Guides > Protection des renseignements
Protection des renseignements personnels : guide 2026pour conseillers utilisant l'IA
L'intelligence artificielle est un outil puissant pour le conseiller en securite financiere. Mais chaque message que vous tapez dans un outil d'IA pourrait contenir des renseignements personnels proteges par la loi. Ce guide pratique vous explique exactement quoi faire — et quoi ne jamais faire — pour utiliser Atlas CSF+ et tout autre outil d'IA en toute conformite avec la Loi 25, le Code de deontologie de la CSF et le Reglement 31-103.
Pourquoi proteger les renseignements personnels de vos clients
En tant que conseiller en securite financiere, vous detenez des informations parmi les plus sensibles qui existent : revenus, patrimoine, dettes, etat de sante, situation familiale, numeros d'assurance sociale. La protection de ces renseignements n'est pas optionnelle — c'est une obligation legale et deontologique dont la violation peut entrainer des consequences graves pour votre carriere et pour vos clients.
La Loi 25 (Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels)
Depuis septembre 2023, la Loi 25 (RLRQ c. P-39.1) impose des obligations renforcees a toute personne ou organisation qui recueille, utilise ou communique des renseignements personnels au Quebec. Elle exige la designation d'un responsable de la protection des renseignements personnels, la realisation d'evaluations de facteurs relatifs a la vie privee (EFVP) avant tout nouveau projet technologique impliquant des renseignements personnels, la notification obligatoire a la Commission d'acces a l'information du Quebec en cas d'incident de confidentialite presentant un risque de prejudice serieux, et le consentement manifeste, libre et eclaire des personnes concernees.
Les amendes pour non-conformite peuvent atteindre 25 000 000$ ou 4% du chiffre d'affaires mondial. Pour un conseiller independant, une seule violation peut signifier la fin de sa pratique.
Le Code de deontologie de la CSF (art. 16 a 20)
Le Code de deontologie de la Chambre de la securite financiere (RLRQ c. D-9.2, r. 3) consacre le secret professionnel aux articles 16 a 20. L'article 16 impose au representant de respecter le secret de tout renseignement de nature confidentielle obtenu dans l'exercice de sa profession. L'article 17 precise qu'il ne peut reveler un renseignement confidentiel sans l'autorisation du client, sauf si la loi l'y autorise ou l'y oblige. Les articles 18 a 20 encadrent l'utilisation, la conservation et la destruction des renseignements.
La LDPSF et le Reglement 31-103
La Loi sur la distribution de produits et services financiers (LDPSF, art. 16 et 27) renforce l'obligation de confidentialite. Le Reglement 31-103 sur les obligations et dispenses d'inscription (art. 13.2) exige que les personnes inscrites etablissent et maintiennent des politiques et procedures raisonnables pour proteger les renseignements personnels des clients. Cela inclut les outils numeriques que vous utilisez dans votre pratique.
Responsabilite professionnelle
Si les renseignements personnels d'un client sont exposes a cause de votre utilisation d'un outil d'IA, vous pourriez faire face a des sanctions disciplinaires de la CSF (reprimande, suspension, radiation), des poursuites civiles du client pour dommages, des amendes en vertu de la Loi 25 et une atteinte irreparable a votre reputation professionnelle. La bonne nouvelle : quelques reflexes simples suffisent a eliminer pratiquement tout risque.
Ce qu'il ne faut JAMAIS saisir dans un outil d'IA
La regle d'or est simple : si l'information permet d'identifier directement ou indirectement un client, elle ne doit pas etre saisie. Voici un tableau de reference concret :
| NE JAMAIS saisir | Ecrire plutot |
|---|---|
| Jean-Pierre Tremblay | Client J.P.T. ou « mon client » |
| NAS 123-456-789 | Ne jamais saisir — jamais necessaire |
| No de contrat ABC-123456 | « son contrat d'assurance vie » |
| Date de naissance 1965-03-15 | « client de 61 ans » |
| 123 rue Saint-Denis, Montreal | Ne jamais saisir — jamais necessaire |
| 514-555-1234 | Ne jamais saisir — jamais necessaire |
| Marie Lapointe, infirmiere au CHUM | « mon client infirmiere de 55 ans » |
| Courriel [email protected] | Ne jamais saisir — jamais necessaire |
Atlas CSF+ n'a jamais besoin du nom complet, du NAS, de l'adresse ou du numero de telephone de votre client pour vous fournir une reponse pertinente. L'IA travaille avec des situations, des montants et des ages — pas avec des identites.
