Tous les articles Sur le blogue de Mozaic

Loi 25 et vos données financières personnelles

Ce que la Loi 25 du Québec change quand vous connectez un compte bancaire ou de courtage à une application — obligations, droits, et comment vérifier la conformité avant de partager vos données.

12 min de lecture
La Biosphère de Montréal — sphère géodésique au bord du fleuve Saint-Laurent, sous un ciel changeant.

La _Loi modernisant des dispositions législatives en matière de protection des renseignements personnels_ — surnommée Loi 25 — est en vigueur depuis le 22 septembre 2023 pour la majorité de ses dispositions, et complètement depuis le 22 septembre 2024 quand le droit à la portabilité est entré en application. Elle modifie deux textes au Québec: la _Loi sur l'accès aux documents des organismes publics_ et, surtout pour les applications financières, la _Loi sur la protection des renseignements personnels dans le secteur privé_ (P-39.1).

Pour quelqu'un qui regarde une application qui se branche à son compte bancaire ou à son compte de courtage, la question pratique n'est pas "qu'est-ce que la Loi 25 dit?" — c'est "qu'est-ce que ça change pour moi, concrètement, avant de cliquer sur Connecter?".

Cet article répond à cette question. Il est écrit par l'équipe d'une application visée par la Loi 25 — Mozaic Finance, basée à Montréal — donc je décris à plat à la fois les obligations qui pèsent sur nous et celles qui pèsent sur nos concurrents américains. Ce n'est pas un avis juridique; quand un détail compte pour votre situation, lisez le texte de loi ou consultez un professionnel.

La version courte

Si vous voulez les conclusions avant le raisonnement:

  • La Loi 25 s'applique à toute entreprise privée qui traite des renseignements personnels de Québécois — peu importe où elle est basée. Une application américaine utilisée depuis Montréal est assujettie.
  • Vous avez quatre droits concrets: accès (obtenir une copie), rectification (corriger), retrait du consentement, et portabilité (recevoir vos données dans un format structuré).
  • Les amendes sont sérieuses: jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial, selon le plus élevé. Ce n'est plus de la décoration — c'est au niveau du RGPD européen.
  • Un transfert de données hors du Québec exige une évaluation préalable (EFVP) qui démontre que la juridiction de destination offre une protection équivalente.
  • Le consentement doit être manifeste, libre, éclairé et donné à des fins précises. Une case précochée enterrée dans 40 pages de conditions ne tient plus.
  • Si une application financière ne peut pas vous nommer son Responsable de la protection des renseignements personnels (RPRP) en moins de cinq secondes, c'est un drapeau rouge.

Le reste de l'article explique pourquoi chacun de ces points est vrai, et comment les vérifier en pratique avant de partager vos relevés bancaires avec qui que ce soit.

Qu'est-ce que la Loi 25 a vraiment changé

Avant la Loi 25, le Québec était déjà protégé par la loi P-39.1 (1994) côté privé et par la _Loi sur l'accès_ côté public. La protection existait, mais les sanctions étaient symboliques — quelques milliers de dollars — et la Commission d'accès à l'information (CAI) avait peu de moyens d'enquête réels.

La Loi 25 a fait trois choses qui changent l'équation.

Premièrement, elle a aligné les amendes sur le RGPD. 25 M$ ou 4 % du chiffre d'affaires mondial annuel, selon le plus élevé. Pour une application financière qui traite des renseignements considérés "sensibles" comme les soldes bancaires, c'est un changement matériel — une fuite mal gérée peut maintenant peser sur le bilan.

Deuxièmement, elle a élargi les pouvoirs d'enquête de la CAI. Vérifications sur place, ordonnances de cessation de traitement, publication des décisions. Une application peut être contrainte d'arrêter d'utiliser certaines données ou d'avertir publiquement ses utilisateurs.

Troisièmement, elle a donné des droits opposables aux personnes. Le droit d'accès et de rectification existait déjà; la Loi 25 y ajoute la portabilité, la cessation du traitement automatisé, et le droit d'être informé quand une décision a été prise par un algorithme sans intervention humaine. Une application qui catégorise vos dépenses automatiquement entre dans cette dernière catégorie — vous avez le droit de comprendre comment ça fonctionne et de demander une révision humaine.

Cinq obligations concrètes pour une application financière

Quand une application veut se brancher à votre compte bancaire ou à votre compte de courtage, voici ce que la Loi 25 lui impose en pratique. Si elle ne fait pas ces cinq choses, elle n'est pas conforme — pas "peut-être" ou "ça dépend", pas conforme.

