Loi 25 et cabinets comptables : des données financières sous haute responsabilité
NAS, revenus, actifs, dettes, relevés bancaires — les cabinets comptables et conseillers financiers québécois traitent certaines des données les plus sensibles qui existent. La Loi 25 impose des obligations strictes sur leur collecte, leur stockage et leur transmission.
5 min de lecture
« On envoie les dossiers par courriel depuis toujours — c'est pratique. »
Un cabinet de comptabilité de Québec. Les associés envoient les états financiers par courriel à leurs clients, partagent des documents via un lien Dropbox, reçoivent les relevés par pièce jointe. Efficace. Rapide. Utilisé depuis 10 ans.
Un client demande à savoir où sont stockées ses données financières et qui y a accès. Le cabinet n'a pas de réponse claire. Les fichiers sont sur Dropbox (serveurs américains), les courriels sont sur Gmail sans chiffrement, et deux anciens employés ont potentiellement toujours accès au dossier partagé.
La Loi 25 n'exige pas la perfection technique. Elle exige que vous sachiez où sont vos données, qui y accède, et que vos clients en soient informés.
Ce que la Loi 25 implique pour un cabinet comptable
Les données financières personnelles (revenus, déclarations de revenus, NAS, états financiers personnels) sont des renseignements personnels sensibles qui bénéficient d'une protection renforcée.
Vous devez informer vos clients de l'endroit où leurs données sont stockées, qui y a accès, et pendant combien de temps elles sont conservées — y compris chez vos sous-traitants (logiciels cloud, portails clients).
Si vous utilisez des logiciels hébergés hors du Québec (TaxCycle, QuickBooks Online, Xero, Dropbox, Google Drive), vous devez en informer vos clients et vous assurer que ces fournisseurs offrent des protections équivalentes.
En cas d'incident de confidentialité (courriel envoyé à la mauvaise personne, accès non autorisé), vous avez l'obligation de le signaler à la CAI et d'en informer la personne concernée si le risque est sérieux.
Les 4 situations à risque dans un cabinet comptable
Partage de documents par courriel ou cloud non sécurisé
Envoyer un état financier par courriel non chiffré ou partager un dossier via un lien Dropbox public expose des données ultra-sensibles. En cas d'interception ou d'accès non autorisé, votre cabinet est responsable. La Loi 25 exige des mesures de sécurité adaptées à la sensibilité des données.
À vérifier : comment vos documents financiers clients sont-ils transmis et stockés ? Qui y a accès aujourd'hui ?
Logiciels comptables hébergés hors Canada
QuickBooks Online (USA), Xero (Nouvelle-Zélande/USA), Sage (Europe) — ces outils hébergent des données de vos clients hors du Canada. La Loi 25 exige que vous informiez vos clients de ce transfert et que vous ayez évalué les protections offertes dans ces pays.
À vérifier : vos clients savent-ils que leurs données financières sont hébergées hors du Québec ?
Accès des employés et anciens employés aux dossiers
Dans un cabinet, plusieurs personnes accèdent aux dossiers clients — associés, techniciens comptables, stagiaires. Quand un employé quitte le cabinet, ses accès sont-ils révoqués immédiatement ? Avez-vous un registre des accès ? La Loi 25 exige un contrôle des accès proportionnel à la sensibilité des données.
À vérifier : avez-vous un processus formalisé de révocation des accès lors du départ d'un employé ?
Site web et formulaire de prise de contact
Même si votre site est "juste une vitrine", un formulaire de contact qui collecte le nom, le courriel et la situation financière d'un prospect est soumis à la Loi 25. Ces données doivent être protégées, non partagées sans consentement, et supprimées si le prospect en fait la demande.
À vérifier : votre formulaire de contact mentionne-t-il comment les données des prospects sont utilisées et conservées ?
Ce que votre cabinet doit vérifier en priorité
Vous avez un inventaire des outils et logiciels qui traitent des données clients (avec les pays d'hébergement)
Vos clients sont informés des pays où leurs données sont stockées
Les accès aux dossiers sont restreints aux personnes qui en ont besoin — et révoqués à la fin de la relation
Votre site a une politique de confidentialité couvrant les formulaires de contact et de demande de service
Votre bannière de cookies permet de refuser en un clic si vous utilisez Google Analytics
Vous avez un processus de signalement d'incident de confidentialité (même interne)
Pour aller plus loin : Amendes et sanctions Loi 25 pour les entreprises québécoises
Un premier diagnostic pour votre cabinet — sans juriste
Le pré-audit d'auditloi25.ca analyse les pages publiques de votre site en quelques secondes : formulaire de contact, politique de confidentialité, bannière de cookies. Il identifie ce qui est conforme, ce qui ne l'est pas, et dans quel ordre corriger.
C'est un point de départ — pas un audit légal complet. Mais pour la grande majorité des cabinets québécois, c'est exactement là qu'il faut commencer.
Votre cabinet gère des données financières sensibles. Commencez par savoir où vous en êtes.
Pré-audit gratuit · Rapport instantané · Aucun engagement, aucune carte requise
Obtenir mon pré‑audit gratuit