Bonnes pratiques d'anonymisation
Adopter les bons reflexes ne prend que quelques secondes et devient rapidement automatique. Voici les techniques d'anonymisation recommandees :
1. L'age plutot que la date de naissance
Ecrivez « client de 58 ans » plutot que « ne le 15 mars 1968 ». L'age suffit pour tous les calculs de retraite, d'assurance et de fiscalite. Si l'annee de naissance est necessaire pour un calcul precis, utilisez uniquement l'annee sans le jour ni le mois.
2. Les initiales plutot que le nom complet
Utilisez « Client M.L. » ou simplement « mon client ». Pour comparer la situation de deux clients, utilisez « Client A » et « Client B ». Cela suffit a structurer la conversation sans exposer de renseignements personnels.
3. Decrire la situation, pas la personne
Plutot que « Marie Lapointe, infirmiere au CHUM depuis 25 ans », ecrivez « mon client, infirmiere du secteur public, 25 ans de service ». La description du role et de l'anciennete fournit toute l'information necessaire pour une analyse complete sans identifier la personne.
4. Les montants sont acceptables, les identifiants ne le sont pas
Vous pouvez saisir des montants financiers (salaire, REER, hypotheque, valeur de la police) car ces chiffres seuls ne permettent pas d'identifier un client. En revanche, les numeros de contrat, de police ou de compte sont des identifiants directs et ne doivent jamais etre saisis.
5. Caviardez avant de telecharger
Si vous televersez un document (releve de compte, proposition d'assurance, etat financier), caviardez d'abord le nom, le NAS, les numeros de contrat et l'adresse. Vous pouvez utiliser un outil de caviardage PDF ou simplement copier les chiffres pertinents dans le chat sans les identifiants. Dans Excel, utilisez Rechercher et remplacer (Ctrl+H) pour remplacer le nom complet par des initiales avant d'exporter.
Comment Atlas CSF+ protege vos donnees
Atlas CSF+ a ete concu des le depart avec la protection des renseignements personnels comme priorite. Voici les mesures techniques en place :
Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrees via TLS (HTTPS). Aucune donnee ne circule en clair.
Chiffrement au repos :les conversations sont stockees dans Supabase avec chiffrement au repos (AES-256). Meme en cas d'acces non autorise a la base de donnees, les donnees restent illisibles.
Isolation des donnees (RLS) : le Row Level Security de Supabase garantit que seul vous pouvez voir vos conversations. Aucun autre utilisateur, pas meme un administrateur, ne peut acceder a vos echanges.
API Anthropic :les appels vers l'API d'Anthropic (Claude) ne sont PAS utilises pour entrainer les modeles d'IA. Vos conversations ne servent pas a ameliorer l'IA — elles restent ephemeres cote fournisseur.
Aucun partage a des tiers : vos donnees ne sont jamais vendues, louees ou partagees avec des tiers a des fins de marketing, de publicite ou de profilage.
Suppression a la demande :vous pouvez supprimer n'importe quelle conversation a tout moment. La suppression est permanente et retire les donnees de notre base de donnees.
Televersement de documents : regles a suivre
Atlas CSF+ accepte les fichiers PDF, Excel, CSV, TXT et les images pour vous aider a analyser des donnees financieres. Voici les regles a respecter avant tout televersement :
Caviardez toujours : le NAS, les numeros de contrat, les noms complets et les adresses. Utilisez un marqueur noir numerique sur les PDF ou la fonction Rechercher et remplacer dans Excel.
