Loi 25 et AMF : la double couche de conformité pour les conseillers financiers

Si vous êtes conseiller financier, courtier en fonds mutuels ou représentant en assurance au Québec, vous êtes soumis à deux cadres réglementaires distincts en matière de protection des renseignements personnels. D'un côté, la Loi 25 et la Commission d'accès à l'information (CAI). De l'autre, l'Autorité des marchés financiers (AMF) et l'Organisme canadien de réglementation des investissements (OCRI, anciennement OCRCVM et ACFM). Les deux cadres coexistent, se chevauchent sur plusieurs points et entrent en friction sur d'autres.

La bonne nouvelle : plusieurs obligations se recoupent, et un cabinet qui se conforme sérieusement à l'un des deux cadres est déjà en route vers la conformité de l'autre. La mauvaise : les zones de friction existent et il faut savoir les naviguer.

Ce que l'AMF exige déjà en matière de confidentialité

Avant même la Loi 25, les conseillers financiers au Québec avaient des obligations significatives en matière de protection de l'information. Ces obligations viennent de plusieurs sources.

Le Code de déontologie des représentants. Le code impose une obligation de discrétion et de confidentialité à l'égard de tous les renseignements obtenus dans l'exercice de la profession. Le représentant ne peut divulguer les renseignements d'un client que dans les cas prévus par la loi ou avec le consentement du client. Cette obligation survit à la fin de la relation d'affaires. L'obligation de connaissance du client (KYC). Les règles AMF et OCRI exigent que le représentant recueille et maintienne à jour des renseignements détaillés sur la situation financière, les objectifs de placement, la tolérance au risque et l'horizon de placement de chaque client. Ces renseignements sont intrinsèquement sensibles et leur collecte est obligatoire, pas optionnelle. La conservation des communications. L'AMF et l'OCRI exigent que les cabinets conservent les communications avec leurs clients pendant une période minimale. Pour l'OCRI, la période standard est de 7 ans pour les relevés de compte, les confirmations de transactions et la correspondance commerciale. Pour les communications électroniques (courriels, messages), les exigences de conservation varient selon le type de communication, mais le principe est le même : vous devez conserver et être capable de retrouver les échanges avec vos clients. La sécurité de l'information. Les lignes directrices de l'AMF en matière de gouvernance et de gestion des risques imposent aux cabinets de mettre en place des mesures de sécurité appropriées pour protéger les renseignements des clients. Cela inclut la sécurité physique (accès aux bureaux, classeurs verrouillés), la sécurité logique (mots de passe, contrôles d'accès, chiffrement) et la gestion des incidents. La surveillance des activités. L'AMF exige que les cabinets surveillent les activités de leurs représentants pour détecter les anomalies, les infractions et les risques pour les clients. Cette surveillance implique nécessairement l'accès à des renseignements personnels des clients par les personnes responsables de la conformité.

Ce que la Loi 25 ajoute par-dessus

La Loi 25 ne remplace pas les obligations AMF/OCRI. Elle s'ajoute. Voici les obligations qui n'existaient pas dans le cadre financier avant la Loi 25.

Le consentement explicite et granulaire. L'AMF exige le consentement pour la collecte de renseignements dans le cadre du KYC, mais la Loi 25 va plus loin. Le consentement doit être demandé pour chaque finalité de manière distincte, en termes simples. Si vous utilisez les données du client pour le service financier ET pour des communications marketing, il vous faut deux consentements distincts. Les cases pré-cochées ne sont plus valides. L'EFVP obligatoire. Avant la Loi 25, aucune obligation formelle d'évaluation d'impact sur la vie privée n'existait dans le cadre AMF/OCRI. Maintenant, chaque nouveau système d'information et chaque transfert de données hors Québec nécessite une EFVP documentée. [Notre guide EFVP détaille la marche à suivre](/fr/blog/efvp-evaluation-facteurs-vie-privee-loi-25). La notification obligatoire à la CAI en cas d'incident. L'AMF s'attendait déjà à être informée des incidents significatifs, mais il n'y avait pas d'obligation légale formelle de notification avec un processus structuré. La Loi 25 crée une obligation distincte de notifier la CAI et les personnes touchées en cas de risque de préjudice sérieux. [Notre guide sur les 72 premières heures couvre la procédure complète](/fr/blog/incident-confidentialite-loi-25-72-heures). Le droit à l'effacement. Avant la Loi 25, les clients n'avaient pas de droit formel de demander la suppression de leurs renseignements personnels. Ce droit existe maintenant, sous réserve des exceptions prévues par la loi (notamment les obligations de conservation réglementaire). La portabilité des données. Les clients peuvent maintenant exiger de recevoir leurs renseignements dans un format structuré et couramment utilisé, ou de les faire transférer directement à un autre cabinet. Cette obligation n'existait pas dans le cadre AMF/OCRI. Le registre des incidents. La tenue d'un registre de tous les incidents de confidentialité, même mineurs, est une obligation propre à la Loi 25. L'AMF n'imposait pas un tel registre spécifique aux incidents de vie privée.

