Retour au blogue

Loi 25 et inspecteurs en bâtiment : ce qu'il faut savoir sur les photos, les rapports et les données clients

La Loi 25 impose aux inspecteurs en bâtiment des obligations précises sur la collecte, l'hébergement et la rétention des renseignements personnels. Consentement, transferts hors Québec, sanctions — voici ce qui s'applique à votre pratique.

Maxime Lapalmeinspecteur en bâtiment certifié APCHQ

Un inspecteur en bâtiment manipule plus de renseignements personnels qu'il ne le réalise. Coordonnées du requérant, photos de l'extérieur et de l'intérieur du bâtiment, nom du vendeur mentionné dans la déclaration de l'annexe F, observations sur l'état d'une propriété identifiable. Depuis l'entrée en vigueur complète de la Loi 25 (2023–2024), ces données sont encadrées par des obligations précises — avec des sanctions importantes à la clé.

Ce guide couvre ce qu'un inspecteur doit comprendre pour rester conforme, avec les références aux articles qui s'appliquent.

Ce qu'est la Loi 25 — en une minute

La Loi 25 (nom officiel : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été sanctionnée en 2021. Elle modernise deux lois existantes, dont la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) — celle qui s'applique aux inspecteurs travaillant pour leur compte ou pour un cabinet privé.

L'entrée en vigueur s'est faite en trois phases :

  • 22 septembre 2022 — obligation de déclarer les incidents de confidentialité, désignation d'une personne responsable de la protection des renseignements personnels
  • 22 septembre 2023 — la majorité des obligations (consentement, transparence, évaluations pour transferts hors Québec, politiques de confidentialité, rétention, régime de sanctions)
  • 22 septembre 2024 — droit à la portabilité des données

L'autorité qui applique la loi est la Commission d'accès à l'information du Québec (CAI).

Quelles données sont visées

La CAI définit un renseignement personnel comme toute information qui permet, directement ou indirectement, d'identifier une personne physique. Pour un inspecteur, ça inclut :

  • Nom, adresse, courriel, téléphone du requérant et du vendeur
  • Photos de l'intérieur du bâtiment si des objets ou éléments personnels sont visibles
  • L'adresse du bâtiment inspecté combinée à d'autres éléments (date, propriétaire)
  • Le rapport d'inspection dans son ensemble, qui contient ces éléments

Les photos d'éléments structurels génériques (par exemple, un mur de fondation sans contexte) sont moins clairement personnelles — mais une photo de la même maison identifiable par son adresse au dossier l'est de facto.

Obligations concrètes pour un inspecteur

1. Désigner une personne responsable

Depuis septembre 2022, toute entreprise qui recueille des renseignements personnels doit désigner une personne responsable de la protection des renseignements personnels. Pour un inspecteur solo, c'est habituellement l'inspecteur lui-même. Le nom et les coordonnées de cette personne doivent être accessibles sur demande (site web, contrat de services, ou sur demande écrite).

2. Obtenir un consentement valable

Le consentement doit être manifeste, libre, éclairé et donné à des fins précises. Pour un inspecteur, cela signifie que le contrat de services doit indiquer clairement :

  • Les fins pour lesquelles les renseignements sont recueillis (réalisation de l'inspection, rédaction du rapport, archivage obligatoire selon la BNQ 3009-500 chapitre 10)
  • Les moyens utilisés pour les recueillir (notes, photos, enregistrements)
  • Les tiers qui pourraient y avoir accès (le cas échéant)
  • Les droits d'accès et de rectification du requérant
  • La possibilité que les données soient transférées hors Québec (le cas échéant)

Pour les photos de l'intérieur, il est prudent d'obtenir un consentement explicite du propriétaire au moment de l'inspection, surtout si le propriétaire n'est pas le requérant.

3. Évaluer les transferts hors Québec

Depuis septembre 2023, avant de communiquer des renseignements personnels à l'extérieur du Québec, une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). L'évaluation pèse la sensibilité des renseignements, la finalité, les mesures de protection et le régime juridique du pays destinataire. Le transfert n'est permis que si la protection est jugée adéquate, et il doit être encadré par un contrat écrit.

Pour un inspecteur, l'enjeu clé : le logiciel infonuagique. Si vos rapports, photos et dossiers sont stockés sur des serveurs américains, vous déclenchez l'obligation d'EFVP. Une plateforme hébergée au Québec (comme Axiome³, à Montréal) simplifie cette obligation.

