La Loi 25 et les propriétaires immobiliers au Québec
La Loi 25 sur la protection des renseignements personnels a des implications directes pour tout propriétaire qui collecte des informations sur ses locataires. Ce guide vous explique concrètement ce que ça change pour vous, quelles sont vos obligations et comment vous conformer.
~10 min de lecture
Par l'équipe MonParc
Avis important : Ce guide est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour une situation spécifique, consultez un avocat spécialisé en droit de la vie privée ou la Commission d'accès à l'information du Québec.
01
Qu'est-ce que la Loi 25 ?
La Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (projet de loi n° 64), a été sanctionnée le 22 septembre 2021. Elle modifie en profondeur deux lois existantes : la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics.
Son objectif : moderniser le cadre québécois de protection des données personnelles pour l'adapter à la réalité numérique. C'est l'équivalent québécois du RGPD européen, adapté au contexte canadien. La Loi 25 est administrée par la Commission d'accès à l'information du Québec (CAI).
En tant que propriétaire qui collecte des informations sur vos locataires — nom, coordonnées, emploi, historique de crédit, historique de paiements — vous êtes directement visé par cette loi. Que vous gériez un duplex ou dix immeubles, vos obligations sont les mêmes.
02
Les trois phases d'entrée en vigueur
La Loi 25 n'est pas tombée d'un coup. Elle a été déployée en trois phases sur trois ans pour laisser le temps aux entreprises de s'adapter :
1
22 septembre 2022 — Phase 1
Désignation obligatoire d'un responsable de la protection des renseignements personnels. Obligation de signaler les incidents de confidentialité à la CAI et aux personnes concernées. Création du registre des incidents.
2
22 septembre 2023 — Phase 2
Mise en place des politiques et pratiques de gouvernance. Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout nouveau projet. Nouvelles règles de consentement. Obligation de transparence (politique de confidentialité). Droit à la portabilité des données.
3
22 septembre 2024 — Phase 3 En vigueur
Droit à la désindexation (droit à l'oubli). Toutes les dispositions sont maintenant pleinement applicables, incluant les sanctions administratives pécuniaires et les amendes pénales maximales.
03
Qui est visé parmi les propriétaires ?
La Loi sur la protection des renseignements personnels dans le secteur privé s'applique à toute personne qui exploite une entreprise au sens du Code civil du Québec. Selon l'article 1525 du C.c.Q., constitue une exploitation d'entreprise « l'exercice, par une ou plusieurs personnes, d'une activité économique organisée ».
La location d'un logement, même un seul, est généralement considérée comme une activité économique organisée. Dès que vous publiez une annonce, recevez des candidatures, signez un bail et percevez un loyer, vous exploitez une entreprise au sens de la loi.
En résumé : La Loi 25 s'applique à vous, que vous ayez un logement ou cinquante. Propriétaire individuel, société de gestion, syndicat de copropriété ou mandataire — les obligations sont les mêmes.
04
Vos 7 obligations comme propriétaire
1
Désigner un responsable
Vous devez désigner une personne responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité — donc vous, le propriétaire. Publiez le titre et les coordonnées de cette personne sur votre site web. Obligation en vigueur depuis septembre 2022.
2
Obtenir un consentement éclairé
Avant de collecter des renseignements personnels, obtenez le consentement manifeste, libre et éclairé de la personne — autrement dit, la personne doit comprendre clairement à quoi elle consent, sans pression. Par exemple, lors d'une candidature locative, informez le candidat de la nature des renseignements collectés, de l'usage prévu et de la durée de conservation.
3
Limiter la collecte au nécessaire
Collectez uniquement les renseignements nécessaires à la finalité déclarée. Demander le NAS d'un candidat « au cas où » n'est pas acceptable si vous ne faites pas de vérification de crédit. Chaque donnée collectée doit avoir une justification claire liée à la gestion du bail.
4
Conserver pour une durée limitée
Détruisez ou anonymisez les renseignements lorsqu'ils ne sont plus nécessaires. Les dossiers de candidats non retenus : 30 à 90 jours. Les dossiers de locataires actuels : pendant la durée du bail, plus un délai raisonnable pour d'éventuels recours légaux (généralement 3 ans).
5
Assurer la sécurité des données
Mettez en place des mesures de sécurité raisonnables : classeurs verrouillés pour le papier, mots de passe forts et chiffrement pour le numérique. Un tableur Excel non protégé contenant les données de vos locataires ne répond pas à cette exigence.
6
Tenir un registre des incidents
Depuis septembre 2022, consignez tout incident de confidentialité dans un registre — même ceux qui ne présentent pas de risque sérieux. Le registre doit être conservé au minimum 5 ans. La CAI fournit des lignes directrices.
7
Déclarer les incidents graves
Si un incident présente un risque de préjudice sérieux (données sensibles compromises : NAS, coordonnées bancaires, crédit), avisez la CAI et les personnes touchées dans les meilleurs délais. Le défaut de déclarer est une infraction distincte passible d'amendes.
05
Quelles données sont concernées ?
