Loi 25 pour Agences immobilières : guide pratique 2026
Les agences immobilières québécoises traitent des données parmi les plus sensibles : revenus, historique de crédit, patrimoine financier, et coordonnées personnelles. Chaque transaction immobilière génère un dossier complet sur les parties. Avec 6 000+ agences et 88% de présence en ligne, la gestion des données financières et la sécurité des photos de propriétés sont critiques. Une fuite peut exposer le patrimoine complet d'une famille.
Plan de conformité Loi 25 pour agences immobilières : 8 étapes
Désigner un RPRP
15 minNommez un responsable de la protection des renseignements personnels au sein de l'agence.
Actions
- •Désigner un RPRP (courtier ou administrateur)
- •Publier coordonnées sur site web et bureaux
- •Informer la CAI de la désignation
Livrable
Coordonnées RPRP publiées
Inventaire des données immobilières
1hIdentifiez toutes les données collectées : clients, visiteurs, locataires, photos, financier.
Actions
- •Lister tous les dossiers clients actifs et archivés
- •Identifier la base de données visiteurs
- •Cartographier les photos et documents financiers
Livrable
Inventaire des données immobilières
Analyse des risques immobiliers
45 minÉvaluez les risques spécifiques : données financières, photos, fuites dossiers transaction.
Actions
- •Évaluer risques données financières
- •Identifier risques photos avec données perso
- •Scorer impact fuite dossier transaction
Livrable
Analyse des risques immobiliers
Sécurisation des données financières
1hMettez en place des mesures de sécurité renforcées pour les rapports de crédit et revenus.
Actions
- •Chiffrer documents financiers sensibles
- •Limiter accès aux courtiers concernés
- •Configurer logs d'accès détaillés
Livrable
Données financières sécurisées
Politique de confidentialité
30 minRédigez une politique transparente décrivant la collecte et l'utilisation des données clients.
Actions
- •Rédiger politique adaptée à l'agence
- •Décrire conservation post-transaction
- •Expliquer droits accès et suppression
Livrable
Politique publiée en ligne
Registre des traitements
45 minDocumentez chaque traitement de données : clients, visiteurs, locataires, photos.
Actions
- •Documenter finalités collecte
- •Définir durées conservation (7 ans)
- •Lister sous-traitants (CRM, cloud photos)
Livrable
Registre RP immobilier complet
Consentement et formulaires
30 minMettez à jour les formulaires de courtage et de visite avec consentement Loi 25.
Actions
- •Ajouter clause consentement aux mandats
- •Créer formulaire consentement visiteurs
- •Informer clients de leurs droits
Livrable
Formulaires conformes Loi 25
Formation et procédures
30 minFormez les courtiers aux bonnes pratiques et établissez les procédures de sécurité.
Actions
- •Former courtiers à la Loi 25
- •Établir procédure suppression photos post-vente
- •Signer engagements confidentialité
Livrable
Attestations de formation signées
Obligations spécifiques pour les agences immobilières
Protection des données financières
Les pré-approbations bancaires, rapports de crédit, et justificatifs de revenus sont des données sensibles. Elles doivent être stockées chiffrées avec accès strictement limité aux courtiers impliqués dans la transaction.
Gestion des visites et données visiteurs
Les formulaires de visite collectent noms, téléphones, et emails. Vous devez informer les visiteurs de la collecte, obtenir leur consentement, et sécuriser ces données contre tout accès non autorisé.
Sécurité des photos de propriétés
Les photos peuvent contenir des visages (propriétaires, voisins), des plaques d'immatriculation, ou des détails intimes de la vie privée. Vous devez obtenir un consentement pour la prise de photos et les supprimer après la vente.
Conservation post-transaction
Les dossiers de transaction doivent être conservés pendant la durée légale (généralement 7 ans pour des raisons fiscales), puis détruits sécuritairement. Les données ne doivent pas être conservées indéfiniment.
Risques principaux et solutions
Divulgation de données financières
Partage non autorisé du rapport de crédit ou des revenus d'un acheteur avec le vendeur, ou d'autres acheteurs concurrents. Violation grave de la confidentialité financière.
Accès strictement limité au courtier de l'acheteur. Aucun partage sans consentement écrit. Stockage chiffré des documents financiers. Logs d'accès audités.
Exposition des données de visiteurs
Fuite de la base de données des visiteurs (noms, téléphones, emails, propriétés visitées). Exposition de leurs projets immobiliers et préférences.
Sécurisation de la base de données visiteurs. Accès limité aux courtiers. Politique de rétention : suppression après 2 ans d'inactivité. Consentement explicite pour la collecte.
Photos avec données personnelles
Publication de photos montrant des visages de propriétaires, voisins, ou plaques d'immatriculation. Atteinte à la vie privée et risque de sécurité.
Vérification systématique des photos avant publication. Floutage des visages et plaques si nécessaire. Consentement écrit pour la prise de photos. Suppression post-vente.
Conservation excessive mandats
Conserver les dossiers des anciens mandats (négatifs ou expirés) expose inutilement à des fuites. Les données des clients anciens restent à risque.
Politique de rétention claire : conservation 7 ans post-transaction ou 2 ans post-mandat négatif, puis destruction sécurisée. Archivage chiffré des dossiers anciens.
Actifs de données à protéger
Dossiers clients transaction
Contrats de courtage, offres d'achat, promesses d'achat, actes notariés, correspondance de négociation
Données financières sensibles
Rapports de crédit, pré-approbations bancaires, relevés de revenus, évaluation du patrimoine, justificatifs de fonds
Base de données visiteurs
Noms, téléphones, emails des visiteurs, propriétés visitées, dates de visite, commentaires des courtiers
Photos et vidéos propriétés
Photos intérieures/extérieures, visites virtuelles, plans, images pouvant contenir visages ou plaques d'immatriculation
Données locataires
Rapports de crédit locataires, références locatives, contrats de bail, historique des paiements, dossiers de réclamation
Cas client : Immobilière Grand Montréal
Immobilière Grand Montréal
22 courtiers, 3 bureaux
Conformité complète en 4 heures. Sécurisation des données financières, politique de suppression photos mise en place. Aucun incident depuis 18 mois.
"La sécurisation des rapports de crédit nous a rassurés et rassuré nos clients. La politique de suppression automatique des photos post-vente est très appréciée."
Exemple de sanction réelle
Une agence immobilière de Gatineau a été sanctionnée à hauteur de 35 000 $ en 2024 pour avoir partagé le rapport de crédit d'un acheteur avec le vendeur sans consentement. Le vendeur a utilisé ces informations pour négocier plus agressivement.
Questions fréquentes
Dois-je obtenir un consentement pour prendre des photos d'une propriété ?
Oui, c'est recommandé. Le vendeur doit consentir à la prise de photos et à leur utilisation marketing. Pour les photos montrant des visages ou plaques, assurez-vous d'obtenir l'accord ou de flouter ces éléments.
Puis-je partager le rapport de crédit d'un acheteur avec le vendeur ?
Non, sauf consentement écrit explicite de l'acheteur. Le rapport de crédit est strictement confidentiel et ne doit être consulté que par le courtier de l'acheteur et l'acheteur lui-même.
Combien de temps dois-je conserver les dossiers de transaction ?
L'OACIQ impose 5 ans après la fin du mandat. La Loi 25 s'aligne sur cette durée. Au-delà, vous devez détruire sécuritairement les données avec certificat de destruction.
Rejoignez les Agences immobilières conformes
6 000+ agences utilisent déjà Nexconform pour automatiser leur conformité.