  1. Désigner un Responsable de la protection des renseignements personnels (RPRP). C'est une personne, pas une boîte aux lettres. Son nom et ses coordonnées doivent être publiés sur le site, accessibles sans authentification. Pour une PME comme Mozaic, c'est typiquement le fondateur ou le CTO; pour une grande entreprise, c'est un poste dédié.
  2. Obtenir un consentement manifeste, libre, éclairé, donné à des fins précises. "Manifeste" veut dire qu'une case précochée ne compte pas. "Pour des fins précises" veut dire que "améliorer nos services" n'est pas une fin — il faut dire à quoi servent réellement vos données (afficher vos soldes, calculer votre valeur nette, envoyer un courriel hebdomadaire). Pour les renseignements sensibles — incluant les données financières — le consentement doit être donné de manière explicite et séparée du consentement général.
  3. Tenir une politique de confidentialité claire, en français, accessible avant le consentement. Pas un PDF de 80 pages — un document que quelqu'un de raisonnable peut lire en cinq à dix minutes. La politique doit énumérer les catégories de données collectées, les fins, les destinataires, les durées de conservation, et les transferts hors du Québec.
  4. Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert de données hors du Québec. L'EFVP doit conclure que la juridiction de destination — par exemple, les États-Unis pour AWS US-East ou Google Cloud us-central — offre une protection équivalente. Quand l'équivalence n'est pas évidente, l'entreprise doit mettre en place des mesures contractuelles ou techniques supplémentaires (chiffrement applicatif, clauses contractuelles types, pseudonymisation).
  5. Notifier un incident de confidentialité avec diligence à la CAI et à chaque personne concernée quand l'incident présente un risque de préjudice sérieux. Il faut aussi tenir un registre interne des incidents pendant cinq ans, même pour ceux qui ne nécessitent pas de notification — la CAI peut le demander en tout temps.

Vos quatre droits, en pratique

Comme utilisateur québécois, la Loi 25 vous donne quatre leviers concrets que vous pouvez utiliser dès aujourd'hui, gratuitement, sans avocat.

Le droit d'accès. Vous pouvez demander à une entreprise une copie de tous les renseignements personnels qu'elle détient sur vous. La demande doit être traitée dans un délai raisonnable — généralement 30 jours — et la réponse doit être compréhensible. Pour une application financière, ça inclut: votre profil, l'historique de vos connexions bancaires, les transactions importées, les catégorisations automatiques, les courriels envoyés, les journaux d'accès à votre compte.

Le droit de rectification. Si une donnée est inexacte, incomplète ou équivoque, vous pouvez exiger qu'elle soit corrigée. C'est souvent banal — un nom mal saisi — mais ça peut compter quand une mauvaise donnée a été utilisée pour un calcul automatisé (par exemple, une catégorie de dépense fausse qui fausse votre tableau de bord).

Le droit de retrait du consentement. À tout moment, vous pouvez retirer votre consentement au traitement de vos données. L'entreprise doit cesser le traitement et, si vous le demandez, détruire ou anonymiser les renseignements. Anonymiser est désormais une alternative légale à la destruction — utile pour les statistiques agrégées que l'entreprise veut conserver.

Le droit à la portabilité. Entré en vigueur le 22 septembre 2024, c'est le droit le plus récent et le plus utile en pratique pour les finances personnelles. Vous pouvez exiger que vos données vous soient remises "dans un format technologique structuré et couramment utilisé" — typiquement un fichier CSV, JSON ou OFX. Concrètement, ça veut dire que vous pouvez quitter une application avec votre historique de transactions sous le bras et l'importer ailleurs, sans repasser par chaque banque une à une.

L'exercice de ces droits passe par le RPRP de l'entreprise. Si une application refuse ou tarde, vous pouvez vous plaindre à la CAI — c'est gratuit et la CAI a maintenant les moyens d'agir.

Comment vérifier qu'une application est conforme

Avant de connecter un compte bancaire, ces quatre vérifications prennent environ dix minutes et écartent la majorité des applications mal préparées.

