Loi 25 et gestion documentaire : guide de conformité
Guide pratique pour mettre en conformité votre gestion documentaire avec la Loi 25 du Québec et la LPRPDE
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa gestion documentaire est au cœur de la conformité en matière de protection des renseignements personnels. Chaque document collecté par une compagnie — permis de conduire, bulletin de paie, contrat, relevé bancaire — contient des renseignements personnels dont le traitement est encadré par la Loi 25 du Québec et la LPRPDE fédérale. La Commission d'accès à l'information (CAI) du Québec peut imposer des sanctions pouvant atteindre 25 millions CAD pour les infractions graves. Ce guide détaille les principes, les durées de conservation et les mesures concrètes à mettre en œuvre.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.
Les principes de la Loi 25 appliqués à la gestion documentaire
| Principe | Application à la gestion documentaire |
|---|---|
| Finalité | Chaque collecte de document repose sur une finalité identifiée et légitime |
| Nécessité | Ne collecter que les documents strictement nécessaires |
| Consentement | Manifeste, libre, éclairé et donné à des fins spécifiques |
| Conservation limitée | Chaque type de document a une durée de conservation maximale |
| Sécurité | Les documents sont chiffrés, l'accès est restreint aux personnes habilitées |
| Transparence | La personne est informée de la collecte, de la finalité et de ses droits |
Durées de conservation par type de document
| Type de document | Durée de conservation | Fondement |
|---|---|---|
| Pièce d'identité (copie KYC) | 5 ans après la fin de la relation d'affaires | LRPCFAT |
| Bulletin de paie | 3 ans après la fin d'emploi | Loi sur les normes du travail, Code civil du Québec |
| Contrat de travail | 3 ans après la fin du contrat | Code civil du Québec, art. 2925 |
| Contrat commercial | 6 ans après l'exécution | Loi sur la prescription, Code civil du Québec |
| Justificatif de domicile | Durée de la relation + 1 an maximum | Principe de nécessité, Loi 25 |
| Factures | 6 ans après la fin de l'année d'imposition | Loi de l'impôt sur le revenu (fédéral) |
| Documents bancaires (spécimen de chèque) | Durée de la relation + 5 ans | LRPCFAT |
| Documents fiscaux | 6 ans | ARC et Revenu Québec |
Évaluation des facteurs relatifs à la vie privée (EFVP)
La Loi 25 impose une EFVP pour tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels à grande échelle. La CAI a publié des lignes directrices sur la méthodologie à suivre.
L'EFVP se décompose en quatre étapes : description du traitement, évaluation de la nécessité et de la proportionnalité, évaluation des risques et mesures d'atténuation.
Le responsable de la protection des renseignements personnels (RPRP) — fonction obligatoire sous la Loi 25 — doit être consulté systématiquement lors de la réalisation de l'EFVP.
Approfondir le sujet
Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.
Explorer nos guidesDroits des personnes concernées en gestion documentaire
La Loi 25 confère aux personnes dont les renseignements sont traités un ensemble de droits que la compagnie doit pouvoir satisfaire dans un délai de 30 jours.
Droit d'accès
Toute personne peut demander à la compagnie de lui communiquer l'ensemble des documents la concernant. La compagnie doit être en mesure d'identifier et d'extraire tous les documents associés à un individu, quelle que soit leur localisation (GED, courriels, archives physiques). La CAI considère que l'absence de capacité technique à satisfaire ce droit constitue un manquement.
Droit à l'effacement
La personne peut demander la suppression de ses documents, sauf lorsqu'une obligation légale impose leur conservation. En pratique, si un client demande la suppression de sa copie de permis de conduire collectée dans le cadre d'un KYC, la compagnie peut refuser pendant la durée de conservation légale (5 ans LRPCFAT), mais doit supprimer le document dès l'expiration de ce délai.
Droit à la portabilité
La Loi 25 introduit un droit à la portabilité des renseignements personnels. La personne peut demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé, ou transmis directement à un tiers qu'elle désigne.
La règle des trois bases de conservation
La pratique recommandée distingue trois phases de conservation. La base active correspond à la durée pendant laquelle le document est nécessaire au traitement courant. La base intermédiaire couvre la période où le document n'est plus utilisé mais doit être conservé pour des raisons légales (prescription, contrôle fiscal). La base d'archivage définitif ne concerne que les documents à valeur historique.
La mise en œuvre pratique de ces durées nécessite un système de gestion documentaire capable de déclencher automatiquement la purge ou l'archivage à l'échéance. Une solution de validation documentaire automatisée permet d'horodater chaque collecte et de programmer les suppressions.