Les zones de chevauchement : ce que vous faites déjà

Plusieurs obligations se recoupent entre les deux cadres. Si vous êtes déjà conforme aux exigences AMF/OCRI, vous avez une longueur d'avance sur la Loi 25 pour ces éléments.

La confidentialité des renseignements clients. Le Code de déontologie et la Loi 25 imposent tous deux une obligation de confidentialité. Les pratiques que vous avez déjà en place pour respecter le secret professionnel (accès restreints, classeurs verrouillés, politique de bureau propre) contribuent directement à votre conformité Loi 25. La sécurité de l'information. Les mesures de sécurité exigées par l'AMF (contrôles d'accès, chiffrement, gestion des incidents) sont essentiellement les mêmes que celles requises par la Loi 25. Un cabinet qui a déjà investi dans la cybersécurité pour répondre aux attentes de l'AMF n'a pas à tout recommencer. La conservation des documents. Les deux cadres exigent la conservation de certains documents pendant des périodes définies. Vos pratiques de conservation pour l'AMF/OCRI vous servent aussi sous la Loi 25. La surveillance et la gouvernance. La structure de conformité que vous avez mise en place pour l'AMF (responsable de conformité, politiques internes, surveillance des activités) peut servir de fondation pour la gouvernance Loi 25. Le responsable de la protection des RP peut être la même personne que le responsable de conformité AMF, à condition que la délégation soit formalisée.

Les zones de friction : où les deux cadres entrent en tension

Sur deux sujets importants, les obligations de l'AMF et de la Loi 25 peuvent sembler contradictoires. Elles ne le sont pas vraiment, mais il faut comprendre comment les concilier.

Droit à l'effacement vs obligation de conservation

C'est la friction la plus visible. La Loi 25 accorde aux personnes le droit de demander la suppression de leurs renseignements personnels. L'AMF et l'OCRI obligent les cabinets à conserver les dossiers clients, les relevés et les communications pendant au minimum 7 ans (et parfois plus selon le type de document).

Comment naviguer cette tension : La Loi 25 prévoit explicitement que le droit à l'effacement ne s'applique pas lorsque la conservation est nécessaire pour respecter une obligation légale. Les obligations AMF/OCRI sont des obligations légales. Un client qui demande la suppression de son dossier ne peut pas vous forcer à détruire des documents que l'AMF vous oblige à conserver.

En pratique, votre réponse à une demande d'effacement devrait être : « Nous avons supprimé tous les renseignements que nous n'étions plus tenus de conserver par la loi. Les documents suivants sont conservés conformément à nos obligations réglementaires auprès de l'AMF/OCRI et seront détruits à l'expiration de la période de conservation applicable. » Documentez chaque demande d'effacement, votre réponse et votre justification dans le dossier du client.

Collecte obligatoire KYC vs minimisation des données

La Loi 25 impose le principe de minimisation : ne collecter que les renseignements nécessaires aux fins déterminées. Les règles KYC de l'AMF/OCRI imposent de collecter des renseignements détaillés et parfois extensifs sur la situation financière du client.

Comment naviguer cette tension : Il n'y a pas de contradiction réelle. La Loi 25 exige que la collecte soit limitée à ce qui est « nécessaire aux fins déterminées ». Si la fin déterminée est le service financier réglementé par l'AMF, les renseignements KYC sont nécessaires par définition. Le point critique est de ne pas collecter de renseignements additionnels au-delà de ce que le KYC et le service financier exigent. Demander le NAS d'un client uniquement pour un changement d'adresse, par exemple, dépasse les fins nécessaires.

La règle pratique : pour chaque renseignement que vous collectez, vous devriez pouvoir identifier la finalité précise (KYC, exécution d'une transaction, conformité réglementaire, communications marketing). Si vous ne pouvez pas justifier la finalité, vous ne devriez pas le collecter.