En tant que propriétaire, vous collectez et détenez régulièrement :
Candidatures
Nom, date de naissance, adresse, employeur, revenu, NAS (si vérification de crédit), références — collectés lors de la gestion des candidatures
Bail et occupation
Coordonnées complètes, nombre et identité des occupants, animaux, véhicule, assurance habitation, contact d'urgence
Paiements et finances
Historique complet des paiements de loyer, coordonnées bancaires (si paiement préautorisé), avis de retard, ententes
Communications
Courriels, SMS, demandes de maintenance, plaintes, avis légaux, correspondance via un portail locataire
Note : Les renseignements dits « sensibles » (NAS, données financières, renseignements de santé) bénéficient d'une protection renforcée sous la Loi 25. Leur collecte exige un consentement distinct et explicite.
06
Les droits de vos locataires
La Loi 25 accorde à vos locataires et candidats des droits importants que vous devez respecter :
Droit d'accès
Consulter tous les renseignements que vous détenez. Vous devez répondre dans un délai de 30 jours.
Droit de rectification
Demander la correction de renseignements inexacts, incomplets ou équivoques.
Droit à la portabilité (depuis sept. 2024)
Recevoir ses renseignements dans un format structuré et couramment utilisé, ou les faire transférer à un autre organisme.
Droit à la désindexation (depuis sept. 2024)
Demander la suppression ou la cessation de la diffusion de renseignements lorsque la collecte n'est plus nécessaire ou contrevient à la loi.
Droit de retirer son consentement
À tout moment. Toutefois, cela ne vous empêche pas de conserver les renseignements nécessaires à l'exécution du bail en cours.
07
Amendes et pénalités
La Loi 25 prévoit des sanctions significatives. Depuis septembre 2024, toutes les dispositions pénales sont en vigueur.
Sanctions administratives (CAI)
10 M$
ou 2 % du chiffre d'affaires mondial
Amendes pénales (entreprises)
25 M$
ou 4 % du chiffre d'affaires mondial
Amendes pénales (personnes physiques)
De 5 000 $ à 100 000 $ par infraction. Ce montant s'applique aux propriétaires individuels qui ne sont pas constitués en société.
Note : Les montants varient selon la gravité de l'infraction, le caractère intentionnel ou négligent, et les antécédents. La CAI peut aussi ordonner des mesures correctives.
L'évaluation des facteurs relatifs à la vie privée (EFVP)
Depuis septembre 2023, vous devez réaliser une EFVP avant d'entreprendre un projet impliquant des renseignements personnels. En pratique, pour un propriétaire, cela s'applique lorsque vous :
Adoptez un nouveau logiciel de gestion immobilière
Mettez en place un portail locataire en ligne
Installez des caméras de surveillance dans un immeuble
Faites appel à un nouveau fournisseur de vérification de crédit
L'EFVP n'a pas besoin d'être complexe : documentez quels renseignements seront collectés, pourquoi, comment ils seront protégés et pendant combien de temps. La CAI propose un guide pour réaliser une EFVP.
08
Checklist de conformité
Les étapes concrètes pour vous mettre en conformité :
0 / 9 étapes complétées
Comment MonParc vous aide
MonParc a été conçu avec la conformité à la Loi 25 en tête :
Consentement intégré — Le formulaire de candidature inclut un consentement explicite détaillant les données collectées, leur usage et la durée de conservation
Hébergement au Canada — Infrastructure AWS sécurisée avec chiffrement au repos et en transit
Notifications traçables avec consentement — Le système de notifications traçables intègre une demande de consentement préalable (style CORPIQ)
Traçabilité complète — Chaîne de hash SHA-256 vérifiable pour prouver l'intégrité de vos communications au TAL
Collecte minimale — Les formulaires de candidature ne demandent que les renseignements nécessaires, conformément au principe de finalité limitée
09
Questions fréquentes
Oui. Dès que vous collectez des renseignements personnels dans le cadre d'une activité à caractère commercial (location d'un logement), la Loi 25 s'applique, peu importe le nombre d'unités. L'article 1525 du Code civil du Québec définit largement la notion d'exploitation d'entreprise.
Jusqu'à 25 M$ ou 4 % du CA mondial pour les entreprises. De 5 000 $ à 100 000 $ pour les particuliers. La CAI peut aussi imposer des sanctions administratives jusqu'à 10 M$ ou 2 % du CA mondial.
Oui. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation — donc vous, le propriétaire. Publiez le titre et les coordonnées de cette personne sur votre site web ou rendez-les autrement accessibles.
Pour un candidat non retenu : 30 à 90 jours après la décision, sauf consentement pour conservation plus longue. Pour un locataire actuel : pendant le bail plus un délai raisonnable pour d'éventuels recours (généralement 3 ans, soit le délai de prescription de droit commun).
1) Évaluez la gravité et les risques, 2) si risque de préjudice sérieux, avisez la CAI dans les meilleurs délais, 3) avisez les personnes touchées, 4) consignez l'incident dans votre registre. Le défaut de déclarer entraîne des amendes supplémentaires.
