auditloi25.ca
Pour les avocats, notaires et juristes

Loi 25 pour les avocats et notaires : obligations et points de vigilance

Les professionnels du droit québécois sont déjà soumis à un strict devoir de confidentialité. La Loi 25 y ajoute des obligations spécifiques sur la collecte, la conservation et la destruction des renseignements personnels — y compris sur votre site web.

5 min de lecture

« On est déjà tenus au secret professionnel — la Loi 25 n'ajoute rien. »

Un cabinet d'avocats en droit familial de Québec. Site vitrine avec formulaire de demande de consultation, page de contact, section blog sur le droit familial québécois. Simple.

Mais ce formulaire de demande de consultation demande la situation familiale, des éléments de contexte du dossier, parfois des détails financiers. Ces données sont parmi les plus sensibles visées par la Loi 25 — et elles arrivent dans une boîte courriel partagée entre secrétaire et avocats, sans chiffrement, sans durée de conservation définie.

Le secret professionnel couvre la relation avocat-client. La Loi 25 couvre la collecte, le stockage et la destruction des renseignements personnels sur votre site et vos systèmes. Ce sont deux obligations distinctes, complémentaires.

Ce que la Loi 25 implique pour un cabinet ou une étude

Tout formulaire de prise de contact ou de demande de consultation collectant des renseignements personnels (nom, situation familiale, contexte du dossier) doit être accompagné d'un avis de collecte clair.

Vous devez désigner un responsable de la protection des renseignements personnels (RPRP) au sein de votre cabinet — même si c'est vous-même — et le rendre joignable facilement.

Les logiciels de gestion de dossiers (Clio, PCLaw, Juris...) hébergés hors du Canada doivent faire l'objet d'une évaluation des facteurs relatifs à la vie privée (EFVP).

Les données personnelles de clients doivent être détruites selon un calendrier de conservation défini — vous ne pouvez pas les garder indéfiniment.

En cas de violation de confidentialité impliquant des renseignements personnels, vous devez en aviser la Commission d'accès à l'information (CAI) dans les 72 heures.

Les 4 zones de risque sur le site d'un cabinet ou d'une étude

Formulaire de prise de contact ou de consultation

C'est le point d'entrée principal de renseignements personnels sur votre site. Un formulaire qui demande la nature du dossier (divorce, litige commercial, succession...) collecte des données potentiellement sensibles. L'avis de collecte et la politique de confidentialité doivent être visibles avant la soumission.

À vérifier : votre formulaire de contact mentionne-t-il l'usage des données et le droit de retrait ?

Logiciel de gestion de dossiers

Clio, MyCase, PCLaw — la plupart des outils de gestion de pratique juridique sont hébergés aux États-Unis. Transférer des renseignements personnels de clients québécois vers ces systèmes sans évaluation de risque constitue un risque de non-conformité depuis 2023.

À vérifier : votre logiciel de gestion de dossiers est-il couvert par un accord de traitement des données conforme à la Loi 25 ?

Communications par courriel non chiffrées

Si des clients vous transmettent des documents sensibles par courriel ordinaire (pièces d'identité, relevés bancaires, actes notariés), l'absence de chiffrement est un point de vulnérabilité. La Loi 25 exige des mesures de sécurité adaptées à la sensibilité des données.

À vérifier : votre cabinet dispose-t-il d'un protocole pour la transmission sécurisée de documents sensibles ?

Page de blog et contenu juridique

Un blog sur le droit familial ou les successions attire du trafic. Si vous y intégrez des formulaires d'abonnement ou de contact, les mêmes obligations s'appliquent. Et si vous utilisez Google Analytics pour mesurer ce trafic, la bannière de consentement est obligatoire.

À vérifier : votre bannière de cookies couvre-t-elle bien les pages de blog et de contenu ?

Ce que votre cabinet ou étude doit vérifier en priorité

Un responsable de la protection des renseignements personnels (RPRP) est désigné et joignable

Vos formulaires de contact incluent un avis de collecte et un lien vers la politique de confidentialité

Votre politique de confidentialité décrit la durée de conservation des données clients

Votre logiciel de gestion de dossiers fait l'objet d'un accord de traitement des données

Votre bannière de cookies est conforme et couvre toutes les pages du site

Vous avez un protocole pour aviser la CAI en cas de violation de données

Pour aller plus loin : Checklist Loi 25 complète pour votre site

Un audit de site web pour vous concentrer sur votre pratique

Notre audit ne couvre pas la gouvernance interne de votre cabinet — c'est le rôle d'un consultant en protection des données. Nous nous concentrons sur ce qui est visible et vérifié en priorité par la CAI : votre site web, vos formulaires, votre bannière de consentement et vos politiques publiées.

Le pré-audit gratuit vous donne un premier portrait en quelques minutes. L'audit complet fournit un rapport détaillé avec plan d'action priorisé — sans jargon, sans facturation à l'heure.

Votre site collecte des informations sur vos clients. Vérifiez qu'il est conforme Loi 25.

Pré-audit gratuit · Rapport instantané · Aucun engagement, aucune carte requise

Obtenir mon pré‑audit gratuit
Voir l'offre d'audit Loi 25 pour cabinets juridiques →
Retour à l'accueilChecklist Loi 25 pour votre site →
Obtenir mon pré-audit gratuit →