This commitment is reflected in the “Data Location” Section of the Google Cloud Service Specific Terms. Additionally, customers can also set up an Organization Policy that constrains the physical location of new resources for supported services.
For Google Workspace (including Google Workspace for Education): Customers on qualifying editions can use our Data Regions feature which enables them to select a data region (e.g., Europe) to store their covered Customer Data (including backups) at rest. This feature currently applies to the Google Workspace core services and data set out here (which is reflected in the “Data Regions” Section of the Google Workspace Service Specific Terms).
Take the next step
Start building on Google Cloud with $300 in free credits and 20+ always free products.
Learn security best practices
See our best practicesSolve common problems
Watch security use-case videosWork with a partner
See our security partners