Évaluation des facteurs relatifs à la vie privée (EFVP) : méthodologie détaillée
Quand une EFVP est-elle requise
Une EFVP est requise dès lors que le traitement documentaire présente au moins deux des critères suivants : traitement à grande échelle, données sensibles (biométrie, pièces d'identité), surveillance systématique, croisement de données, personnes vulnérables. En pratique, toute compagnie qui vérifie l'identité de plus de quelques centaines de personnes par an doit conduire une EFVP.
Méthodologie en quatre étapes
La méthodologie recommandée par la CAI se décompose en quatre étapes. Premièrement, la description du traitement : quels documents sont collectés, par qui, pour quelle finalité, avec quels outils. Deuxièmement, l'évaluation de la nécessité et de la proportionnalité : les documents collectés sont-ils tous indispensables, les durées de conservation sont-elles justifiées. Troisièmement, l'évaluation des risques : quelles sont les menaces (fuite de données, accès non autorisé, perte) et leurs impacts sur les personnes. Quatrièmement, les mesures d'atténuation : chiffrement, pseudonymisation, contrôle d'accès, formation des équipes.
Le responsable de la protection des renseignements personnels (RPRP) doit être consulté systématiquement lors de la réalisation de l'EFVP. Si le risque résiduel reste élevé après la mise en place des mesures, la compagnie doit consulter la CAI avant de mettre en oeuvre le traitement.
Mesures techniques et organisationnelles
Chiffrement et contrôle d'accès
Le chiffrement des documents au repos (AES-256) et en transit (TLS 1.3) constitue le socle technique minimal. Le contrôle d'accès basé sur les rôles (RBAC) garantit que seules les personnes habilitées accèdent aux documents.
Pistes d'audit et traçabilité
Chaque accès, modification ou suppression de document doit être tracé dans un journal d'audit horodaté et infalsifiable. La Loi 25 exige que les compagnies soient en mesure de démontrer leur conformité.
Anonymisation et pseudonymisation
Lorsque les documents ne sont plus nécessaires dans leur forme complète, la pseudonymisation (remplacement des identifiants directs par des codes) ou l'anonymisation (suppression irréversible de tout élément identifiant) permettent de conserver les données à des fins statistiques ou analytiques tout en respectant le principe de minimisation.
Pour les compagnies du secteur financier, ces mesures s'inscrivent dans un cadre plus large de conformité. Découvrez nos solutions pour le financement et le crédit-bail.
Formation et sensibilisation
Les mesures techniques sont inutiles sans une culture de la protection des renseignements personnels au sein de l'organisation. La formation des collaborateurs manipulant des documents personnels doit couvrir les principes de la Loi 25, les procédures internes de conservation et de destruction, et les réflexes en cas d'incident de confidentialité (notification à la CAI dans les meilleurs délais).
Incident de confidentialité
En cas d'incident de confidentialité impliquant des renseignements personnels, la Loi 25 impose : notification à la CAI, notification aux personnes concernées si le risque de préjudice est sérieux, et tenue d'un registre des incidents.
Aller plus loin
Pour approfondir ce sujet, consultez notre guide complet sur la vérification documentaire.
FAQ
Faut-il nommer un responsable de la protection des renseignements personnels ?
Oui. La Loi 25 impose à toute compagnie exerçant au Québec de désigner un responsable de la protection des renseignements personnels (RPRP). Par défaut, cette fonction est exercée par la personne ayant la plus haute autorité au sein de la compagnie, mais elle peut être déléguée.
Combien de temps peut-on conserver une copie de permis de conduire ?
Pour les copies collectées dans le cadre d'obligations légales (KYC, LRPCFAT), la durée maximale est de 5 ans après la fin de la relation d'affaires. En l'absence d'obligation légale, la durée doit être limitée au strict nécessaire.
Que faire en cas de fuite de documents contenant des renseignements personnels ?
La Loi 25 impose de notifier la CAI et les personnes concernées (si le risque de préjudice est sérieux) dans les meilleurs délais. La compagnie doit documenter l'incident dans un registre des incidents de confidentialité.
La Loi 25 s'applique-t-elle aux documents papier ?
Oui. La Loi 25 s'applique à tout traitement de renseignements personnels, y compris les dossiers papier structurés. Les archives papier sont soumises aux mêmes règles de conservation, d'accès et de destruction que les documents numériques.
Notre plateforme traite plus de 180 000 documents par mois avec une précision OCR de 98,7 % et une disponibilité de 99,97 %, réduisant le temps de traitement manuel de 83 %.
Pour une vision complète de la conformité documentaire, consultez notre guide complet de conformité documentaire. Retrouvez nos tarifs ou contactez-nous. Les compagnies qui intègrent la conformité Loi 25 dès la conception de leurs systèmes de gestion documentaire évitent les coûts de mise en conformité a posteriori.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.