4. Conserver uniquement le temps nécessaire

Les renseignements personnels doivent être conservés uniquement le temps nécessaire à leur finalité, puis détruits ou anonymisés. Pour un inspecteur, cette obligation se lit en parallèle avec le chapitre 10 de la BNQ 3009-500, qui exige la conservation du dossier d'inspection. Les obligations sectorielles (BNQ, prescription civile pour les recours en vices cachés) fournissent une base légale pour conserver le dossier au-delà du strict minimum de la Loi 25.

En pratique : définir une politique interne de conservation (par exemple, 10 ans après la remise du rapport, pour couvrir la prescription), et détruire les dossiers au-delà de cette durée.

5. Permettre l'accès et la rectification

Le requérant a le droit, en vertu de l'article 27 de P-39.1, de demander la communication de ses renseignements personnels et d'en obtenir copie. Depuis septembre 2024, la communication doit être fournie dans un format technologique structuré couramment utilisé lorsque raisonnablement possible (droit à la portabilité).

Le requérant peut aussi demander la rectification de renseignements inexacts. Pour un inspecteur, cela peut vouloir dire corriger une erreur factuelle (nom mal orthographié, adresse incorrecte) — pas une conclusion d'inspection, qui est une opinion professionnelle.

Sanctions — pourquoi ça compte

La Loi 25 introduit un régime de sanctions qui a attiré l'attention des entreprises au Québec :

  • Sanctions administratives pécuniaires (imposées par la CAI) : jusqu'à 10 millions $ ou 2 % du chiffre d'affaires mondial, selon le plus élevé
  • Amendes pénales (par la cour) : de 15 000 $ à 25 millions $ ou 4 % du chiffre d'affaires mondial, selon le plus élevé

Pour un inspecteur solo ou un petit cabinet, les montants théoriques sont bien au-delà de la capacité de paiement — mais la CAI dispose d'une large discrétion pour imposer des sanctions proportionnées. Un recours privé en dommages punitifs (minimum 1 000 $) existe aussi.

Loi 25 et Axiome³

Axiome³ a été conçu autour de cette réalité :

  • Hébergement à Montréal — les données restent au Québec. L'obligation d'EFVP liée au transfert hors Québec ne s'applique pas à l'architecture de base.
  • Chiffrement au repos et contrôles d'accès alignés sur les principes SOC 2 Type II
  • Politique de confidentialité publique qui décrit les finalités de collecte, la rétention et les droits des utilisateurs
  • Portail client pour la livraison électronique, avec consentement horodaté — conforme à l'article 9.1 de la BNQ 3009-500 et à la Loi concernant le cadre juridique des technologies de l'information

Essayez Axiome³ gratuitement — 10 inspections offertes, aucune carte de crédit.

Questions fréquentes

Dois-je déclarer tous mes clients à la CAI ?

Non. La Loi 25 n'exige pas de tenir un registre public des clients. Elle exige de protéger leurs renseignements et d'appliquer les règles de collecte, de conservation, de consentement et d'accès.

Si mon logiciel d'inspection stocke les photos aux États-Unis, suis-je conforme ?

Pas automatiquement. Vous devez avoir réalisé une EFVP, informé le requérant de la possibilité du transfert, et conclu un contrat écrit avec le fournisseur qui encadre la protection. L'hébergement au Québec évite cette complexité.

Combien de temps dois-je conserver un dossier d'inspection ?

La Loi 25 dit « uniquement le temps nécessaire ». Le chapitre 10 de la BNQ 3009-500 exige la conservation du dossier, sans durée précise. En pratique, la plupart des inspecteurs conservent 10 ans ou plus, pour couvrir la prescription civile des recours en vices cachés. Consultez votre assureur et votre avocat pour la durée adaptée à votre situation.

Mon client peut-il demander à obtenir son dossier d'inspection complet ?

Oui, en vertu de l'article 27 de P-39.1. Vous devez lui fournir les renseignements personnels le concernant dans un délai raisonnable. Les parties techniques ou les opinions professionnelles peuvent rester dans votre format habituel, mais les renseignements factuels doivent être accessibles.

Sources et références

Dernière vérification : 22 avril 2026. Les seuils de sanction et les obligations EFVP sont ceux en vigueur à la date de publication ; vérifiez le site de la CAI pour les montants et seuils à jour.

Articles liés