Conformité Loi 25 et gestion documentaire : le guide complet pour PME

La Loi 25 ne parle pas de documents. Elle parle de renseignements personnels. Mais en pratique, ces renseignements vivent dans vos documents : contrats, factures, formulaires d'inscription, pièces d'identité numérisées, dossiers clients. Votre gestion documentaire est donc le socle invisible de votre conformité.

Si vos documents sont éparpillés entre Google Drive, des courriels et un classeur au fond du bureau, vous êtes exposé. Voici comment structurer votre gestion documentaire pour répondre aux exigences de la Loi 25 — article par article.

Pourquoi la gestion documentaire est au cœur de la Loi 25

La Loi 25 impose des obligations précises qui touchent directement le cycle de vie de vos documents :

• Conservation — vous devez conserver les renseignements personnels aussi longtemps que nécessaire à la finalité déclarée, puis les détruire (art. 23)
• Destruction sécurisée — la suppression doit être irréversible, pas simplement un clic sur « supprimer » (art. 23)
• Portabilité — un client peut exiger les renseignements recueillis auprès de lui dans un format structuré, en 30 jours (art. 27). Ce droit vise les données collectées auprès de la personne, pas celles inférées.
• Accès et rectification — toute personne peut demander à voir ou corriger ses renseignements, délai de 30 jours (art. 32)
• Registre des incidents — tout incident de confidentialité doit être consigné et conservé 5 ans minimum (art. 3.8)
• Consentement documenté — vous devez pouvoir prouver que le consentement a été obtenu, pour chaque finalité spécifique (art. 14)

Chacune de ces obligations repose sur une chose : savoir où sont vos documents, qui y accède, et depuis combien de temps vous les conservez.

Les 6 piliers d'une gestion documentaire conforme

1. Centralisation du stockage

L'OACIQ le dit clairement aux courtiers immobiliers : « Les documents ne doivent pas être éparpillés dans les courriels, dans un nuage, sur le bureau d'ordinateur ou dans des outils de travail. » Ce conseil s'applique à toute entreprise soumise à la Loi 25.

Si un client exerce son droit d'accès (art. 32), vous avez 30 jours pour lui fournir l'ensemble de ses renseignements. Avec des fichiers répartis entre trois plateformes et un classeur physique, c'est un cauchemar logistique.

2. Calendrier de conservation

Chaque type de document a une durée de conservation dictée par la loi :

• Déclarations fiscales : 6 ans (CRA et Revenu Québec)
• Dossiers comptables : 6 ans après l'année fiscale
• Contrats : 6 ans après expiration (Code civil du Québec)
• Registre des incidents : 5 ans (Loi 25, art. 3.8)
• Dossiers juridiques : 7 ans après fermeture

Au-delà de ces durées, la Loi 25 exige la destruction ou l'anonymisation des renseignements personnels (art. 23). Conserver « au cas où » est une violation.

3. Destruction sécurisée et automatisée

Supprimer un fichier de Google Drive ne suffit pas — les fichiers restent dans la corbeille pendant 30 jours, et les sauvegardes persistent encore plus longtemps. La Loi 25 exige une destruction qui rend les renseignements définitivement inaccessibles.

Une solution conforme devrait automatiser ce processus : lorsque la durée de conservation expire, les documents sont détruits automatiquement selon vos politiques.

4. Contrôle d'accès compartimenté

L'article 20 de la Loi 25 est clair : l'accès aux renseignements personnels doit être limité à ce qui est nécessaire à l'exercice des fonctions de chaque employé. Si tout le monde dans votre entreprise peut accéder à tous les dossiers clients, vous êtes en infraction.

Un contrôle d'accès par rôle et par emplacement permet de compartimenter l'information : chaque employé ne voit que ce dont il a besoin.

5. Traçabilité et journal d'audit

Si la Commission d'accès à l'information (CAI) vous demande de prouver votre conformité, vous devez être en mesure de démontrer :

• Qui a accédé à quel document, et quand
• Quand un consentement a été obtenu
• Quand un document a été détruit
• Comment vous avez répondu à une demande d'accès

Sans journal d'audit, c'est votre parole contre celle de la CAI.

6. Export structuré pour la portabilité

Depuis septembre 2024, le droit à la portabilité des données (art. 27) est en vigueur. Un client peut vous demander de lui transmettre ses renseignements dans un format technologique structuré et couramment utilisé — CSV, JSON ou XML. Pas un PDF verrouillé. Pas des captures d'écran.

Votre système de gestion documentaire doit permettre cet export en quelques clics, pas en quelques jours.

L'erreur la plus courante : croire que Google Drive suffit

Google Drive, Dropbox et OneDrive sont des outils de stockage, pas des systèmes de gestion documentaire. Ils n'offrent aucune des fonctionnalités requises pour la conformité Loi 25 :

• Pas de calendrier de conservation automatisé
• Pas de destruction sécurisée programmée
• Pas de mécanisme de consentement intégré
• Pas de journal d'audit conforme
• Aucune garantie d'hébergement au Québec — une ÉFVP peut être requise (art. 17)

Et si tout ça était déjà géré pour vous?

Meo est une plateforme de gestion documentaire conçue pour la conformité Loi 25. Hébergement au Québec, consentement automatisé, rétention, audit, portabilité, anonymisation — tout est intégré. Meo inclut également un portail de conformité pour centraliser la désignation de votre responsable, le registre des incidents et le suivi de vos sous-traitants.

Essayez gratuitement pendant 30 jours et simplifiez votre gestion documentaire.