Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant

La Loi 25 impose sept obligations principales aux entreprises qui collectent, utilisent ou communiquent des renseignements personnels au Québec. Toutes sont en vigueur depuis le 22 septembre 2024. Ce n'est plus un projet à planifier, c'est un cadre à respecter aujourd'hui.

Pour les cabinets de services financiers, ces obligations s'ajoutent aux exigences existantes de l'AMF et de l'OCRI. La bonne nouvelle : plusieurs de ces obligations recoupent des pratiques que vous appliquez probablement déjà en partie. La mauvaise : « en partie » ne suffit pas, et les lacunes peuvent coûter cher. [Les sanctions vont jusqu'à 25 M$ en amendes pénales et le recours collectif n'a pas de plafond](/blogue/loi-25-amendes-calcul-sanctions).

Voici les sept obligations, ce qu'elles exigent concrètement, et comment les mettre en place dans un cabinet financier.

1. Nommer un responsable de la protection des renseignements personnels

En vigueur depuis : 22 septembre 2022 (Phase 1) Ce que la loi exige : Toute entreprise doit désigner une personne responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation (le dirigeant principal). Cette responsabilité peut être déléguée par écrit à un autre membre de l'organisation. Le titre et les coordonnées du responsable doivent être publiés sur le site web de l'entreprise. Ce que ça veut dire pour votre cabinet : Si vous n'avez rien fait, c'est vous, le propriétaire ou le dirigeant du cabinet, qui portez cette responsabilité. Vous pouvez la déléguer à votre responsable de conformité ou à votre adjointe administrative, mais la délégation doit être formalisée par écrit et la personne doit avoir les ressources nécessaires pour remplir le rôle. Action concrète : Ajoutez sur votre site web une section « Protection des renseignements personnels » avec le nom, le titre et l'adresse courriel de votre responsable. Un simple paragraphe suffit. Rédigez un document interne de délégation si le responsable n'est pas le dirigeant principal.

2. Tenir un registre des incidents de confidentialité

En vigueur depuis : 22 septembre 2022 (Phase 1) Ce que la loi exige : Toute entreprise doit tenir un registre de tous les incidents de confidentialité qui surviennent. Un incident de confidentialité, c'est tout accès non autorisé, toute utilisation non autorisée, toute communication non autorisée ou toute perte de renseignements personnels. Le registre doit être conservé pendant au moins 5 ans et être accessible à la CAI sur demande. Ce que ça veut dire pour votre cabinet : Un courriel contenant des informations de client envoyé au mauvais destinataire, c'est un incident. Un ancien employé qui a encore accès au CRM après son départ, c'est un incident. Un ordinateur portable non chiffré perdu ou volé, c'est un incident. Tous ces événements doivent être inscrits au registre, qu'ils présentent ou non un risque sérieux de préjudice. Action concrète : Créez un registre simple. Un tableur avec les colonnes suivantes suffit pour commencer : date de l'incident, description de ce qui s'est passé, types de renseignements touchés, nombre de personnes concernées (estimé), évaluation du risque de préjudice sérieux, mesures prises pour limiter les conséquences, date de notification à la CAI (si applicable), date de notification aux personnes touchées (si applicable). Formez vos employés à signaler immédiatement tout incident, même mineur.

3. Notifier la CAI et les personnes touchées en cas de risque sérieux

En vigueur depuis : 22 septembre 2022 (Phase 1) Ce que la loi exige : Lorsqu'un incident de confidentialité présente un risque de préjudice sérieux, l'entreprise doit notifier la CAI « avec diligence » et aviser les personnes dont les renseignements sont concernés. L'évaluation du risque de préjudice sérieux tient compte de la sensibilité des renseignements, des conséquences appréhendées de leur utilisation et de la probabilité qu'ils soient utilisés à des fins malveillantes. Ce que ça veut dire pour votre cabinet : Les renseignements financiers et les numéros d'assurance sociale sont considérés comme hautement sensibles. Un incident impliquant ces données présente presque toujours un risque de préjudice sérieux. La notification doit se faire via le formulaire en ligne de la CAI et doit inclure la description de l'incident, les catégories de renseignements touchés, le nombre de personnes concernées et les mesures prises. Action concrète : Préparez un plan de réponse aux incidents avant qu'il n'en survienne un. Ce plan devrait identifier qui fait quoi (le responsable RP coordonne, l'équipe TI évalue l'étendue, l'adjointe prépare les communications), le gabarit de notification à la CAI et le gabarit d'avis aux personnes touchées. Quand un incident survient, vous n'aurez pas le temps de tout inventer. [Consultez notre guide détaillé sur les 72 premières heures après un incident](/blogue/incident-confidentialite-loi-25-72-heures).

