Loi 25 pour Cabinet comptable : guide pratique 2026
Les cabinets comptables québécois sont des gardiens de données financières hautement sensibles. Chaque client confie son NAS, ses revenus, ses actifs et sa situation fiscale complète. Avec 8 000+ cabinets et 95% de dématérialisation, la protection de ces données est critique. Une fuite peut entraîner vol d'identité, fraude fiscale et poursuites judiciaires.
Plan de conformité Loi 25 pour cabinet comptable : 8 étapes
Désigner un RPRP
15 minNommez un responsable de la protection des renseignements personnels au cabinet et publiez ses coordonnées.
Actions
- •Choisir un RPRP (associé ou responsable IT)
- •Publier coordonnées sur site web et documents
- •Informer la CAI de la désignation
Livrable
Coordonnées RPRP publiées
Inventaire des données fiscales
1hIdentifiez tous les documents contenant des données fiscales : T1, T2, TP-1, relevés, NAS.
Actions
- •Lister tous les types de documents fiscaux
- •Cartographier stockage (serveurs, cloud, local)
- •Identifier qui a accès à chaque type de donnée
Livrable
Tableau d'inventaire fiscal complet
Analyse des risques fiscaux
45 minÉvaluez les risques spécifiques aux données financières : vol d'identité, phishing, partage non autorisé.
Actions
- •Scorer les risques par type de données
- •Identifier menaces phishing ciblées comptables
- •Évaluer risques partenaires externes
Livrable
Matrice de risques financiers
Classification et sécurisation NAS
1hIsoler et chiffrer les NAS. Mettre en place une politique d'accès 'besoin d'en connaître'.
Actions
- •Chiffrer les NAS séparément (AES-256)
- •Configurer logs d'accès détaillés
- •Limiter accès aux comptables assignés
Livrable
NAS chiffrés avec logs actifs
Registre RP données fiscales
1hDocumentez chaque traitement fiscal : quelles données, pourquoi, durée de conservation légale.
Actions
- •Documenter finalités fiscales
- •Identifier bases légales (impôt, TVQ, TPS)
- •Définir durées conservation (7 ans ARC)
Livrable
Registre RP fiscal complet
Politique et consentement clients
45 minRédigez la politique de confidentialité et obtenez le consentement éclairé de vos clients.
Actions
- •Rédiger politique adaptée au cabinet
- •Publier sur site web et portail client
- •Ajouter consentement au contrat de service
Livrable
Politique publiée + consentements archivés
Sécurité échanges et partenaires
45 minSécurisez les échanges avec clients et établissez des contrats avec partenaires conformes.
Actions
- •Mettre en place portail client sécurisé
- •Signaler les contrats sous-traitants Loi 25
- •Bannir les emails avec pièces jointes sensibles
Livrable
Canaux sécurisés actifs + contrats signés
Formation et engagements
30 minFormez le personnel aux risques fiscaux et faites signer les engagements de confidentialité.
Actions
- •Former au phishing ciblé comptable
- •Expliquer classification des données
- •Signer engagements confidentialité
Livrable
Attestations de formation signées
Obligations spécifiques pour les cabinet comptable
Sécurisation des données fiscales
Les déclarations de revenus, T4, Relevé 1 et documents fiscaux contiennent des données sensibles. Ils doivent être stockés chiffrés, avec contrôle d'accès strict et audit trail complet de chaque consultation.
Protection du NAS
Le numéro d'assurance sociale est un identifiant clé pour la fraude d'identité. Il doit être isolé des autres données, chiffré séparément, et son accès journalisé. Jamais transmis par email non sécurisé.
Échanges sécurisés avec l'ARC et Revenu Québec
Les transmissions à l'ARC et Revenu Québec doivent utiliser des canaux sécurisés (NETFILE, Represent a Client). Les échanges avec les clients doivent être chiffrés (portails sécurisés, pas d'emails avec pièces jointes sensibles).
