Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026

La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels dans le secteur privé et public. Adoptée à l'unanimité le 21 septembre 2021 (116 voix pour, 0 contre), elle impose à toute entreprise qui collecte, utilise ou communique des renseignements personnels de Québécois un ensemble d'obligations en matière de consentement, de transparence, de sécurité et de notification en cas d'incident. Toutes ses dispositions sont pleinement en vigueur depuis le 22 septembre 2024.

Pour les cabinets de services financiers (conseillers, courtiers en fonds mutuels, MGA), la Loi 25 a un impact direct et immédiat. Vous manipulez quotidiennement des données parmi les plus sensibles qui existent : numéros d'assurance sociale, informations bancaires, situations financières détaillées, états de santé pour l'assurance. Voici ce que vous devez comprendre.

Pourquoi cette loi existe

Le Québec avait adopté sa première loi sur la protection des renseignements personnels dans le secteur privé en 1993. C'était pionnier à l'époque, avant même la loi fédérale (LPRPDE) de 2000. Mais en 30 ans, cette loi n'a jamais été modernisée en profondeur. Elle ne prévoyait aucune obligation de signaler les brèches de données, les sanctions étaient dérisoires, et elle ignorait complètement les réalités du numérique : infonuagique, médias sociaux, intelligence artificielle, collecte massive de données.

Quatre événements ont forcé le législateur à agir.

La brèche Desjardins de 2019 : le catalyseur

Entre 2016 et 2019, un employé de Desjardins a exfiltré les données personnelles de 9,7 millions de personnes, soit plus d'un Québécois sur trois. Noms, dates de naissance, numéros d'assurance sociale, habitudes transactionnelles. Les données ont été revendues sur le dark web. Le règlement d'action collective a atteint 200,9 millions de dollars, le plus important dans le secteur financier canadien.

Et la sanction sous l'ancien régime? La présidente de la CAI, Diane Poitras, a admis que les sanctions financières prévues par la vieille loi de 1993 étaient tellement « ridicules » que la CAI n'a même pas jugé utile de les imposer. Le maximum pour une première infraction était d'environ 10 000 $. Sous la Loi 25, avec des revenus de 18 milliards de dollars, Desjardins aurait fait face à une amende pénale théorique maximale de 4 % du chiffre d'affaires mondial, soit 720 millions de dollars. De 10 000 $ à 720 000 000 $. C'est ça, le changement que représente la Loi 25.

Le projet de loi 64 (devenu la Loi 25) a été déposé presque exactement un an après l'annonce publique de la fuite.

Les recommandations de la CAI ignorées depuis 2011

La Commission d'accès à l'information du Québec (CAI) recommandait depuis 2011 de moderniser le cadre législatif. Son rapport de 2016, intitulé *Rétablir l'équilibre*, contenait 67 recommandations : obligation de nommer un responsable de la protection des données, déclaration obligatoire des incidents, renforcement des pouvoirs de sanctions. La CAI avertissait que le Québec était « loin derrière » les autres juridictions. Il aura fallu la crise Desjardins pour que ces recommandations soient enfin adoptées.

Le RGPD européen comme modèle

L'entrée en vigueur du Règlement général sur la protection des données (RGPD) en Europe le 25 mai 2018 a fixé un nouveau standard mondial. Avec des amendes pouvant atteindre 4 % du chiffre d'affaires mondial, le RGPD a créé un plancher de conformité que la vieille loi québécoise de 1993 ne pouvait pas atteindre. La Loi 25 s'en inspire directement pour le consentement renforcé, le droit à l'effacement, les évaluations d'impact et le régime de sanctions proportionnelles.

L'amplification par d'autres brèches

La même année que Desjardins, Capital One a révélé une fuite touchant 6 millions de Canadiens. Les plaintes pour vol d'identité ont bondi de 84 % en 2019. Les affaires Equifax (2017) et Tim Hortons (pistage de géolocalisation sans consentement) ont consolidé le sentiment d'urgence. L'ancienne loi ne permettait même pas d'imposer une amende à Tim Hortons.

Les 3 phases d'entrée en vigueur

La Loi 25 est entrée en vigueur progressivement sur trois ans. Au moment où vous lisez ceci, toutes les phases sont en vigueur.