4. Adopter et publier des politiques de gouvernance

En vigueur depuis : 22 septembre 2023 (Phase 2) Ce que la loi exige : L'entreprise doit établir et mettre en œuvre des politiques et des pratiques de gouvernance encadrant la protection des renseignements personnels. Ces politiques doivent prévoir les règles de conservation et de destruction des renseignements, les rôles et responsabilités du personnel, et le processus de traitement des plaintes. La politique de confidentialité doit être publiée sur le site web de l'entreprise en termes simples et clairs. Ce que ça veut dire pour votre cabinet : La politique publiée sur votre site web n'est pas un copier-coller juridique incompréhensible. Elle doit expliquer en langage accessible quels renseignements vous collectez, pourquoi, comment vous les protégez, combien de temps vous les conservez, et comment les personnes peuvent exercer leurs droits (accès, rectification, effacement). Vous devez aussi avoir un cadre interne de gouvernance, même court, qui décrit vos pratiques de sécurité et vos procédures de traitement des plaintes. Action concrète : Rédigez deux documents. D'abord, une politique de confidentialité publique pour votre site web (2 à 4 pages, langage clair). Ensuite, un cadre interne de gouvernance qui décrit vos pratiques : qui a accès à quelles données, comment les accès sont gérés quand un employé quitte, quelle est la procédure pour une demande d'accès d'un client, combien de temps vous conservez les différents types de renseignements. Ce deuxième document n'a pas à être publié, mais doit être disponible pour la CAI sur demande.

5. Réaliser des EFVP (évaluations des facteurs relatifs à la vie privée)

En vigueur depuis : 22 septembre 2023 (Phase 2) Ce que la loi exige : Une EFVP doit être réalisée avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels. Une EFVP est également obligatoire avant toute communication de renseignements personnels à l'extérieur du Québec, y compris vers une autre province canadienne. L'évaluation doit être proportionnée à la sensibilité des renseignements, à la finalité du projet et au contexte. Ce que ça veut dire pour votre cabinet : Chaque nouveau fournisseur technologique qui traitera des données de vos clients nécessite une EFVP. Vous changez de CRM? EFVP. Vous adoptez un outil de signature électronique hébergé en Ontario? EFVP. Vous utilisez un service de courriel dont les serveurs sont aux États-Unis? EFVP. Ce n'est pas un exercice ponctuel, c'est une obligation continue à chaque changement technologique. Action concrète : Construisez un gabarit d'EFVP simplifié en cinq sections : (1) description du projet ou du fournisseur, (2) inventaire des renseignements personnels touchés, (3) identification des risques pour la vie privée, (4) mesures d'atténuation prévues, (5) conclusion et décision. Pour les transferts hors Québec, ajoutez une sixième section : évaluation du cadre juridique de la juridiction de destination. Conservez toutes vos EFVP dans un dossier centralisé accessible au responsable RP. [En savoir plus sur la réalisation d'une EFVP](/blogue/efvp-evaluation-facteurs-vie-privee-loi-25).

6. Obtenir un consentement renforcé

En vigueur depuis : 22 septembre 2023 (Phase 2) Ce que la loi exige : Le consentement doit être manifeste, libre et éclairé. Il doit être demandé pour chaque finalité de manière distincte et en termes simples. Pour les renseignements sensibles (données financières, données de santé, données biométriques), le consentement doit être explicite. Le consentement par défaut (cases pré-cochées) n'est plus valide. Le suivi et le profilage exigent un consentement opt-in. La personne doit pouvoir retirer son consentement aussi facilement qu'elle l'a donné. Ce que ça veut dire pour votre cabinet : Quand vous collectez les informations financières d'un client pour un plan financier, le client doit comprendre clairement pourquoi vous les collectez, à quoi elles serviront et à qui elles pourraient être communiquées. Si vous utilisez ces données pour une finalité différente (par exemple, envoyer des communications marketing), il vous faut un consentement distinct pour cette finalité. Et si vous utilisez un outil qui fait du profilage ou de la segmentation de clientèle, le client doit y avoir consenti expressément. Action concrète : Révisez vos formulaires d'ouverture de compte et vos consentements existants. Assurez-vous que chaque finalité de collecte est décrite en langage clair, que le consentement pour le marketing est distinct du consentement pour le service, et qu'aucune case n'est pré-cochée. Documentez les consentements obtenus (quand, comment, pour quoi) de manière à pouvoir les démontrer à la CAI si nécessaire. Si vous utilisez une plateforme de communication qui archive les échanges, comme TnS, les consentements documentés dans la plateforme constituent une trace vérifiable.