  1. Cherchez le RPRP sur le site. Habituellement dans la politique de confidentialité ou sur une page "Contact" / "Confidentialité". Si vous ne le trouvez pas en deux minutes — ou si la seule adresse est une boîte aux lettres générique du type "privacy@" — c'est un signe que la conformité n'est pas prise au sérieux.
  2. Lisez la politique de confidentialité jusqu'à la section sur les transferts hors du Québec. Une politique conforme nomme explicitement le ou les pays où vos données peuvent voyager et explique comment l'équivalence de protection est assurée. Si la section est absente ou vague ("nous pouvons transférer des données dans le monde entier"), c'est un drapeau rouge.
  3. Vérifiez la posture de sécurité technique. Connexions bancaires en lecture seule (l'application ne peut pas initier de virement)? Chiffrement applicatif des champs sensibles (pas seulement HTTPS)? Authentification à deux facteurs disponible? Ces trois éléments sont des bonnes pratiques industrielles, pas des exigences directes de la Loi 25, mais leur absence dans une application financière en 2026 est révélatrice.
  4. Testez votre droit d'accès. Avant de payer un abonnement annuel, écrivez au RPRP et demandez quelle catégorie de données serait collectée si vous deveniez client, et où ces données vivraient. La qualité et le délai de la réponse vous disent beaucoup. Une entreprise qui prend la conformité au sérieux répond en quelques jours, par écrit, avec des détails techniques précis.

Loi 25, LPRPDE, RGPD — les différences pratiques

Si vous lisez les politiques de confidentialité de plusieurs applications, vous verrez souvent trois lois citées ensemble. Voici ce que chacune ajoute, en termes pratiques.

La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) est la loi fédérale canadienne. Elle s'applique aux entreprises commerciales qui opèrent à l'extérieur du Québec ou qui traitent des données interprovinciales. Pour une application qui sert tout le Canada, la LPRPDE et la Loi 25 s'appliquent en parallèle — la plus stricte prime sur le sujet en question. La Loi 25 est généralement plus stricte sur les transferts hors juridiction, le consentement et les amendes.

Le RGPD (Règlement général sur la protection des données) est la loi européenne. La Loi 25 s'en inspire largement — les amendes calquées sur 4 % du chiffre d'affaires mondial, le concept de RPRP qui ressemble au DPO européen, le droit à la portabilité. Si une application sert l'Europe et le Québec, sa conformité RGPD couvre l'essentiel de la Loi 25, à quelques différences près (notamment sur la langue de la politique, qui doit être disponible en français au Québec).

La Loi 25 se distingue en pratique sur trois points: l'exigence explicite de l'EFVP avant transfert hors Québec, le RPRP qui doit être _nommé publiquement_ (le DPO européen aussi, mais c'est moins suivi), et le délai de réponse à une demande d'accès qui est plus court que celui du RGPD dans certains cas.

Ce que la Loi 25 ne fait pas

Pour rester honnête, la Loi 25 ne règle pas tout.

Elle ne vous protège pas si vous consentez à de mauvaises pratiques. Une politique de confidentialité qui dit clairement "nous vendons des données agrégées à des annonceurs" et que vous acceptez en cliquant "J'accepte" — c'est légal sous la Loi 25. La protection part du consentement _éclairé_; si l'information est là et que vous consentez quand même, c'est votre choix. D'où l'importance de lire la politique avant de cliquer.

Elle ne s'applique qu'aux entreprises faisant affaire au Québec. Si une application n'a aucun client québécois et n'offre pas ses services au Québec, elle n'est pas assujettie — même si un Québécois trouve un moyen de l'utiliser. La plupart des grandes applications nord-américaines servent le Québec, donc le point est surtout théorique, mais ça vaut d'être conscient.

Le "droit à l'oubli" reste plus étroit qu'au RGPD. Vous pouvez retirer votre consentement et demander la destruction de vos données, mais l'entreprise peut conserver ce qui est nécessaire à des obligations légales (par exemple, des registres comptables que la Loi sur les impôts exige de garder six ans).

Elle ne remplace pas les obligations sectorielles. Une application financière reste assujettie à d'autres règles — la _Loi sur les entités de paiement de détail_ fédérale, les règles de l'Autorité des marchés financiers si elle distribue un produit, les obligations anti-blanchiment de CANAFE. La Loi 25 vit en couches avec ces régimes.

Où Mozaic se situe

Pour la transparence: Mozaic Finance est une entreprise québécoise basée à Longueuil, assujettie à la Loi 25 comme n'importe quel autre acteur du secteur. Voici comment on aborde chacune des cinq obligations décrites plus haut, sans embellir.

