Salut @Natalia1 ! 
À moins d’un changement récent dont je ne serais pas au courant (@aicha pourra valider) il n’est pas obligatoire que les renseignements soient stockés au Québec pour respecter la Loi 25. Les nouvelles obligations concernent plutôt nos responsabilités d’aviser les répondants que leurs informations sont transférées à l’étranger (donc obligation de transparence) par exemple dans la politique de confidentialité.
Il faudrait aussi faire une évaluation préalable pour analyser:
- La nature des renseignements et leur sensibilité,
- Les finalités pour lesquelles ils seront utilisés,
- Les mesures de protection qui s’appliqueront (mesures techniques, organisationnelles et contractuelles),
- Ainsi que le régime juridique du pays de destination (pour évaluer si les lois locales offrent des garanties suffisantes)
Bref, le transfert serait permis si l’évaluation conclut à une protection adéquate dans le pays destinataire.
Plus de détails à ce sujet sur le site de la CAI:
De ce que je comprends, il faut aussi inclure le DPA (Data processing agreement) de l’entreprise qui fait office de « contrat » qu’on accepte et qu’on considère dans l’évaluation. La plupart des grandes entreprises SAAS ont un DPA.
Personnellement, pour les formulaires j’aime beaucoup Tally! C’est une entreprise européenne (Belgique) conforme au RGPD (qui est comme la grande soeur de la Loi 25)
Voici leur DPA: Data Processing Agreement
et plus d’info sur leur conformité: GDPR