Si ton site web collecte des renseignements personnels de Québécois, ton hébergeur fait partie de ta chaîne de conformité. Voici un comparatif éditorial de 6 hébergeurs et une grille des critères qui comptent vraiment pour la Loi 25.
Quatre choix selon ce qui compte le plus pour toi : conformité, accessibilité, infrastructure ou présence canadienne hors Québec.
Meilleur pour la conformité
Meilleur pour PME québécoises
Meilleur pour infrastructure
Option hors Québec
Les sélections ci-dessus reflètent un classement éditorial. Le détail complet, les raisons de chaque position et le tableau de pointage sont plus bas.
La Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est entrée en vigueur progressivement entre 2022 et 2024. Elle est l’équivalent québécois du RGPD européen ou de la LPRPDE canadienne, mais avec des règles parfois plus strictes.
Elle s’applique à toute organisation québécoise du secteur privé, et aussi aux organisations hors Québec qui traitent des renseignements personnels de Québécois. Si tu vends à des clients au Québec, tu es probablement visé, peu importe où ton entreprise est légalement enregistrée.
Les manquements coûtent cher. Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial. Les sanctions pénales peuvent atteindre 25 millions ou 4 %. Pour une PME, même une amende modeste est dramatique. C’est pour ça que le choix d’un hébergeur web devient une décision avec un volet conformité, pas juste un volet technique.
À noter : ce guide est une comparaison éditoriale, pas un avis juridique. Pour une évaluation formelle de ta situation, consulte un avocat ou un conseiller spécialisé en protection des renseignements personnels.
Toutes les obligations Loi 25 ne dépendent pas de l’hébergeur. Mais six d’entre elles sont directement influencées par le choix que tu fais. Voici lesquelles, et ce que ton fournisseur doit fournir pour t’aider.
Obligation 01
Toute entreprise au Québec doit désigner formellement une personne responsable de la protection des renseignements personnels. Son nom et son titre doivent être publiés en ligne de façon accessible. Pour une PME, c’est souvent le dirigeant ou le directeur des opérations.
Obligation 02
Ta politique doit expliquer pourquoi tu collectes des renseignements personnels, comment ils sont utilisés, conservés et protégés, qui peut y accéder, et combien de temps tu les gardes. Elle doit être rédigée dans un langage clair, pas en jargon juridique.
Obligation 03
Le consentement doit être libre, éclairé, donné à des fins spécifiques et exprimé de manière manifeste. Cases pré-cochées, formulations vagues et bannières « tout accepter » par défaut ne suffisent pas. Pour les renseignements sensibles, un consentement explicite et séparé est requis.
Obligation 04
Tu dois savoir exactement où sont stockés les renseignements personnels de tes clients québécois, qui peut y accéder et dans quelles juridictions. Cette traçabilité est ce qu’on appelle la résidence des données. Sans elle, tu ne peux pas répondre à un audit ou à une demande d’accès.
Obligation 05
Si un incident de confidentialité présente un « préjudice sérieux », tu dois aviser la Commission d’accès à l’information et les personnes concernées avec diligence. Le délai en pratique est souvent de 72 heures. Sans procédure préparée à l’avance, c’est impossible à respecter.
Obligation 06
Avant de communiquer des renseignements personnels à l’extérieur du Québec, tu dois réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP). Cela vaut aussi pour les services infonuagiques, les outils analytiques et les CDN dont les serveurs sont hors Québec.
Évaluation éditoriale sur 7 critères directement reliés à la Loi 25. Les lignes restent fluides : un « Partiel » n’est pas une disqualification, c’est une question à creuser avec ton fournisseur.
| Critère | Astral Internet | WHC.ca | PlanetHoster | Likuid | FullHost | Caramania |
|---|---|---|---|---|---|---|
| Centres de données au Canada | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Oui Oui |
| Centres de données au Québec | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Non Non | Oui Oui |
| ISO 27001 ou Tier III certifié | Oui Oui | Partiel Partiel | Partiel Partiel | Partiel Partiel | Partiel Partiel | Partiel Partiel |
| Sauvegardes chiffrées incluses | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Partiel Partiel |
| Documentation accessible (DPA, conf.) | Oui Oui | Oui Oui | Oui Oui | Partiel Partiel | Partiel Partiel | Partiel Partiel |
| Soutien notification d’incident | Oui Oui | Oui Oui | Oui Oui | Partiel Partiel | Partiel Partiel | Partiel Partiel |
| Soutien en français — heure de l’Est | Oui Oui | Oui Oui | Oui Oui | Oui Oui | Partiel Partiel | Oui Oui |
| Voir les forfaits | Voir | Voir | Voir | Voir | Voir | Voir |
Le plus solide en conformité
Le plus accessible
Le plus maître de son réseau
Le plus fort en soutien français
L’option hors Québec
Le plus local et accessible
Le classement reflète la pertinence pour une démarche Loi 25, pas la qualité générale du fournisseur. Astral arrive #1 sur ce critère; ailleurs sur HostFinder.ca, le classement peut différer.