  • RPRP. C'est moi, Laurent Risser, fondateur. Mes coordonnées sont sur la page /fr/privacy-policy. Quand l'équipe grandit, le rôle sera transféré à un poste dédié et la transition sera publiée publiquement.
  • Consentement. À la création d'un compte, le consentement aux conditions et à la politique de confidentialité est demandé séparément, sans case précochée. Le consentement aux courriels promotionnels — quand on en envoie — est un opt-in séparé qu'on peut retirer en un clic depuis n'importe quel courriel.
  • Politique de confidentialité. Disponible en français à /fr/privacy-policy. Elle énumère les catégories de données, les fins, les sous-traitants (Plaid, SnapTrade, Google Cloud, Stripe, Resend), les durées de conservation, et les transferts.
  • Localisation des données. La base de données principale et les fichiers d'application vivent dans la région northamerica-northeast1 de Google Cloud — Montréal. Les sauvegardes restent dans la même région. Les sous-traitants américains qui traitent des fragments (Plaid pour les agrégations bancaires, SnapTrade pour les courtiers, Stripe pour la facturation) sont couverts par des évaluations d'équivalence et des clauses contractuelles. Le détail technique est sur /fr/security.
  • Incidents. Nous tenons un registre interne et nous nous engageons à notifier la CAI et les personnes concernées dans les 72 heures suivant la constatation d'un incident à risque sérieux. Aucun incident matériel à signaler depuis le lancement.

Sur la sécurité technique: les connexions bancaires et de courtage sont en lecture seule — les jetons que nous détenons ne peuvent ni initier un virement, ni passer un ordre, ni modifier une position. Les champs sensibles (jetons d'agrégation, identifiants d'institution) sont chiffrés au niveau applicatif avant d'être écrits en base. L'architecture complète est documentée à /fr/security.

Ce n'est pas une promesse magique — c'est le minimum que la Loi 25 et le bon sens exigent d'une application financière en 2026. Vous devriez exiger l'équivalent de chaque application que vous évaluez.

En résumé

La Loi 25 n'est pas une formalité — c'est le cadre qui rend opposables des droits que vous aviez déjà en théorie, et qui force les entreprises qui traitent vos données financières à le faire de manière documentée. Pour vous comme utilisateur, ça veut dire trois choses.

D'abord, exigez la transparence avant de connecter un compte. Le RPRP, la localisation des données, les sous-traitants, les durées de conservation — tout ça devrait être lisible en quelques minutes. Si ce n'est pas le cas, l'application n'est pas prête à recevoir vos données.

Ensuite, utilisez vos droits. Demander une copie de ses données est gratuit, prend cinq minutes, et révèle énormément sur l'hygiène d'une entreprise. La portabilité vous permet de changer d'application sans repartir de zéro — c'est désormais un droit, pas une faveur.

Enfin, lisez les politiques de confidentialité. Pas mot à mot — mais cherchez les sections sur les transferts hors du Québec, les sous-traitants, et les durées de conservation. C'est là que se trouvent les vraies différences entre une application sérieuse et une qui ne l'est pas encore.

Pour aller plus loin: le texte officiel de la Loi P-39.1 est disponible sur LégisQuébec, et la Commission d'accès à l'information publie un résumé des principaux changements. Le gouvernement du Québec maintient également une page de référence sur les obligations.

Si vous avez une question précise sur la conformité de Mozaic ou sur l'exercice de vos droits chez nous, écrivez-moi directement à laurent.risser@mozaicfinance.com.

Questions fréquentes

Oui, si l'entreprise traite des renseignements personnels de résidents québécois dans le cadre de ses activités, elle est assujettie à la Loi 25, peu importe où elle est basée. C'est pourquoi plusieurs applications américaines ont mis à jour leur politique de confidentialité en 2023-2024 pour ajouter une section spécifique au Québec. En pratique, vérifiez qu'il existe un Responsable de la protection des renseignements personnels (RPRP) joignable et qu'il y a une procédure pour exercer vos droits depuis le Québec.
Oui, mais l'entreprise doit d'abord réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) qui démontre que la juridiction de destination offre une protection équivalente. Concrètement, beaucoup d'applications financières utilisent des régions canadiennes (Montréal ou Toronto) chez les grands fournisseurs cloud pour simplifier la conformité. Vous avez le droit de demander où vivent vos données.
Si l'incident présente un risque de préjudice sérieux, l'entreprise doit notifier la Commission d'accès à l'information (CAI) et chaque personne concernée avec diligence. Elle doit aussi tenir un registre interne des incidents pendant cinq ans. Les amendes peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial, selon le plus élevé des deux.
Quatre droits concrets: accès (obtenir une copie), rectification (corriger), retrait du consentement (arrêter le traitement), et portabilité (recevoir vos données dans un format structuré et couramment utilisé, ce dernier droit étant entré en vigueur en septembre 2024). L'entreprise doit répondre dans un délai raisonnable, généralement 30 jours.