Un client européen, un dossier transfrontalier, un sous-traitant basé à l'étranger : l'un de ces éléments suffit à exposer un cabinet québécois au RGPD — même s'il n'exerce qu'au Québec.
Le Règlement général sur la protection des données (RGPD) est un règlement européen. Un cabinet québécois peut y être assujetti dès lors que son activité touche l'Union européenne.
Cas d'exposition fréquents
- Clients résidant dans l'UE ou au Royaume-Uni.
- Dossiers impliquant des parties, biens ou décisions juridictionnelles européennes.
- Marketing ou collecte de données via un site web accessible aux résidents européens.
- Sous-traitants situés en Europe qui traitent des renseignements du cabinet.
Si l'un de ces cas s'applique, une analyse RGPD s'impose — pas une simple affirmation d'exclusion.
Coexistence avec la Loi 25
La Loi 25 s'applique aux renseignements personnels détenus au Québec. Le RGPD peut s'appliquer en parallèle pour les mêmes personnes lorsque les critères d'extraterritorialité sont remplis.
« L'extraterritorialité du RGPD signifie que la localisation du cabinet ne suffit pas à l'exclure. »
Les deux cadres exigent transparence, limitation des finalités et sécurité — mais les mécanismes diffèrent.
Obligations RGPD pertinentes pour un cabinet
- Base légale du traitement (consentement, contrat, obligation légale, intérêt légitime).
- Droit d'accès, de rectification, d'effacement et de portabilité.
- Notification de violation dans les 72 heures à l'autorité compétente.
- Contrats avec sous-traitants (clauses types de la Commission européenne).
Chaque obligation RGPD doit être documentée — pas seulement connue de l'associé responsable.
Évaluation préalable
Avant d'affirmer que le RGPD ne vous concerne pas, identifiez vos clients, dossiers transfrontaliers et outils numériques. La CAI rappelle que le transfert de renseignements hors Québec doit aussi respecter la Loi 25 — les deux analyses se complètent.
Ignorer l'une des deux cadres, c'est laisser un angle mort dans votre conformité.