Phase 1, 22 septembre 2022 : Obligation de nommer un responsable de la protection des renseignements personnels. Tenue d'un registre des incidents de confidentialité. Notification à la CAI et aux personnes concernées en cas de risque sérieux de préjudice. Phase 2, 22 septembre 2023 : Politiques de gouvernance publiées sur le site web. EFVP (évaluations des facteurs relatifs à la vie privée) obligatoires avant tout nouveau projet impliquant des renseignements personnels. Consentement renforcé et explicite. Confidentialité par défaut. Droit à l'oubli. Transparence sur les décisions automatisées. Entrée en vigueur des sanctions : jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial en sanctions administratives, et 25 M$ ou 4 % du CA mondial en amendes pénales. Phase 3, 22 septembre 2024 : Droit à la portabilité des données dans un format structuré.

Pourquoi les cabinets financiers sont particulièrement visés

Si vous êtes conseiller financier, courtier en fonds mutuels ou si vous opérez un MGA au Québec, vous êtes en première ligne pour trois raisons.

Vos données sont parmi les plus sensibles. Numéros d'assurance sociale, relevés bancaires, situations financières complètes, informations de santé pour l'assurance-vie ou l'invalidité. La sensibilité des renseignements est un facteur aggravant dans le calcul des sanctions. Plus les données sont sensibles, plus la CAI sera sévère en cas de manquement. Vous avez déjà une double couche réglementaire. L'AMF et l'OCRI imposent des obligations de conservation des communications, de confidentialité et de connaissance du client (KYC). La Loi 25 s'ajoute par-dessus. Les deux cadres coexistent et se renforcent mutuellement, mais créent aussi des tensions, par exemple entre le droit à l'effacement (Loi 25) et l'obligation de conservation (AMF, 7 ans minimum). Le risque financier est réel, même pour un petit cabinet. Les sanctions administratives tiennent compte de la capacité de payer, mais le droit de poursuite privé (article 93.1) ne connaît pas cette limite. Chaque personne victime d'une atteinte intentionnelle ou d'une faute lourde a droit à un minimum de 1 000 $ en dommages punitifs. Un cabinet gérant 2 000 dossiers clients pourrait faire face à une exposition de 2 millions de dollars en recours collectif, même avec un chiffre d'affaires modeste.

Ce que ça change concrètement dans votre pratique quotidienne

Vous ne pouvez plus collecter des renseignements « au cas où ». La Loi 25 exige que la collecte soit limitée à ce qui est nécessaire aux fins déterminées. Demander le NAS d'un client pour un simple changement d'adresse, c'est terminé. Chaque nouveau logiciel ou fournisseur exige une évaluation. Si vous adoptez un nouveau CRM, changez de fournisseur de courriels ou utilisez un outil d'IA, vous devez réaliser une EFVP, surtout si le fournisseur est situé hors du Québec, même en Ontario ou aux États-Unis. Un incident doit être documenté, même s'il est mineur. Vous envoyez un relevé au mauvais client par erreur? C'est un incident de confidentialité. Il doit être inscrit au registre. Si le risque de préjudice est sérieux, vous devez notifier la CAI et les personnes touchées. Vos clients ont de nouveaux droits. Ils peuvent vous demander quels renseignements vous détenez sur eux, exiger la rectification ou l'effacement de données, et recevoir leurs données dans un format portable. Vous devez être en mesure de répondre à ces demandes.

Par où commencer

Si votre cabinet n'a pas encore pris de mesures concrètes, voici les quatre premières actions à poser :

1. Nommer officiellement un responsable de la protection des RP et publier ses coordonnées sur votre site web.

2. Mettre en place un registre des incidents de confidentialité, même simple (un tableur avec les champs obligatoires suffit pour commencer).

3. Publier votre politique de confidentialité sur votre site web, rédigée en langage clair.

4. Faire l'inventaire de vos fournisseurs technologiques et vérifier où sont hébergées les données de vos clients.

La conformité à la Loi 25 n'est pas un projet ponctuel, c'est une pratique continue. Mais les fondations se posent en quelques semaines, pas en quelques mois.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Amendes Loi 25 : comprendre le calcul des sanctions pour votre cabinet](/blogue/loi-25-amendes-calcul-sanctions)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/blogue/loi-25-obligations-cabinet-financier)*
• *[Recours collectif Loi 25 : le risque financier que les petits cabinets sous-estiment](/blogue/loi-25-recours-collectif-risque-cabinet)*
• *[Loi 25 et AMF : la double couche de conformité pour les conseillers financiers](/blogue/loi-25-amf-conformite-double-couche)*