Le plus solide en conformité
Centre de données Tier III, certification ISO 27001. Le seul du comparatif avec une certification de sécurité internationale reconnue.
Pour la Loi 25, la documentation de sécurité et la traçabilité des accès comptent autant que la localisation. Astral Internet est le seul de notre comparatif à porter une certification ISO 27001 et à opérer dans un centre Tier III. C’est l’argument concret que tu peux mettre dans une politique de confidentialité ou dans une réponse à un client institutionnel.
Siège social : Saint-Jean-sur-Richelieu, Québec
Le plus accessible
Soutien bilingue, centres de données canadiens, documentation publique. Choix le plus simple pour une PME qui démarre sa démarche de conformité.
WHC publie une politique de confidentialité claire, opère des centres de données canadiens et offre un soutien bilingue. Pour une PME québécoise qui ne sait pas par où commencer avec la Loi 25, c’est l’option la plus accessible. Tu peux poser des questions en français, obtenir une attestation de résidence des données et démarrer ta documentation sans embaucher un consultant.
Siège social : Montréal, Québec
Le plus maître de son réseau
Réseau autonome AS53589 opéré au Québec. Contrôle complet de l’infrastructure et choix transparent du centre de données.
PlanetHoster opère son propre réseau autonome au Québec plutôt que de revendre l’infrastructure d’un tiers. Pour la Loi 25, ça simplifie une question importante : qui contrôle vraiment l’infrastructure où tes données vivent? Le client peut aussi choisir explicitement entre Laval, Paris, Genève ou Singapour selon les besoins de résidence des données.
PHA-hostfinder
Siège social : Laval, Québec
Le plus fort en soutien français
Infrastructure GloboTech (AS36666) à Mirabel. Soutien 24/7/365 entièrement en français, utile pour gérer un incident de confidentialité rapidement.
En cas d’incident de confidentialité, l’horloge des 72 heures démarre dès la constatation. Likuid offre un soutien entièrement en français, en continu, ce qui peut faire gagner des heures précieuses pour comprendre ce qui s’est passé et préparer la notification à la CAI. L’infrastructure GloboTech est opérée à Mirabel avec un réseau autonome.
Siège social : Mirabel, Québec
L’option hors Québec
Centres de données en Colombie-Britannique. Bon choix pour une entreprise canadienne hors Québec qui sert une clientèle québécoise.
La Loi 25 s’applique à toute organisation qui traite les renseignements personnels de résidents du Québec, peu importe où l’entreprise est située. FullHost est 100 % canadien avec des centres en Colombie-Britannique. C’est une option pertinente pour les entreprises canadiennes hors Québec qui veulent garder leurs données au Canada, même si Astral, WHC ou PlanetHoster restent plus alignés pour une présence québécoise.
Siège social : Vancouver, Colombie-Britannique
Le plus local et accessible
Hébergeur québécois francophone depuis 2001. Option simple pour micro-entreprises et petits sites avec besoins de conformité modestes.
Caramania est moins documenté que les gros joueurs sur la dimension certification formelle, mais reste un hébergeur québécois francophone établi. Pour un micro-projet, un site vitrine d’organisme local ou un travailleur autonome avec très peu de renseignements personnels collectés, c’est une option locale honnête. Pour un site B2B qui manipule beaucoup de données clients, oriente-toi plutôt vers Astral, WHC ou PlanetHoster.
Siège social : Québec, Canada
Une page d’accueil qui parle de « sécurité de niveau bancaire » ne suffit pas. Voici les fonctionnalités concrètes à valider avant de signer.
Pierre angulaire
Les sauvegardes secondaires sont souvent oubliées. Si elles partent vers un autre pays, ton inventaire de résidence des données devient incomplet. Demande explicitement où les sauvegardes sont stockées et si elles sont chiffrées au repos.
