Réponse rapide : plutôt que d'envoyer des documents par courriel, un syndicat de copropriétaires au Québec peut accorder à ses intervenants externes - comptable (CPA), assureur, avocat, entrepreneur - un accès en lecture limité à leur mandat, encadré par une entente de confidentialité signée et un journal des accès. C'est une pratique prudente au regard de la Loi 25, qui garde le contrôle des renseignements personnels entre les mains du syndicat.
Pourquoi ne pas simplement envoyer les documents par courriel?
Parce que le registre d'un syndicat ne contient pas que des procès-verbaux. Les noms et coordonnées des copropriétaires, les états de compte, les dossiers de sinistre, les baux : autant de renseignements personnels dont le syndicat - une personne morale assujettie à la Loi sur la protection des renseignements personnels dans le secteur privé - est responsable.
Une pièce jointe envoyée par courriel échappe définitivement au contrôle du syndicat. Elle peut être transférée, copiée, conservée sur un poste personnel, et personne ne saura jamais qui l'a consultée. En cas d'incident de confidentialité présentant un risque de préjudice sérieux, la loi impose de notifier la Commission d'accès à l'information et les personnes concernées (art. 3.5 LPRPSP) - difficile quand on ignore où les copies ont circulé.
Un accès en lecture, limité au mandat, révocable et journalisé, inverse la logique : le document ne quitte jamais le registre, et le syndicat sait qui a vu quoi, quand.
Quels intervenants ont besoin d'accéder aux documents du syndicat?
Six profils reviennent dans presque tous les syndicats :
| Intervenant | Mandat typique | Ce qu'il doit voir |
|---|---|---|
| Comptable ou auditeur (CPA) | Tenue de livres, états financiers, mission d'examen ou d'audit | Finances, budget, registre |
| Professionnel du bâtiment (OIQ, OAQ, OTPQ, OEAQ) | Carnet d'entretien, étude du fonds de prévoyance | Registre, fonds de prévoyance, travaux |
| Avocat ou notaire | Dossiers litigieux, interprétation de la déclaration | Registre, litiges, sinistres |
| Assureur ou courtier | Renouvellement, réclamations | Registre, sinistres |
| Entrepreneur (licence RBQ) | Travaux qui lui sont confiés | Registre en lecture, ses bons de travail |
| Responsable de la protection des renseignements personnels (RPRP) | Gouvernance des renseignements personnels | Registre en lecture |
Le principe directeur est la nécessité : chacun voit ce que son mandat exige, rien de plus. L'assureur n'a pas besoin des états de compte des copropriétaires; l'entrepreneur n'a pas besoin des procès-verbaux du conseil.
Votre syndicat doit-il désigner un responsable de la protection des renseignements personnels?
Oui. Toute entreprise au sens de la loi - et un syndicat de copropriétaires en est une - doit désigner un responsable de la protection des renseignements personnels (art. 3.1 LPRPSP). Par défaut, cette fonction revient à la personne ayant la plus haute autorité - en pratique, la présidence du conseil d'administration - mais elle peut être déléguée par écrit, y compris à une personne externe.
C'est précisément pour ce cas que le rôle RPRP existe comme profil d'accès : la personne désignée peut consulter le registre pour exercer sa fonction, sans détenir les clés de l'administration.
Que devrait couvrir l'entente de confidentialité?
Avant d'ouvrir l'accès, faites signer une entente écrite qui précise :
- La finalité : le mandat pour lequel l'accès est accordé.
- La confidentialité : l'engagement de ne pas communiquer les renseignements à des tiers.
- La fin du mandat : l'accès prend fin avec le mandat, et l'intervenant ne conserve pas de copies au-delà de ce que sa profession exige.
Une entente signée électroniquement a la même valeur qu'une entente papier lorsque l'intégrité du document est assurée - c'est le cadre de la Loi concernant le cadre juridique des technologies de l'information. Conservez chaque version signée : si le texte de l'entente évolue, les versions antérieures demeurent la preuve de ce que chaque intervenant a accepté.
Donner accès sans perdre le contrôle
Trois garde-fous font la différence entre « partager » et « perdre le contrôle » :
- La lecture seule, limitée au mandat. L'intervenant consulte; il ne modifie rien et ne voit pas les sections hors mandat.
- Le journal des accès. Chaque consultation est tracée : qui, quoi, quand. En cas de question - ou d'incident - le syndicat a une réponse documentée.
- La révocation immédiate. Le mandat se termine, l'accès se ferme. Aucune pièce jointe orpheline ne survit dans des boîtes courriel.
Comment CondoAide encadre les rôles externes
CondoAide intègre ces pratiques dans une fonction de gestion des accès :
- Six rôles externes préconfigurés - fournisseur, professionnel du bâtiment, comptable (CPA), conseiller juridique, assureur et RPRP - chacun avec un périmètre de lecture limité à son mandat, ajustable par le syndicat.
- Une entente à signer avant l'accès. L'intervenant crée son compte et signe l'entente de confidentialité du syndicat avant de voir quoi que ce soit; chaque version de l'entente est conservée comme preuve.
- Un journal d'audit consigne les accès et les actions.
- Le cas du comptable : le rôle permet la tenue de livres (transactions, rapprochement, clôture d'exercice) avec lecture du budget et du registre. Pour une mission d'audit ou d'examen - un acte réservé au CPA que la plateforme ne réalise pas - le syndicat peut retirer la permission de gestion et n'accorder que la lecture.
CondoAide est un outil de gestion : la décision d'accorder un mandat, le choix de l'intervenant et le contenu de l'entente demeurent ceux de votre conseil d'administration.
Questions fréquentes
Mon comptable peut-il accéder au registre du syndicat? Oui, si le conseil d'administration lui accorde un accès dans le cadre de son mandat. La pratique prudente : un accès nominatif en lecture, limité aux sections financières, précédé d'une entente de confidentialité signée et consigné dans un journal des accès.
Un syndicat de copropriétaires est-il assujetti à la Loi 25? Oui. Un syndicat est une personne morale qui détient des renseignements personnels sur les copropriétaires et les locataires : la Loi sur la protection des renseignements personnels dans le secteur privé s'applique à lui, y compris la désignation d'un responsable (art. 3.1 LPRPSP) et la notification des incidents de confidentialité.
Qu'est-ce qu'un RPRP et qui devrait l'être dans un syndicat? Le responsable de la protection des renseignements personnels est la personne chargée d'assurer le respect de la loi au sein de l'organisation. Par défaut, c'est la personne ayant la plus haute autorité dans le syndicat, mais la fonction peut être déléguée par écrit - à un administrateur ou à une personne externe.
Faut-il une entente écrite avant de partager des documents avec un tiers? C'est la pratique prudente, et pour certains prestataires la loi exige un cadre contractuel précisant la confidentialité et l'usage des renseignements. Une entente signée qui précise la finalité, la confidentialité et la fin du mandat protège le syndicat et clarifie les attentes de l'intervenant.
Pour aller plus loin
- Loi sur la protection des renseignements personnels dans le secteur privé, art. 3.1 - la désignation du responsable
- Le registre du syndicat vs Google Drive
- Tenir la comptabilité de sa copropriété sans comptable
- Signatures électroniques : la vérification
Cet article fournit de l'information générale et n'est pas un avis juridique. Pour l'application de la Loi 25 à votre situation, consultez votre conseiller juridique. CondoAide est une plateforme de gestion - nous ne réalisons ni audits comptables ni études du fonds de prévoyance. Pour ces services, mandatez un membre d'un ordre professionnel reconnu (OIQ, OAQ, OEAQ, OTPQ, CPA).