Ce qui est acceptable :les etats financiers anonymises, les repartitions d'actifs, les tableaux de rendement, les projections de retraite et les baremes de produits d'assurance. Ces donnees financieres sans identifiants ne constituent pas des renseignements personnels.
Traitement cote serveur :Atlas extrait le texte du document cote serveur pour l'analyse et ne conserve pas le fichier original. Le contenu est traite en memoire, transmis a l'IA pour analyse, puis la reponse vous est retournee.
Astuce pratique :plutot que de telecharger un document entier, copiez-collez uniquement les chiffres pertinents dans le chat. Par exemple : « Mon client a un REER de 245 000$, un CELI de 82 000$, une rente RREGOP projetee de 48 000$/an et un salaire de 85 000$. Quelles strategies de decaissement recommandez-vous? »
Que faire si vous avez saisi des renseignements personnels par erreur
L'erreur est humaine. Si vous realisez que vous avez accidentellement saisi le nom complet, le NAS ou d'autres renseignements identifiants d'un client, voici les etapes a suivre :
Etape 1 : supprimez immediatement la conversation dans Atlas CSF+ en cliquant sur le bouton de suppression. Les donnees sont retirees de notre base de donnees.
Etape 2 :les appels API vers Anthropic sont ephemeres. Les donnees ne sont pas conservees par le fournisseur d'IA et ne servent pas a l'entrainement.
Etape 3 :evaluez le risque de prejudice. Si le NAS d'un client a ete expose, la Loi 25 exige que vous documentiez l'incident dans un registre des incidents de confidentialite. Si le risque de prejudice serieux est present, vous devez aviser la Commission d'acces a l'information du Quebec et la personne concernee.
Etape 4 :recommencez la conversation en utilisant les bonnes pratiques d'anonymisation. Prenez une seconde pour relire votre message avant de l'envoyer.
Dans la grande majorite des cas, la suppression immediate de la conversation suffit a eliminer tout risque. L'important est d'agir rapidement et de ne pas ignorer l'erreur.
Checklist rapide : avant chaque message
Avant d'appuyer sur Envoyer, posez-vous ces quatre questions :
1. Ce message contient-il un nom complet?Si oui, remplacez-le par des initiales (J.P.T.) ou « mon client ».
2. Ce message contient-il un NAS?Si oui, supprimez-le. Atlas CSF+ n'en a jamais besoin pour repondre a vos questions.
3. Ce message contient-il un numero de contrat, de police ou de compte?Si oui, decrivez le produit plutot que le numero : « son assurance vie permanente », « son REER chez Assomption Vie ».
4. Quelqu'un pourrait-il identifier mon client a partir de ce message? Si oui, retirez les elements identifiants. Combinez les techniques : initiales + age + role plutot que nom + employeur + date de naissance.
En suivant ces quatre reflexes, vous respectez integralement vos obligations deontologiques et legales, tout en obtenant des reponses parfaitement adaptees a la situation de votre client.
Exemple concret : bonne vs mauvaise pratique
Mauvaise pratique (a ne pas reproduire)
« Jean-Pierre Tremblay, ne le 15 mars 1965, NAS 234-567-890, contrat vie universelle #VU-456789 chez Assomption Vie, travaille comme ingenieur chez Hydro-Quebec depuis 1990. Il veut prendre sa retraite a 62 ans. Son REER est de 340 000$. Combien va-t-il recevoir du RREGOP? »
Bonne pratique (a reproduire)
« Mon client, ingenieur dans le secteur public, 61 ans, 35 ans de service. Il a un contrat d'assurance vie universelle et un REER de 340 000$. Il souhaite prendre sa retraite a 62 ans. Quelle serait sa rente RREGOP estimee et quelles strategies de decaissement recommandez-vous? »
Les deux messages decrivent la meme situation. Mais le second fournit exactement la meme qualite d'information pour l'analyse sans exposer aucun renseignement personnel. La reponse d'Atlas sera identique dans les deux cas.
