Guides > Protection des renseignements

Protection des renseignements personnels : guide 2026pour conseillers utilisant l'IA

L'intelligence artificielle est un outil puissant pour le conseiller en sécurité financière. Mais chaque message que vous tapez dans un outil d'IA pourrait contenir des renseignements personnels proteges par la loi. Ce guide pratique vous explique exactement quoi faire — et quoi ne jamais faire — pour utiliser Atlas CSF+ et tout autre outil d'IA en toute conformite avec la Loi 25, le Code de déontologie de la CSF et le Règlement 31-103.

Pourquoi protéger les renseignements personnels de vos clients

En tant que conseiller en sécurité financière, vous detenez des informations parmi les plus sensibles qui existent : revenus, patrimoine, dettes, etat de sante, situation familiale, numéros d'assurance sociale. La protection de ces renseignements n'est pas optionnelle — c'est une obligation légale et deontologique dont la violation peut entraîner des conséquences graves pour votre carrière et pour vos clients.

La Loi 25 (Loi modernisant des dispositions legislatives en matière de protection des renseignements personnels)

Depuis septembre 2023, la Loi 25 (RLRQ c. P-39.1) impose des obligations renforcees a toute personne ou organisation qui recueille, utilisé ou communique des renseignements personnels au Québec. Elle exige la désignation d'un responsable de la protection des renseignements personnels, la realisation d'evaluations de facteurs relatifs a la vie privee (EFVP) avant tout nouveau projet technologique impliquant des renseignements personnels, la notification obligatoire a la Commission d'accès a l'information du Québec en cas d'incident de confidentialité presentant un risque de prejudice serieux, et le consentement manifeste, libre et eclaire des personnes concernees.

Les amendes pour non-conformite peuvent atteindre 25 000 000$ ou 4% du chiffre d'affaires mondial. Pour un conseiller independant, une seule violation peut signifier la fin de sa pratique.

Le Code de déontologie de la CSF (art. 16 a 20)

Le Code de déontologie de la Chambre de la sécurité financière (RLRQ c. D-9.2, r. 3) consacre le secret professionnel aux articles 16 a 20. L'article 16 impose au représentant de respecter le secret de tout renseignement de nature confidentielle obtenu dans l'exercice de sa profession. L'article 17 precise qu'il ne peut reveler un renseignement confidentiel sans l'autorisation du client, sauf si la loi l'y autorise ou l'y oblige. Les articles 18 a 20 encadrent l'utilisation, la conservation et la destruction des renseignements.

La LDPSF et le Règlement 31-103

La Loi sur la distribution de produits et services financiers (LDPSF, art. 16 et 27) renforce l'obligation de confidentialité. Le Règlement 31-103 sur les obligations et dispenses d'inscription (art. 13.2) exige que les personnes inscrites etablissent et maintiennent des politiques et procedures raisonnables pour protéger les renseignements personnels des clients. Cela inclut les outils numeriques que vous utilisez dans votre pratique.

Responsabilite professionnelle

Si les renseignements personnels d'un client sont exposes a cause de votre utilisation d'un outil d'IA, vous pourriez faire face a des sanctions disciplinaires de la CSF (reprimande, suspension, radiation), des poursuites civiles du client pour dommages, des amendes en vertu de la Loi 25 et une atteinte irreparable a votre reputation professionnelle. La bonne nouvelle : quelques reflexes simples suffisent a eliminer pratiquement tout risque.

Ce qu'il ne faut JAMAIS saisir dans un outil d'IA

La règle d'or est simple : si l'information permet d'identifier directement ou indirectement un client, elle ne doit pas être saisie. Voici un tableau de référence concret :

NE JAMAIS saisirEcrire plutot
Jean-Pierre TremblayClient J.P.T. ou « mon client »
NAS 123-456-789Ne jamais saisir — jamais nécessaire
No de contrat ABC-123456« son contrat d'assurance vie »
Date de naissance 1965-03-15« client de 61 ans »
123 rue Saint-Denis, MontrealNe jamais saisir — jamais nécessaire
514-555-1234Ne jamais saisir — jamais nécessaire
Marie Lapointe, infirmière au CHUM« mon client infirmière de 55 ans »
Courriel [email protected]Ne jamais saisir — jamais nécessaire

Atlas CSF+ n'a jamais besoin du nom complet, du NAS, de l'adresse ou du numéro de telephone de votre client pour vous fournir une réponse pertinente. L'IA travaille avec des situations, des montants et des ages — pas avec des identites.

Bonnes pratiques d'anonymisation

Adopter les bons reflexes ne prend que quelques secondes et devient rapidement automatique. Voici les techniques d'anonymisation recommandees :

1. L'age plutot que la date de naissance

Ecrivez « client de 58 ans » plutot que « ne le 15 mars 1968 ». L'age suffit pour tous les calculs de retraite, d'assurance et de fiscalité. Si l'année de naissance est nécessaire pour un calcul precis, utilisez uniquement l'année sans le jour ni le mois.

2. Les initiales plutot que le nom complet

Utilisez « Client M.L. » ou simplement « mon client ». Pour comparer la situation de deux clients, utilisez « Client A » et « Client B ». Cela suffit a structurer la conversation sans exposer de renseignements personnels.

3. Decrire la situation, pas la personne

Plutot que « Marie Lapointe, infirmière au CHUM depuis 25 ans », ecrivez « mon client, infirmière du secteur public, 25 ans de service ». La description du role et de l'anciennete fournit toute l'information nécessaire pour une analyse complète sans identifier la personne.