7. Assurer la portabilité des données

En vigueur depuis : 22 septembre 2024 (Phase 3) Ce que la loi exige : Toute personne peut demander à recevoir les renseignements personnels que vous détenez sur elle dans un format technologique structuré et couramment utilisé. Elle peut aussi demander que ces renseignements soient communiqués directement à un autre organisme ou entreprise autorisé par la loi à les recueillir. Ce que ça veut dire pour votre cabinet : Si un client quitte votre cabinet pour aller chez un concurrent et vous demande de lui transmettre son dossier dans un format numérique structuré, vous devez être en mesure de le faire. Il ne s'agit pas de lui remettre un PDF scanné de son dossier papier. Le format doit être structuré (par exemple CSV, XML ou JSON) et couramment utilisé, pour que les données puissent être réutilisées par le destinataire. Action concrète : Vérifiez que votre CRM ou votre système de gestion de dossiers permet d'exporter les données d'un client dans un format structuré. Testez la fonctionnalité d'exportation avant de recevoir une demande. Établissez un délai de traitement interne (la loi ne fixe pas de délai précis, mais « dans un délai raisonnable » est le standard). Documentez la procédure pour que n'importe quel membre de votre équipe puisse traiter une demande de portabilité.

Récapitulatif : votre check-list de conformité

Voici un résumé rapide pour évaluer où vous en êtes :

Responsable RP nommé et publié sur le site web. Si ce n'est pas fait, c'est le point de départ. Sans responsable identifié, tous les autres éléments manquent de gouvernance. Registre des incidents en place et tenu à jour. Même si vous n'avez jamais eu d'incident (ou pensez n'en avoir jamais eu), le registre doit exister et être prêt à accueillir les entrées. Plan de réponse aux incidents documenté. Qui fait quoi, dans quel ordre, avec quels gabarits de notification. Testez-le au moins une fois par année avec un scénario fictif. Politique de confidentialité publiée sur le site web. Rédigée en langage clair, pas en jargon juridique. Mise à jour avec les obligations de la Phase 2 (EFVP, consentement, droits des personnes). Cadre de gouvernance interne documenté. Règles de conservation, de destruction, de gestion des accès. Pas nécessairement publié, mais accessible sur demande de la CAI. EFVP réalisées pour chaque fournisseur technologique. En particulier ceux qui hébergent des données hors du Québec. Mises à jour quand le fournisseur change ses pratiques. Consentements révisés et documentés. Formulaires à jour, finalités distinctes, pas de cases pré-cochées, trace de chaque consentement obtenu. Processus de portabilité fonctionnel. Export possible dans un format structuré, procédure documentée, délai de traitement raisonnable.

Si vous cochez les huit points (sept obligations plus le plan de réponse aux incidents), votre cabinet est dans une bonne posture. Si plusieurs cases sont vides, priorisez dans cet ordre : responsable RP, registre d'incidents, politique de confidentialité. Ce sont les trois fondations sur lesquelles tout le reste s'appuie.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/blogue/loi-25-guide-conseiller-financier)*
• *[Amendes Loi 25 : comprendre le calcul des sanctions pour votre cabinet](/blogue/loi-25-amendes-calcul-sanctions)*
• *[Incident de confidentialité : que faire dans les 72 premières heures](/blogue/incident-confidentialite-loi-25-72-heures)*
• *[EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée](/blogue/efvp-evaluation-facteurs-vie-privee-loi-25)*
• *[Loi 25 et AMF : la double couche de conformité pour les conseillers financiers](/blogue/loi-25-amf-conformite-double-couche)*