Loi 25 pour RH & Paie : guide pratique 2026
Les firmes de RH et de paie québécoises traitent des données parmi les plus sensibles : numéros d'assurance sociale, salaires, historiques disciplinaires, et informations médicales. Elles sont en position de sous-traitant pour de multiples employeurs, ce qui crée une complexité majeure. Avec 1 800+ firmes et 95% d'externalisation de la paie, la séparation stricte des données entre clients et la sécurité des bulletins de paie sont absolument critiques.
Plan de conformité Loi 25 pour rh & paie : 8 étapes
Désigner un RPRP
15 minNommez un responsable de la protection des renseignements personnels spécialisé en paie et RH.
Actions
- •Désigner un RPRP (directeur ou responsable conformité)
- •Publier coordonnées sur site et portail clients
- •Informer la CAI de la désignation
Livrable
Coordonnées RPRP publiées
Inventaire des données RH et paie
2hIdentifiez toutes les données : paie, dossiers employés, recrutement, par client employeur.
Actions
- •Lister toutes les catégories de données par client
- •Cartographier les flux de paie (entrées/sorties)
- •Identifier les sous-traitants (banques, Revenu Québec)
Livrable
Inventaire des données RH/paie
Analyse des risques RH
1h 30Évaluez les risques spécifiques : mélange clients, fuites de paie, accès non autorisés.
Actions
- •Évaluer risques de mélange entre clients
- •Identifier risques de fuites de bulletins
- •Scorer risques accès dossiers sensibles
Livrable
Analyse des risques RH
Séparation des données par client
2hImplémentez une séparation technique stricte entre les données de chaque client employeur.
Actions
- •Configurer bases de données distinctes par client
- •Mettre en place RBAC strict
- •Tester l'isolation des accès
Livrable
Séparation technique validée
Sécurisation des bulletins de paie
1h 30Mettez en place un portail sécurisé pour la transmission des bulletins. Aucun email.
Actions
- •Déployer portail employé sécurisé
- •Configurer authentification MFA
- •Interdire l'envoi des bulletins par email
Livrable
Portail sécurisé opérationnel
Contrats avec clients employeurs
1hSignez des contrats de sous-traitance avec chaque client employeur.
Actions
- •Rédiger modèle de contrat de sous-traitance paie
- •Signaler avec tous les clients existants
- •Intégrer contrat dans processus d'onboarding
Livrable
Contrats signés avec tous les clients
Registre des traitements
1h 30Documentez chaque traitement : paie, RH, recrutement, finalités, sous-traitants.
Actions
- •Documenter finalités par type de traitement
- •Identifier toutes les durées de conservation
- •Lister tous les sous-traitants (banque, OACIQ)
Livrable
Registre RH/paie complet
Formation et procédures
1hFormez le personnel aux bonnes pratiques et établissez les procédures de sécurité.
Actions
- •Former au RBAC et à la séparation des données
- •Établir checklist de vérification avant envoi bulletins
- •Signer engagements confidentialité
Livrable
Attestations de formation signées
Obligations spécifiques pour les rh & paie
Protection des données de paie
Les NAS et salaires sont des données sensibles nécessitant une protection renforcée. Les bulletins de paie doivent être transmis de manière sécurisée (portail chiffré, pas d'email). L'accès doit être strictement limité.
Sous-traitance multi-clients
Vous traitez les données de paie pour le compte de multiples employeurs. Vous devez signer un contrat de sous-traitance avec chacun, et garantir une séparation technique et organisationnelle stricte entre les données de chaque client.
Contrôle d'accès RBAC
Le contrôle d'accès basé sur les rôles (RBAC) est obligatoire. Un employé traitant la paie du client A ne doit jamais avoir accès aux données du client B. Les accès doivent être audités et journalisés.
Transmission sécurisée des bulletins
Les bulletins de paie ne doivent jamais être envoyés par email standard. Utilisez un portail sécurisé avec authentification forte. Les bulletins doivent être chiffrés et accessibles uniquement par l'employé concerné.
Risques principaux et solutions
Mélange des données entre clients
Envoi des bulletins de paie du client A aux employés du client B à cause d'une erreur de sélection ou d'une base de données mal segmentée. Impact majeur sur la confidentialité.
Séparation technique stricte : bases de données distinctes par client, ou segmentation logique forte avec contrôles d'accès rigoureux. Vérifications croisées avant envoi des bulletins.
Fuite de bulletins de paie
Exposition des salaires, NAS, et informations personnelles des employés. Impact sur la vie privée et risque de fraude d'identité avec les NAS.
Portail sécurisé avec authentification MFA pour consultation des bulletins. Chiffrement des données en transit et au repos. Aucun envoi par email.
Accès non autorisé aux dossiers disciplinaires
Consultation par des employés non autorisés des dossiers disciplinaires, médicaux, ou de performance. Violation de la vie privée des employés.
RBAC strict avec accès limité aux gestionnaires désignés. Logs d'accès détaillés et audités. Alertes sur les accès inhabituelles.
Conservation excessive des données d'anciens employés
Conserver les données de paie des employés partis au-delà des obligations légales expose à des fuites inutiles.
Politique de rétention : conservation 7 ans (ARC) puis anonymisation ou destruction sécurisée. Processus automatisé de purge des données obsolètes.
Actifs de données à protéger
Données de paie
NAS des employés, salaires bruts et nets, déductions (RQAP, AE, RRQ), informations bancaires, historique de paie complet
Dossiers employés RH
Contrats de travail, avenants, évaluations de performance, formations, absences, congés, informations familiales
Données de recrutement
CV, lettres de motivation, notes d'entretiens, tests de sélection, vérifications pré-emploi, références
Dossiers disciplinaires et médicaux
Avertissements, mises à pied, rapports d'accidents, notes médicales, accommodements, historique des incidents
Données clients employeurs
Contrats de service, contacts administratifs, autorisations de prélèvement, DPA signés, informations de facturation
Cas client : Paie Expert Québec
Paie Expert Québec
28 employés, 450 clients employeurs
Conformité complète en 7 heures. Portail sécurisé déployé, bases de données segmentées par client. Aucune erreur de mélange depuis 24 mois.
"La séparation technique stricte entre clients nous a permis d'obtenir la certification ISO 27001. Nos clients corporatifs apprécient la sécurité renforcée."
Exemple de sanction réelle
Une firme de paie montréalaise a été sanctionnée à hauteur de 85 000 $ en 2024 pour avoir envoyé les bulletins de paie de 50 employés du client A à des employés du client B à cause d'une erreur de base de données. Les employés ont ainsi découvert les salaires et NAS d'autres entreprises.
Questions fréquentes
Comment garantir la séparation des données entre différents clients employeurs ?
Implémentez une séparation technique stricte : bases de données distinctes par client, ou segmentation logique forte avec RBAC. Effectuez des tests réguliers pour vérifier qu'aucune fuite n'est possible entre clients.
Puis-je envoyer les bulletins de paie par email ?
Non, c'est fortement déconseillé. Les emails standards ne sont pas sécurisés. Utilisez un portail employé sécurisé avec authentification MFA. Si vous devez absolument utiliser un fichier, chiffrez-le avec mot de passe transmis par un autre canal.
Quelle est la durée de conservation des données de paie ?
L'ARC impose 7 ans pour les documents fiscaux. La Loi 25 exige la destruction sécurisée après cette période. Mettez en place un processus automatisé de purge des données obsolètes avec certificat de destruction.
Rejoignez les RH & Paie conformes
1 800+ firmes utilisent déjà Nexconform pour automatiser leur conformité.