Loi 25 — Conformité
Guide pratique pour un syndicat sur la conformité à la Loi 25 du Québec sur la protection des renseignements personnels.
Qu'est-ce que la Loi 25 ?#
La Loi 25 (PL-64 adopté en septembre 2021, entrée en vigueur progressive 2022-2024) modernise le cadre québécois de protection des renseignements personnels. Elle s'applique à toute entreprise ou organisme du Québec qui collecte, détient ou utilise des renseignements personnels — y compris votre syndicat de copropriété.
Les amendes peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial (le plus élevé). Pour un syndicat, cela représente un risque sérieux — mais les obligations sont proportionnelles à la taille et à la sensibilité des données.
Obligations pour un syndicat#
1. Désigner un responsable (RPRP)#
Depuis septembre 2022, tout organisme doit désigner une personne responsable de la protection des renseignements personnels.
- Qui ? Le président du CA par défaut, ou un administrateur désigné
- Publication : le nom et les coordonnées du RPRP doivent être affichés publiquement (site web ou documents officiels)
Dans Syndic+ : Paramètres → Syndicat → Conformité Loi 25 → Responsable.
2. Politiques et procédures#
Le syndicat doit documenter :
- Politique de confidentialité — collecter, utiliser, conserver, supprimer
- Politique de gouvernance — qui peut accéder à quoi
- Procédure d'incident — que faire en cas de fuite
Syndic+ fournit des modèles bilingues prêts à l'emploi dans Documents → Modèles → Loi 25.
3. Évaluation des facteurs relatifs à la vie privée (EFVP)#
Pour tout nouveau projet impliquant des renseignements personnels (ex. nouvelle intégration, nouveau formulaire sur le portail), le syndicat doit évaluer les risques avant de déployer.
Syndic+ propose un formulaire EFVP guidé dans Conformité → EFVP → Nouvelle évaluation.
4. Notification des incidents (septembre 2022)#
Si un « incident de confidentialité » survient — fuite, vol, perte, accès non autorisé — et présente un risque de « préjudice sérieux » :
Constatation
Le RPRP documente l'incident dans un registre (obligatoire depuis sept. 2022).
Évaluation du risque
Facteurs : sensibilité des données, nombre de personnes touchées, récupérabilité, usage malveillant probable.
Notification CAI
Si risque sérieux : aviser la Commission d'accès à l'information du Québec dans les meilleurs délais (max. 72 heures recommandé).
Notification des personnes
Aviser chaque personne touchée, sauf si cela entraverait une enquête en cours.
Mesures correctives
Documenter les mesures prises pour éviter la récurrence.
Syndic+ intègre un workflow d'incident qui génère automatiquement les documents (Conformité → Incidents).
5. Droits des personnes (septembre 2023)#
Chaque copropriétaire a le droit de :
- Accéder à ses données
- Rectifier des données inexactes
- Être informé d'un usage automatisé ayant un effet juridique (Syndic+ n'en utilise aucun)
- Portabilité (à partir de sept. 2024) — obtenir ses données dans un format structuré
Depuis Paramètres → Confidentialité dans le portail, chaque copropriétaire peut :
- Télécharger ses données (JSON)
- Demander une correction
- Demander la suppression (sous réserve des obligations légales de conservation)
Cas fréquents pour un syndicat#
Publication d'un PV sur le portail#
Problème : un PV contient les noms, adresses et votes des copropriétaires. Solution : activer l'option « PV caviardé pour portail » qui anonymise les noms. Un PV complet reste accessible aux administrateurs.
Partage d'une liste de copropriétaires à un fournisseur#
Problème : partager une liste Excel avec un nettoyeur ou un entrepreneur n'est pas nécessaire. Solution : partager uniquement le minimum requis (ex. numéro d'unité et téléphone, pas les noms). Utiliser l'export CSV filtré.
Caméras de surveillance#
Problème : filmer les aires communes implique la collecte d'images. Solution : afficher des pictogrammes visibles, conserver les enregistrements moins de 72 h par défaut, limiter l'accès aux admins du CA.
Auto-évaluation#
Syndic+ inclut un test de conformité Loi 25 (Conformité → Auto-évaluation) qui vérifie :
- RPRP désigné et coordonnées publiées
- Politique de confidentialité publiée
- Registre des incidents en place
- 2FA activée pour les admins
- Portail copropriétaire avec droits d'accès
- Contrat de traitement signé avec Syndic+ (automatique à l'inscription)
Score affiché en temps réel.
Ressources#
- Commission d'accès à l'information — autorité de surveillance
- Aide-mémoire CAI — responsabilités organismes privés
- Guide RGCQ — adaptation Loi 25 pour copropriétés