RPC

RefinancePro.club

Loi 25 (Québec)

consentement, droits d'accès, incident de confidentialité

Droits4 min de lecture11 février 2026
Partager

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée progressivement en vigueur au Québec entre 2022 et 2024, modifiant en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Elle impose des obligations significatives aux courtiers hypothécaires et à leurs cabinets en matière de gestion des données personnelles. La Loi 25 exige la nomination d'un responsable de la protection des renseignements personnels, l'obtention d'un consentement clair et éclairé avant la collecte de données, la tenue d'un registre des incidents de confidentialité, la réalisation d'évaluations des facteurs relatifs à la vie privée (EFVP) pour certains projets et la mise en place de politiques de gouvernance des données. Les courtiers hypothécaires collectent des données sensibles (revenus, dettes, information bancaire, état civil) et doivent se conformer rigoureusement à ces nouvelles exigences. Les pénalités pour non-conformité peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

La Loi 25 : transformation de la protection des données au Québec

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) représente la plus importante réforme de la protection des renseignements personnels au Québec depuis l'adoption de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) en 1994. Entrée progressivement en vigueur entre septembre 2022 et septembre 2024, cette loi impose un cadre strict et modernisé pour la collecte, l'utilisation, la conservation, la communication et la destruction des renseignements personnels par les entreprises du secteur privé. Pour les courtiers hypothécaires et leurs cabinets, qui manipulent quotidiennement des données financières parmi les plus sensibles, cette loi a des implications profondes et concrètes sur leurs pratiques professionnelles.

Obligations clés imposées aux courtiers hypothécaires

  1. Nommer un responsable de la protection des renseignements: Chaque cabinet de courtage doit désigner une personne responsable de la protection des renseignements personnels (RPRP). Par défaut, c'est la personne ayant la plus haute autorité au sein du cabinet. Les coordonnées du RPRP doivent être publiées sur le site web du cabinet et communiquées à la Commission d'accès à l'information.
  2. Obtenir un consentement clair et éclairé: Avant de collecter des renseignements personnels, le courtier doit obtenir un consentement qui est clair, libre, éclairé et donné à des fins spécifiques. Le client doit savoir précisément quelles données sont collectées, pourquoi elles sont collectées, comment elles seront utilisées, avec qui elles seront partagées et pendant combien de temps elles seront conservées.
  3. Publier une politique de confidentialité accessible: Le cabinet doit publier une politique de confidentialité rédigée en termes simples et clairs, décrivant les pratiques de gestion des renseignements personnels. Cette politique doit être facilement accessible sur le site web et présentée aux clients.
  4. Tenir un registre des incidents de confidentialité: Le cabinet doit documenter tout incident de confidentialité dans un registre dédié. Les incidents présentant un risque sérieux de préjudice doivent être signalés à la Commission d'accès à l'information et aux personnes concernées dans les meilleurs délais.
  5. Réaliser des évaluations des facteurs relatifs à la vie privée: Avant tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels (nouveau logiciel, nouveau processus, partenariat), le cabinet doit réaliser une EFVP pour identifier et atténuer les risques pour la vie privée.

Droits renforcés des clients sur leurs données

La Loi 25 renforce considérablement les droits des clients sur leurs données personnelles. Le droit d'accès permet au client de consulter l'ensemble des renseignements personnels détenus par le courtier ou le cabinet. Le droit de rectification permet de faire corriger toute information inexacte, incomplète ou équivoque. Le droit à la suppression, aussi appelé droit à l'oubli, permet au client de demander la destruction de ses renseignements lorsque la collecte n'est plus nécessaire aux fins pour lesquelles ils ont été recueillis. Le droit à la portabilité permet au client de demander le transfert de ses données dans un format technologique structuré et couramment utilisé, facilitant par exemple un changement de courtier. Le courtier doit répondre à ces demandes dans un délai de 30 jours.

Pénalités et conséquences de la non-conformité

Les pénalités prévues par la Loi 25 sont significatives et visent à assurer un respect rigoureux de la loi. Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 pour cent du chiffre d'affaires mondial pour les entreprises. Les sanctions pénales, pour les infractions les plus graves, peuvent atteindre 25 millions de dollars ou 4 pour cent du chiffre d'affaires mondial. Des amendes de 5 000 à 100 000 dollars peuvent être imposées aux individus. La Commission d'accès à l'information du Québec (CAI) est l'organisme d'application de la loi. Au-delà des pénalités financières, la non-conformité peut entraîner une atteinte majeure à la réputation du cabinet et la perte de la confiance des clients.

Mise en conformité pratique pour le courtier

La mise en conformité avec la Loi 25 exige une approche systématique et continue. Le courtier et son cabinet devraient réaliser un inventaire complet des renseignements personnels collectés et détenus, réviser et mettre à jour les formulaires de consentement, rédiger ou mettre à jour la politique de confidentialité, former l'ensemble du personnel sur les nouvelles obligations, mettre en place des mesures de sécurité adéquates pour protéger les données, établir un processus de gestion des incidents de confidentialité et créer des procédures pour répondre aux demandes d'accès, de rectification, de suppression et de portabilité des clients. Cette mise en conformité n'est pas un exercice ponctuel mais un processus continu d'amélioration et de vigilance.

Questions fréquentes

Qu'est-ce que la Loi 25?
La Loi 25 est une loi québécoise qui modernise le cadre de protection des renseignements personnels dans le secteur privé. Entrée en vigueur progressivement de 2022 à 2024, elle impose de nouvelles obligations aux entreprises, incluant les cabinets de courtage hypothécaire, en matière de consentement, de transparence, de sécurité des données et de gestion des incidents.
Quelles obligations la Loi 25 impose-t-elle aux courtiers hypothécaires?
Les courtiers doivent nommer un responsable de la protection des renseignements personnels, obtenir un consentement explicite pour la collecte de données, informer les clients de l'utilisation de leurs données, tenir un registre des incidents de confidentialité, notifier la Commission d'accès à l'information en cas d'incident grave et mettre en place des politiques de gouvernance.
Qu'est-ce qu'un incident de confidentialité?
Un incident de confidentialité est tout accès, utilisation ou communication non autorisés de renseignements personnels, ou toute perte de tels renseignements. Par exemple, une brèche informatique, un courriel envoyé au mauvais destinataire ou la perte d'un dossier client constitueraient des incidents devant être consignés et, si le risque est sérieux, signalés à la Commission d'accès à l'information.
Quelles sont les pénalités pour non-conformité à la Loi 25?
Les pénalités peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les entreprises. Des sanctions pénales sont aussi possibles, incluant des amendes de 5 000 $ à 100 000 $ pour les individus. La Commission d'accès à l'information du Québec est l'organisme d'application de la loi.

Information éducative uniquement. Ne constitue pas un conseil financier au sens de la Loi sur la distribution de produits et services financiers (LDPSF). Consultez un courtier hypothécaire certifié AMF avant toute décision financière.

Assistant hypothécaire

Bonjour! Je suis votre assistant hypothécaire éducatif. Posez-moi vos questions sur les hypothèques au Québec et au Canada.

Info éducative · Ne constitue pas un conseil financier