References reglementaires
Loi 25 — Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels (RLRQ c. P-39.1). En vigueur depuis septembre 2023.
Code de deontologie de la CSF — RLRQ c. D-9.2, r. 3, articles 16 a 20 (secret professionnel, utilisation et conservation des renseignements confidentiels).
LDPSF — Loi sur la distribution de produits et services financiers, articles 16 et 27 (obligations de confidentialite du representant).
Reglement 31-103— Reglement sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites, article 13.2 (protection des renseignements personnels des clients).
Questions frequentes
Est-ce que je peux entrer le nom complet de mon client dans Atlas CSF+?
Non. Utilisez toujours des initiales (J.P.T.), un pseudonyme (Client A) ou une description de role (mon client infirmiere de 55 ans). Le nom complet est un renseignement personnel au sens de la Loi 25 et du Code de deontologie de la CSF (art. 16-20). L’anonymisation protege votre client et vous protege en tant que professionnel.
Que faire si j’ai accidentellement saisi le NAS d’un client dans une conversation?
Supprimez immediatement la conversation en utilisant le bouton de suppression dans Atlas CSF+. Les donnees sont retirees de notre base de donnees. Les appels API vers Anthropic sont ephemeres et ne sont pas conserves pour l’entrainement. Si le NAS a ete expose, documentez l’incident conformement aux exigences de la Loi 25 (notification a la Commission d’acces a l’information si le risque de prejudice est serieux).
Est-ce que mes conversations dans Atlas CSF+ sont utilisees pour entrainer l’intelligence artificielle?
Non. Atlas CSF+ utilise l’API d’Anthropic, qui ne conserve pas les donnees des appels API pour l’entrainement de ses modeles. Vos conversations sont chiffrees en transit (TLS) et au repos dans Supabase. Seul vous pouvez voir vos conversations grace au Row Level Security (RLS). Aucune donnee n’est partagee avec des tiers a des fins de marketing.
Puis-je telecharger un releve de compte client dans Atlas CSF+?
Oui, mais vous devez d’abord anonymiser le document. Caviardez (noircissez) le nom complet, le NAS, les numeros de contrat et l’adresse avant de telecharger. Les montants financiers, les repartitions d’actifs et les rendements peuvent rester visibles car ils ne permettent pas d’identifier le client. Utilisez la fonction Rechercher et remplacer dans Excel pour anonymiser rapidement les fichiers CSV ou XLSX.
Quelles sont mes obligations legales en matiere de confidentialite comme CSF?
Le Code de deontologie de la CSF (art. 16 a 20) impose le secret professionnel sur tous les renseignements obtenus dans l’exercice de vos fonctions. La LDPSF (art. 16, 27) renforce cette obligation. Le Reglement 31-103 (art. 13.2) exige la protection des renseignements personnels des clients. La Loi 25 (RLRQ c. P-39.1) s’applique a toute personne qui recueille des renseignements personnels au Quebec. En cas de manquement, vous vous exposez a des sanctions disciplinaires, des poursuites civiles et des amendes pouvant atteindre 25 000 000$ ou 4% du chiffre d’affaires mondial.
Utilisez l'IA en toute confiance
Atlas CSF+ est concu pour proteger vos donnees et celles de vos clients. Consultez notre politique de confidentialite complete et notre guide d'utilisation pour en savoir plus.
English summary:Practical guide for financial security advisors on protecting client personal information when using AI tools like Atlas CSF+. Covers Quebec's Loi 25 privacy law, CSF Code of Ethics (art. 16-20), Regulation 31-103, anonymization best practices (use initials, age instead of DOB, role descriptions instead of full names), document upload rules, how Atlas CSF+ protects your data (encryption, RLS, no AI training), and what to do if you accidentally share personal information. Includes a do/don't reference table and a 4-point checklist for every message.