Loi 25 copropriété: incidents de confidentialité

La Loi 25 modernise la protection des renseignements personnels au Québec et s’applique aussi à votre syndicat de copropriété divise. Un incident de confidentialité peut survenir plus vite qu’on pense: courriel envoyé au mauvais destinataire, liste des copropriétaires perdue, ou vol d’un portable contenant des PV. Votre conseil d’administration (CA) doit savoir réagir, aviser et consigner correctement.

Note d’actualité: à jour au 2026-06-02.

Qu’est-ce qu’un incident de confidentialité en copropriété?

Selon la Loi 25, un incident de confidentialité vise un accès, une utilisation, une communication non autorisés de renseignements personnels, ou leur perte. En copropriété, cela touche souvent des informations comme noms, adresses courriel, numéros de téléphone, coordonnées bancaires pour les prélèvements des frais de condo, dossiers de réclamations d’assurance, ou plaintes consignéees au registre.

Exemples typiques dans un condo:

• Un fichier Excel du registre des copropriétaires est envoyé par erreur à tous les résidents.
• Un classeur contenant des demandes de travaux et données de contact disparaît du local du CA.
• Un gestionnaire externe est victime d’un rançongiciel qui chiffre les dossiers de la copropriété.
• Un courriel incluant des informations médicales mentionnées dans une plainte circule hors du CA.

En cas d’incident, l’enjeu premier est de limiter les risques de préjudice sérieux pour les personnes concernées (ex.: fraude, usurpation d’identité, atteinte à la réputation).

Références utiles:

• Texte de la Loi sur la protection des renseignements personnels dans le secteur privé (LégisQuébec): P-39.1
• Dispositions sur le syndicat et les registres en copropriété (Code civil du Québec): CCQ-1991

Rôles du CA et politiques exigées par la Loi 25

• Personne responsable des renseignements personnels (PRP): par défaut, l’autorité la plus élevée du syndicat (souvent la présidence du CA). Le CA peut désigner et publier l’identité ou le titre et les coordonnées de cette personne (site web, affichage, ou communication aux copropriétaires).
• Politiques internes: adoptez des politiques de gouvernance sur la protection des renseignements (collecte minimale, utilisation, conservation, destruction sécuritaire), un processus d’évaluation des facteurs relatifs à la vie privée pour les projets à risque, et des clauses contractuelles avec vos fournisseurs (gestion, TI, conciergerie) qui encadrent les renseignements personnels.
• Registre des incidents de confidentialité: tenez un registre à jour et prêt à être transmis à la Commission d’accès à l’information (CAI) sur demande. Ce registre est distinct du registre général de la copropriété visé par le C.c.Q.
• Formation et accès: donnez des consignes claires aux administrateurs et au gestionnaire. Limitez l’accès aux dossiers contenant des renseignements personnels aux personnes qui en ont besoin pour leurs fonctions.

Pour structurer ces mesures, voyez nos services en gestion administrative et notre accompagnement en gestion financière pour la tenue rigoureuse des registres.

Pour un panorama des bonnes pratiques en copropriété, consultez le RGCQ. Pour le secteur du courtage, l’OACIQ aborde la protection des renseignements personnels, des principes transposables au contexte de votre syndicat.

Procédure en cas d’incident: 5 étapes clés

1) Contenir et sécuriser

• Isolez le système ou le dossier touché. Changez les mots de passe et suspendez tout accès suspect.
• Récupérez, si possible, le document transmis par erreur. Demandez la suppression et obtenez une confirmation.

2) Qualifier l’incident

• Décrivez ce qui s’est passé, les renseignements impliqués et les personnes potentiellement touchées.
• Évaluez les facteurs de risque de préjudice sérieux: sensibilité des renseignements, nombre de personnes, probabilité d’utilisation malveillante, mesures d’atténuation déjà prises.

3) Décider des avis requis

• Si le risque de préjudice sérieux est avéré, vous devez aviser sans délai les personnes concernées et la CAI. Avisez aussi toute organisation susceptible de réduire les risques (ex.: institution financière, assureur) sans divulguer plus que nécessaire.
• Si le risque est faible, documentez tout de même l’événement dans le registre et appliquez des mesures correctives.

4) Documenter au registre

• Inscrivez l’incident, la date, la nature des renseignements, les décisions prises, les avis envoyés, et les mesures d’atténuation.

