Techno financière montréalaise : conformité à la Loi 25 livrée en 6 semaines.

Six semaines avant un audit de la Commission d'accès à l'information du Québec (CAI), une fintech montréalaise (B2B, ~80 employés, traitement de paiements transfrontaliers FR-CA) découvre que sa mise en conformité Loi 25 est restée à l'état de PowerPoint. Le DPO interne a démissionné, le sous-traitant juridique a livré une politique de confidentialité de 14 pages mais aucun pipeline technique. Risque maximal : sanction CAI jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial.

Le contexte

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur en plusieurs phases entre 2022 et 2024 au Québec. Pour une fintech traitant des données personnelles québécoises, les exigences clés : consentement explicite et granulaire (art. 12-14), évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout nouveau traitement (art. 3.3), notification d'incident de sécurité dans les 72 h (art. 3.5-3.6), portabilité des données (art. 27), responsable de la protection des renseignements personnels nommément désigné (art. 3.1). En cas d'audit, la CAI réclame des preuves techniques, pas des intentions.

Notre intervention

Trois ingénieur·es Abbeal du Pôle Amériques (Montréal), 6 semaines de delivery dense en sprints d'une semaine. Pas de sprint de cadrage : la deadline CAI ne négociait pas. Méthode : audit-as-code, livraison continue, validation hebdomadaire avec le CTO et le sous-traitant juridique.

Semaines 1-2 — Cartographie et ÉFVP

Inventaire de tous les flux de données personnelles via instrumentation du backend Node.js et de l'app Next.js : 47 endpoints touchent des renseignements personnels, dont 9 critiques (KYC, NAS, données bancaires). Production d'une ÉFVP par flux critique, format gabarit CAI. Identification de 3 transferts hors-Québec non documentés (sous-traitants états-uniens) à formaliser ou rapatrier.

Semaines 3-4 — Pipeline de consentement

Réécriture du module de consentement : granulaire par finalité (paiement, marketing, analytics, partage avec partenaires), versionné en base, journalisé immuable (Postgres append-only + S3 Glacier pour la rétention 7 ans). UI repensée : opt-in explicite, langue française par défaut, retrait du consentement aussi simple que l'octroi. Intégration OneTrust pour la couche cookies.

Semaines 5-6 — Gouvernance et incident response

Pipeline de notification d'incident automatisé : détection via Sentry + alerting personnalisé, gabarit CAI pré-rempli, workflow d'escalade au RPRP en moins de 4 heures. Tests automatisés Cypress sur les parcours de consentement (200 scénarios). Documentation pour audit : registre des activités de traitement, ÉFVP signées, journal d'accès aux données, contrats sous-traitants conformes.

Les résultats

• Audit CAI passé sans réserve, deux semaines après livraison.
• Zéro impact sur la roadmap produit : les sprints features ont continué en parallèle (équipe interne de 6 devs).
• Réduction de 40 % du temps de réponse aux demandes d'accès aux renseignements personnels (de 5 jours à 3 jours en moyenne, vs 30 jours autorisés par la Loi 25).
• Pipeline de consentement réutilisable comme template pour les futurs marchés (déploiement Ontario PIPEDA prévu Q3 2026).

Ce qu'on a appris

La Loi 25 n'est pas un sujet juridique avec une couche technique en bas. C'est un sujet d'architecture qui exige une couche juridique en haut. Les fintechs québécoises qui traitent ça comme du compliance theater (politique de 14 pages, formulaire de cookies, et c'est tout) se feront rattraper. Celles qui industrialisent le pipeline de bout en bout (consentement granulaire, journalisation immuable, ÉFVP automatisées, incident response sub-72h) le voient devenir un argument commercial — les clients institutionnels demandent désormais une preuve d'ÉFVP avant signature.