Diligence
Document écrit qui définit les responsabilités du sous-traitant.
Traçabilité
Qui s’est connecté à ton serveur, quand, depuis où.
Sécurité
TLS 1.3 minimum, certificats automatisés, redirection HTTPS.
Procédure
Le délai de 72 heures démarre dès la constatation. Sans procédure préparée et un canal de soutien francophone disponible, c’est impossible à respecter en pratique.
Transparence
Ton hébergeur doit pouvoir lister ses propres sous-traitants (CDN, anti-DDoS, surveillance). Sinon, ta chaîne de conformité a un trou que tu ne contrôles pas.
Imprime ou sauvegarde cette liste. Ce n’est pas exhaustif, mais c’est suffisant pour démarrer une démarche sérieuse de conformité.
Cette liste n’est pas un avis juridique. Pour une évaluation complète, consulte un avocat ou un conseiller en protection des renseignements personnels.
Les questions les plus posées par les PME québécoises qui démarrent leur démarche de conformité.
Non, la Loi 25 ne mandate pas explicitement un hébergement au Québec. Par contre, elle exige que tu saches où les renseignements personnels sont stockés, qui y a accès et que tu évalues les risques liés aux transferts hors Québec. Un hébergeur québécois simplifie énormément cette documentation et cette évaluation.
Non. C’est toi, à titre d’organisation qui collecte les renseignements personnels, qui restes le responsable principal. Ton hébergeur est un sous-traitant : il doit pouvoir te fournir la documentation, la sécurité et le soutien nécessaires, mais la responsabilité de ta conformité ne se transfère pas.
La Loi 25 exige une notification « avec diligence » à la Commission d’accès à l’information et aux personnes concernées dès qu’un incident présente un risque de préjudice sérieux. En pratique, l’industrie travaille avec une cible de 72 heures suivant la constatation. Sans une procédure préparée et un soutien d’hébergeur joignable rapidement, ce délai est très difficile à respecter.
Pas par défaut. Une certification ISO 27001 montre que l’hébergeur applique un système de gestion de la sécurité de l’information reconnu, ce qui aide grandement ta documentation et ta diligence raisonnable. Mais la conformité reste à toi : politique de confidentialité, consentement, procédure d’incident, formation interne, etc.
Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial, selon le plus élevé des deux. Les sanctions pénales peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Le risque est sérieux pour les organisations qui négligent leurs obligations.
Non. Cette page est une comparaison éditoriale indépendante destinée à aider à choisir un hébergeur web compatible avec une démarche de conformité Loi 25. Pour un avis juridique formel ou une évaluation complète de ta situation, consulte un avocat ou un conseiller spécialisé en protection des renseignements personnels.
Si tu cherches un hébergeur web pour ton entreprise québécoise, ces quatre ressources officielles et analyses juridiques vont t’aider à comprendre tes obligations sous la Loi 25 avant de signer ton contrat.
Site officiel de la Commission d’accès à l’information du Québec, le régulateur québécois en matière de protection des renseignements personnels. Tu y trouveras des guides pratiques, des décisions récentes, des avis publics et des outils précieux pour les entreprises privées qui veulent bien comprendre leurs obligations Loi 25.
Consulter cette ressourceLe texte officiel et à jour de la loi qui encadre la protection des renseignements personnels au Québec dans le secteur privé. C’est la source légale primaire. Toute interprétation, tout outil de conformité et tout cabinet d’avocats finit par revenir à ce document.
Consulter cette ressourceAnalyse approfondie de la Loi 25 par Osler, Hoskin & Harcourt, l’un des plus grands cabinets d’avocats au Canada. Un des meilleurs résumés professionnels disponibles en français. Particulièrement utile pour comprendre comment la loi s’applique en pratique aux entreprises québécoises et à leurs sous-traitants comme les hébergeurs web.
Consulter cette ressourcePage du gouvernement du Québec qui détaille les normes et pratiques de protection des renseignements personnels au sein de l’administration publique. Une référence utile pour comprendre les attentes du gouvernement et le standard provincial, surtout si tu fais affaire avec un ministère, un organisme public ou une municipalité.
Consulter cette ressourceCes ressources sont fournies à titre informatif. HostFinder.ca n’est pas affilié à la Commission d’accès à l’information, au gouvernement du Québec, à Osler Hoskin & Harcourt ni à LégisQuébec.