Loi 25 et syndicat de copropriété : vos obligations et comment Kohabit vous protège
Depuis le 22 septembre 2023, la Loi 25 impose à toute entreprise et personne morale au Québec, y compris votre syndicat de copropriété, de nouvelles obligations sur la protection des renseignements personnels. Voici un guide clair pour comprendre vos responsabilités et garder votre syndicat à l'abri.
Rejoindre l'accès anticipéDonnées hébergées au Canada, conforme par conception.
Qu'est-ce que la Loi 25 ?
La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée en septembre 2021 et est entrée pleinement en vigueur le 22 septembre 2023. Elle modernise le cadre québécois de protection de la vie privée, jusque là régi par une loi de 1994.
Son objectif est de donner aux citoyens du Québec un contrôle réel sur leurs renseignements personnels et d'imposer aux organisations qui les détiennent des obligations comparables à celles du RGPD européen.
La Loi 25 s'applique à toute entreprise et toute personne morale exerçant des activités au Québec, peu importe sa taille. Cela inclut explicitement les syndicats de copropriété divise, qui sont des personnes morales au sens du Code civil du Québec.
Pourquoi votre syndicat est concerné
Beaucoup de syndicats pensent que la Loi 25 ne vise que les "grandes entreprises". C'est faux. Un syndicat de copropriété traite quotidiennement des renseignements personnels au sens de la loi :
Données d'identification
Nom, prénom, adresse, courriel, téléphone, date de naissance de chaque copropriétaire et locataire enregistré au syndicat.
Données financières
Quote-part en milliemes, soldes de compte, échéanciers de paiement, retards de cotisation, parfois informations bancaires.
Données de vie privée
Composition du ménage, animaux, véhicules, contacts d'urgence, demandes de maintenance touchant l'intimité du logement.
Échanges écrits
Courriels, plaintes, votes nominatifs, signalements de troubles de voisinage. Ces communications contiennent souvent des données sensibles.
Dès lors qu'un syndicat collecte, conserve ou transmet ces informations (par tableur Excel partagé, par courriel, par messagerie de groupe ou via un logiciel de gestion), il devient responsable au sens de la Loi 25. Cette responsabilité est personnelle pour les administrateurs en cas de manquement grave.
Les 6 obligations clés pour votre syndicat
1. Désigner un responsable de la protection des renseignements personnels (RPRP)
Par défaut, c'est la personne ayant la plus haute autorité dans le syndicat : généralement le président du conseil d'administration. Ses coordonnées doivent être publiées sur un support accessible aux copropriétaires (panneau d'affichage, site web, plateforme de gestion).
2. Tenir une politique de confidentialité claire et accessible
Le syndicat doit pouvoir dire à tout copropriétaire quels renseignements il collecte, pourquoi, qui y a accès, où ils sont conservés et combien de temps. Cette politique doit être rédigée en termes simples.
3. Tenir un registre des incidents de confidentialité
Vol d'un classeur, fuite de courriel, accès non autorisé à la liste des copropriétaires : chaque incident doit être consigné. Si l'incident présente un risque de préjudice sérieux, il faut aviser la CAI et les personnes concernées sans délai.
4. Réaliser une EFVP avant tout nouveau projet informatique
Évaluation des Facteurs relatifs à la Vie Privée. Obligatoire dès que vous mettez en place ou changez un système qui traite des renseignements personnels : nouveau logiciel de gestion, plateforme de paiement, application de messagerie. Adopter Kohabit déclenche cette obligation, mais nous fournissons le dossier de conformité pour la simplifier.
5. Encadrer toute communication hors Québec
Si vous utilisez un outil hébergé hors Québec (USA, Europe), vous devez réaliser une analyse comparative du régime juridique du pays d'accueil. Concrètement, c'est compliqué et chronophage. La solution la plus simple : choisir un outil hébergé au Canada, comme Kohabit.
6. Respecter les nouveaux droits des copropriétaires
Droit d'accès, droit de rectification, droit à la portabilité, droit au déréférencement, droit à la cessation de la diffusion. Les copropriétaires peuvent désormais exiger une copie de leurs données ou leur suppression. Le syndicat doit répondre dans les 30 jours.
Hébergement au Canada : pourquoi ça change tout
Un outil hébergé aux États-Unis, même par un fournisseur réputé, vous soumet au CLOUD Act américain. Cette loi permet aux autorités américaines d'exiger l'accès à vos données même si elles sont stockées au Canada, dès lors que l'entreprise qui les opère est américaine.
Outils américains (Buildium, Yardi, DoorLoop)
- Données potentiellement accessibles sous CLOUD Act
- Analyse comparative obligatoire pour rester conforme
- Conformité Loi 25 à reconstruire pour chaque syndicat
- EFVP plus complexe et risquée
Kohabit, hébergé au Canada
- Données conservées intégralement au Canada
- Pas d'analyse comparative à faire
- Dossier de conformité Loi 25 fourni par défaut
- EFVP simplifiée, modèle prêt à signer
Note : la conformité d'un outil est nécessaire mais pas suffisante. Le syndicat reste responsable de ses pratiques internes (qui a accès, comment les courriels sont transférés, etc.). Kohabit vous donne les bons outils, à vous de les utiliser correctement.