L'IA dans les services financiers : une zone de convergence

Les deux cadres s'intéressent de plus en plus à l'utilisation de l'intelligence artificielle dans les services financiers, mais sous des angles différents.

L'AMF et les 30 pratiques pour l'IA responsable. En 2024, l'AMF a publié un document de réflexion intitulé « Meilleures pratiques pour l'utilisation responsable de l'IA dans le secteur financier », articulé autour de 30 pratiques couvrant la gouvernance, la transparence, l'explicabilité, l'équité, la gestion des risques et la supervision humaine. Ces pratiques ne sont pas contraignantes au sens juridique, mais elles expriment clairement les attentes du régulateur. Un cabinet qui utilise des outils d'IA pour le profilage de clientèle, les recommandations de placement ou la rédaction de communications devrait les connaître. La Loi 25 et les décisions automatisées. La Loi 25 impose des obligations spécifiques lorsqu'une décision est prise exclusivement sur la base d'un traitement automatisé de renseignements personnels. L'entreprise doit informer la personne qu'une telle décision est prise, lui donner la possibilité de présenter ses observations, et lui permettre de demander qu'un humain révise la décision. Si votre CRM utilise un algorithme pour segmenter vos clients ou pour suggérer des produits, ces obligations s'appliquent. Le risque de « shadow AI ». Le document de l'AMF souligne le risque d'utilisation non encadrée de l'IA par les employés. Un adjoint administratif qui copie-colle des données clients dans ChatGPT pour rédiger un courriel, c'est un transfert non autorisé de renseignements personnels vers un fournisseur étranger, sans EFVP, sans DPA, sans consentement du client. Les deux cadres convergent sur la nécessité d'une politique d'utilisation acceptable de l'IA et d'une formation du personnel. [Notre article sur l'IA et la conformité approfondit ce sujet](/fr/blog/ia-cabinet-financier-loi-25-amf).

Comment organiser votre conformité sans doubler le travail

Les deux cadres ne nécessitent pas deux équipes de conformité séparées. Voici comment les intégrer efficacement.

Un seul responsable, deux casquettes. Votre responsable de conformité AMF peut aussi être votre responsable de la protection des RP sous la Loi 25. Il suffit de formaliser la délégation par écrit et de publier les coordonnées sur votre site web. La personne a déjà l'expertise réglementaire et la connaissance des flux de données du cabinet. Une seule politique, deux sections. Plutôt que de rédiger une politique de confidentialité Loi 25 et une politique de conformité AMF séparées, intégrez les exigences dans un cadre unique. La section « collecte et utilisation des renseignements » couvre à la fois le KYC (AMF) et le consentement (Loi 25). La section « conservation et destruction » couvre les délais AMF et les droits d'effacement Loi 25. Un seul registre d'incidents élargi. Votre registre d'incidents de confidentialité Loi 25 peut aussi servir de registre des incidents de sécurité pour l'AMF. Ajoutez simplement une colonne « signalé à l'AMF » en plus de « signalé à la CAI ». Les informations à documenter sont essentiellement les mêmes. Une seule formation intégrée. Formez votre personnel une seule fois en couvrant les deux cadres. Expliquez pourquoi vous collectez certains renseignements (KYC, AMF), comment les protéger (sécurité, AMF + Loi 25), quoi faire en cas d'incident (notification, CAI + AMF), et quels droits ont les clients (accès, rectification, effacement sous réserve de la conservation AMF). Un seul processus d'évaluation des fournisseurs. Votre EFVP Loi 25 et votre diligence raisonnable AMF sur les fournisseurs technologiques peuvent être combinées dans un seul document. Ajoutez aux critères Loi 25 (résidence des données, certifications, DPA) les considérations AMF (continuité des activités, accès aux données pour la surveillance, conformité réglementaire du fournisseur). [Notre article sur l'évaluation des fournisseurs couvre les critères Loi 25 en détail](/fr/blog/loi-25-evaluation-fournisseurs-technologiques).

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/fr/blog/loi-25-guide-conseiller-financier)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/fr/blog/loi-25-obligations-cabinet-financier)*
• *[Utiliser l'IA dans votre cabinet : ce que la Loi 25 et l'AMF vous obligent à savoir](/fr/blog/ia-cabinet-financier-loi-25-amf)*
• *[Amendes Loi 25 : comprendre le calcul des sanctions pour votre cabinet](/fr/blog/loi-25-amendes-calcul-sanctions)*