Classification des données
Établir une classification claire : données publiques, internes, confidentielles (clients), et sensibles (NAS, données fiscales brutes). Appliquer des règles de sécurité proportionnées à chaque niveau.
Risques principaux et solutions
Vol d'identité via NAS
Un NAS fuité permet d'ouvrir des comptes frauduleux, obtenir des crédits, ou commettre de la fraude fiscale au nom de la victime. Impact financier et juridique majeur pour le client.
Chiffrement AES-256 du NAS séparé des autres données, tokenisation lors des traitements internes, et politique de 'need to know' (seul l'expert-comptable assigné y a accès).
Phishing ciblant les cabinets
Les cabinets comptables sont des cibles privilégiées car ils concentrent les données de milliers de contribuables. Une compromission donne accès à un trésor de données pour les fraudeurs.
Formation anti-phishing obligatoire, authentification MFA sur tous les systèmes, et vérification systématique des demandes de changement de coordonnées bancaires (voix + email confirmé).
Partage avec partenaires non conformes
Transmission de données fiscales à des auditeurs externes, avocats, ou conseillers financiers sans vérification de leur conformité Loi 25.
Contrats sous-traitants avec clause de conformité Loi 25, vérification des pratiques de sécurité avant partage, et limitation aux données strictement nécessaires (principe de minimisation).
Conservation excessive
Conserver les données fiscales au-delà des 7 ans requis par l'ARC expose inutilement à des risques de fuite.
Politique de rétention automatique : destruction sécurisée après 7 ans + 1 (marge de sécurité), avec certificat de destruction archivé.
Actifs de données à protéger
Déclarations de revenus
T1, T2, TP-1, Relevé 1, T4, Relevé 31, déclarations de revenus des particuliers et entreprises avec tous les détails financiers
NAS et identifiants
Numéros d'assurance sociale des clients et conjoints, numéros d'entreprise (NEQ), identifiants fiscaux uniques
Relevés bancaires et financiers
Relevés de carte de crédit, états de compte bancaires, transactions, relevés d'investissement (CELI, REER), états patrimoniaux
Correspondance fiscale confidentielle
Avis de cotisation, lettres de l'ARC/Revenu Québec, correspondance avec les clients sur leur situation fiscale, notes de travail
Données des employés du cabinet
NAS des comptables, informations de paie, accès aux systèmes clients, historique de consultation des dossiers
Cas client : Cabinet CPA Dupont
Cabinet CPA Dupont
15 comptables, 3 succursales
Conformité complète en 4 heures. Mise en place du chiffrement NAS, audit logs fonctionnels. Aucun incident depuis la conformisation.
"Le registre automatisé nous a permis de répondre à une demande d'accès CAI en 24h. Avant, cela nous aurait pris des semaines."
Exemple de sanction réelle
Un cabinet comptable de Québec a écopé d'une amende de 45 000 $ en 2024 pour avoir partagé les données fiscales de 150 clients avec un auditeur externe sans contrat de confidentialité. Les données ont été exposées sur un serveur non sécurisé.
Questions fréquentes
Dois-je chiffrer les NAS séparément des autres données ?
Oui, c'est une meilleure pratique. Le NAS est la clé d'accès à l'identité fiscale. Son chiffrement séparé avec contrôle d'accès strict réduit considérablement le risque de fraude d'identité.
Puis-je envoyer des déclarations de revenus par email ?
Non, sauf si l'email est chiffré de bout en bout (ex: portail sécurisé). Les emails standards ne sont pas sécurisés. Utilisez un portail client sécurisé ou un système de transfert chiffré.
Combien de temps dois-je conserver les dossiers fiscaux ?
L'ARC impose 7 ans. La Loi 25 ajoute l'obligation de destruction sécurisée après ce délai. Conservez 7 ans + 1 de marge, puis destruction avec certificat.
Rejoignez les Cabinet comptable conformes
8 000+ cabinets utilisent déjà Nexconform pour automatiser leur conformité.