Comment Kohabit vous met en conformité
Kohabit a été conçu au Québec, pour le Québec, en intégrant la Loi 25 dès la première ligne de code. Voici comment chaque obligation est couverte sans effort de votre part.
Chiffrement de bout en bout
Toutes vos données sont chiffrées en transit (TLS 1.3) et au repos. Les sauvegardes sont également chiffrées.
Hébergement canadien certifié
Vos données sont conservées dans des centres de données situés au Canada, soumis exclusivement au droit canadien et québécois.
Journal d'audit complet
Chaque accès, chaque modification, chaque consultation de document est enregistrée. Vous pouvez prouver qui a fait quoi en cas d'incident.
Permissions granulaires
Chaque utilisateur voit uniquement ce qui le concerne. Un copropriétaire ne voit pas les données financières des autres.
Droit à la portabilité intégré
Chaque copropriétaire peut télécharger ses données personnelles en un clic, au format ouvert exportable.
Suppression sur demande
Un copropriétaire peut demander la suppression de son compte. Le processus est automatisé et journalisé.
Registre d'incidents prêt à l'emploi
Kohabit fournit un gabarit de registre d'incidents conforme aux exigences de la CAI, intégré à l'admin de votre syndicat.
Dossier EFVP fourni
Un dossier de conformité prêt à intégrer dans votre Évaluation des Facteurs relatifs à la Vie Privée est mis à votre disposition.
Kohabit vs outils américains face à la Loi 25
Les outils américains les plus populaires (Buildium, Yardi Breeze, DoorLoop, AppFolio) sont parfaitement bons techniquement, mais ils n'ont pas été pensés pour la Loi 25 ni pour les copropriétés québécoises. Voici un comparatif factuel.
| Critère Loi 25 | Kohabit | Buildium / Yardi / DoorLoop |
|---|---|---|
| Hébergement Canada | Oui, garanti | Non, opérateur américain sous CLOUD Act |
| Analyse comparative requise | Non | Oui, à fournir par chaque syndicat |
| Interface en français québécois | Oui, langue principale | Partielle ou inexistante |
| Carnet d'entretien Loi 16 | Module intégré | Inexistant |
| Vote pondéré aux milliemes | Natif | Non, non adapté à la copropriété divise |
| Dossier de conformité Loi 25 | Fourni par défaut | À construire vous-même |
| Support en français au Québec | Oui, équipe à Montréal | Limité, fuseau horaire et langue souvent un frein |
Les nouveaux droits des copropriétaires
La Loi 25 donne aux copropriétaires (et aux locataires enregistrés) de nouveaux droits opposables au syndicat. Voici les principaux, avec un délai de réponse de 30 jours.
Droit d'accès
Obtenir une copie complète de ses renseignements détenus par le syndicat, dans un format compréhensible.
Droit de rectification
Exiger la correction d'informations inexactes, incomplètes ou périmées (adresse, courriel, contact d'urgence).
Droit à la portabilité
Recevoir ses données dans un format technologique structuré, réutilisable et exportable.
Droit au déréférencement
Exiger que certaines informations ne soient plus accessibles par moteur de recherche public.
Droit à la cessation de la diffusion
Faire retirer une information dont la diffusion lui cause un préjudice (par exemple sur un site interne du syndicat).
Droit à l'information préalable
Savoir, au moment de la collecte, à quoi vont servir ses données et qui y aura accès.
Sanctions en cas de non-conformité
La Loi 25 introduit un régime de sanctions sans commune mesure avec l'ancien cadre québécois. Les montants sont volontairement élevés pour produire un effet dissuasif.
Sanctions administratives
Jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'organisation.
Sanctions pénales
Jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, en cas d'infractions criminelles.
Recours civils
Toute personne affectée peut intenter un recours en dommages, avec possibilité d'action collective.
Pour un syndicat de copropriété, le risque pratique le plus concret n'est pas le plafond légal, c'est la responsabilité personnelle des administrateurs et le préjudice réputationnel auprès des copropriétaires. Un syndicat qui se ferait reprocher d'avoir laissé fuir la liste de ses copropriétaires aurait du mal à conserver la confiance de l'assemblée.
Questions fréquentes
Sources officielles
Toutes les informations de cette page proviennent de sources officielles québécoises et canadiennes. Pour aller à la source :
Commission d'accès à l'information du Québec (CAI)
Autorité de contrôle de la Loi 25, guides pratiques, modèles de politiques, déclarations d'incidents.
Loi sur la protection des renseignements personnels (LégisQuébec)
Texte intégral de la loi modifiée par la Loi 25, version officielle à jour.
Gouvernement du Québec, vie privée
Vue d'ensemble des changements, FAQ pour les organisations et les citoyens.
Commissariat à la protection de la vie privée du Canada
Cadre fédéral complémentaire applicable aux transferts internationaux.
Note : ces liens externes ouvrent dans un nouvel onglet. Kohabit n'est pas affilié à ces organisations.
Pour aller plus loin
Conforme par conception, dès la première connexion
Évitez les analyses comparatives, les EFVP complexes et les inquiétudes sur le CLOUD Act. Kohabit est conçu pour la Loi 25 dès l'origine.
Rejoindre l'accès anticipéAucune carte de crédit requise. Hébergé au Canada. Annulation à tout moment.