5) Corriger et prévenir

• Ajustez vos politiques, renforcez vos accès, chiffrez vos supports et sensibilisez votre équipe. Planifiez un rappel à l’AGA sans détails sensibles, au besoin, pour expliquer les améliorations de gouvernance.

Astuce pratique pour le CA:

• Centralisez les données sensibles dans un espace sécurisé.
• Évitez de diffuser des renseignements personnels dans les PV; créez des annexes confidentielles lorsque requis.
• Appliquez le principe de minimisation: collectez uniquement ce qui est nécessaire à l’administration des charges communes, de l’EUC/carnet d’entretien, des réclamations d’assurance et de l’application du règlement d’immeuble.

Avis aux personnes touchées et registre d’incidents

Lorsque le seuil du préjudice sérieux est atteint, l’avis aux personnes touchées et l’avis à la CAI doivent être complets et rapides. Le contenu précis est prévu par la Loi 25; inspirez-vous des éléments ci-dessous et adaptez selon votre situation.

Contenu minimal de l’avis

• Description sommaire de l’incident et date ou période visée.
• Catégories de renseignements concernés (évitez d’énumérer des données individuelles dans l’avis).
• Risques possibles (ex.: fraude) et mesures d’atténuation mises en œuvre.
• Mesures recommandées aux personnes (ex.: vigilance, changement de mot de passe, alerte de crédit).
• Coordonnées de la PRP pour questions et suivi.

Canaux d’avis: courriel nominatif, lettre, téléphone dans les cas urgents, ou autre moyen approprié à la situation. Gardez des preuves d’envoi.

Pour la notification réglementaire et les critères de « préjudice sérieux », référez-vous au texte légal (LégisQuébec): Loi P-39.1.

Registre des incidents: quoi consigner

• La nature de l’incident et les systèmes/dossiers touchés.
• Le type de renseignements personnels impliqués.
• Le nombre approximatif de personnes concernées.
• L’évaluation du risque de préjudice sérieux et la décision sur les avis.
• Les avis envoyés (à la CAI, aux personnes, aux tiers) et les dates.
• Les mesures correctives implantées.

Conservation et accès: conservez le registre de manière sécurisée et séparée du registre général prévu au C.c.Q. L’accès est restreint à la PRP, au CA et, au besoin, au gestionnaire dûment mandaté. Au regard du Code civil, le droit de consultation des registres par un copropriétaire ne s’étend pas aux volets confidentiels contenant des renseignements personnels de tiers; proposez plutôt un sommaire non nominatif, au cas par cas, pour respecter à la fois la DCV et la Loi 25. Voir le Code civil du Québec pour les règles relatives aux registres et à la vie de la copropriété.

Pour vous outiller, consultez aussi le blogue de multiRent et nos forfaits pour un accompagnement structuré.

Questions fréquentes en copropriété (FAQ)

Q1. Devons-nous informer tous les copropriétaires même si peu de personnes sont touchées?
– Informez uniquement les personnes concernées lorsque le risque de préjudice sérieux est établi. Évitez la surdivulgation. Au besoin, communiquez un message général non nominatif sur les améliorations de sécurité à l’AGA.

Q2. Faut-il inscrire l’incident au PV du CA ou de l’AGA?
– Oui, mais de façon très sommaire et sans renseignements personnels. Notez que « le CA a traité un incident de confidentialité selon la politique » et indiquez les mesures correctives. Les détails sensibles restent au registre d’incidents.

Q3. Un fournisseur (ex.: gestionnaire) a subi une faille. Qui avise?
– Le fournisseur doit vous aviser rapidement. Comme responsable des renseignements de la copropriété, la PRP du syndicat décide des avis à la CAI et aux personnes. Prévoyez ces obligations dans vos contrats de service.

Q4. Devons-nous obtenir un consentement pour transmettre des informations à l’assureur après un incident?
– La Loi 25 permet la communication sans consentement lorsque nécessaire pour prévenir ou atténuer un préjudice sérieux. Ne transmettez que l’essentiel et documentez au registre.

Pour approfondir, voyez également les ressources du RGCQ et les lignes directrices du secteur immobilier sur la protection des renseignements à l’OACIQ.

Cet article fournit de l’information générale et ne constitue pas un avis juridique. Pour votre situation, consultez un avocat ou un notaire.

Vous gérez une copropriété au Québec ? Découvrez nos forfaits ou contactez-nous pour évaluer vos besoins.