4. Les montants sont acceptables, les identifiants ne le sont pas

Vous pouvez saisir des montants financiers (salaire, REER, hypotheque, valeur de la police) car ces chiffres seuls ne permettent pas d'identifier un client. En revanche, les numéros de contrat, de police ou de compte sont des identifiants directs et ne doivent jamais être saisis.

5. Caviardez avant de telecharger

Si vous televersez un document (releve de compte, proposition d'assurance, etat financier), caviardez d'abord le nom, le NAS, les numéros de contrat et l'adresse. Vous pouvez utiliser un outil de caviardage PDF ou simplement copier les chiffres pertinents dans le chat sans les identifiants. Dans Excel, utilisez Rechercher et remplacer (Ctrl+H) pour remplacer le nom complet par des initiales avant d'exporter.

Comment Atlas CSF+ protégé vos données

Atlas CSF+ a ete concu des le départ avec la protection des renseignements personnels comme priorite. Voici les mesures techniques en place :

Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS (HTTPS). Aucune donnée ne circule en clair.

Chiffrement au repos :les conversations sont stockées dans Supabase avec chiffrement au repos (AES-256). Meme en cas d'accès non autorise a la base de données, les données restent illisibles.

Isolation des données (RLS) : le Row Level Security de Supabase garantit que seul vous pouvez voir vos conversations. Aucun autre utilisateur, pas meme un administrateur, ne peut acceder a vos echanges.

API Anthropic :les appels vers l'API d'Anthropic (Claude) ne sont PAS utilisés pour entraîner les modeles d'IA. Vos conversations ne servent pas a améliorer l'IA — elles restent ephemeres cote fournisseur.

Aucun partage a des tiers : vos données ne sont jamais vendues, louees ou partagées avec des tiers a des fins de marketing, de publicite ou de profilage.

Suppression a la demande :vous pouvez supprimer n'importe quelle conversation a tout moment. La suppression est permanente et retire les données de notre base de données.

Televersement de documents : règles a suivre

Atlas CSF+ accepte les fichiers PDF, Excel, CSV, TXT et les images pour vous aider a analyser des données financières. Voici les règles a respecter avant tout televersement :

Caviardez toujours : le NAS, les numéros de contrat, les noms complets et les adresses. Utilisez un marqueur noir numerique sur les PDF ou la fonction Rechercher et remplacer dans Excel.

Ce qui est acceptable :les etats financiers anonymises, les repartitions d'actifs, les tableaux de rendement, les projections de retraite et les baremes de produits d'assurance. Ces données financières sans identifiants ne constituent pas des renseignements personnels.

Traitement cote serveur :Atlas extrait le texte du document cote serveur pour l'analyse et ne conserve pas le fichier original. Le contenu est traite en memoire, transmis a l'IA pour analyse, puis la réponse vous est retournee.

Astuce pratique :plutot que de telecharger un document entier, copiez-collez uniquement les chiffres pertinents dans le chat. Par exemple : « Mon client a un REER de 245 000$, un CELI de 82 000$, une rente RREGOP projetee de 48 000$/an et un salaire de 85 000$. Quelles stratégies de décaissement recommandez-vous? »

Que faire si vous avez saisi des renseignements personnels par erreur

L'erreur est humaine. Si vous realisez que vous avez accidentellement saisi le nom complet, le NAS ou d'autres renseignements identifiants d'un client, voici les etapes a suivre :

Étape 1 : supprimez immédiatement la conversation dans Atlas CSF+ en cliquant sur le bouton de suppression. Les données sont retirees de notre base de données.

Étape 2 :les appels API vers Anthropic sont ephemeres. Les données ne sont pas conservees par le fournisseur d'IA et ne servent pas a l'entrainement.

Étape 3 :evaluez le risque de prejudice. Si le NAS d'un client a ete expose, la Loi 25 exige que vous documentiez l'incident dans un registre des incidents de confidentialité. Si le risque de prejudice serieux est present, vous devez aviser la Commission d'accès a l'information du Québec et la personne concernee.

Étape 4 :recommencez la conversation en utilisant les bonnes pratiques d'anonymisation. Prenez une seconde pour relire votre message avant de l'envoyer.

Dans la grande majorite des cas, la suppression immediate de la conversation suffit a eliminer tout risque. L'important est d'agir rapidement et de ne pas ignorer l'erreur.

Checklist rapide : avant chaque message

Avant d'appuyer sur Envoyer, posez-vous ces quatre questions :

1. Ce message contient-il un nom complet?Si oui, remplacez-le par des initiales (J.P.T.) ou « mon client ».

2. Ce message contient-il un NAS?Si oui, supprimez-le. Atlas CSF+ n'en a jamais besoin pour répondre a vos questions.

3. Ce message contient-il un numéro de contrat, de police ou de compte?Si oui, decrivez le produit plutot que le numéro : « son assurance vie permanente », « son REER chez Assomption Vie ».

4. Quelqu'un pourrait-il identifier mon client a partir de ce message? Si oui, retirez les elements identifiants. Combinez les techniques : initiales + age + role plutot que nom + employeur + date de naissance.

En suivant ces quatre reflexes, vous respectez integralement vos obligations deontologiques et légales, tout en obtenant des réponses parfaitement adaptees a la situation de votre client.

Exemple concret : bonne vs mauvaise pratique

Mauvaise pratique (a ne pas reproduire)

« Jean-Pierre Tremblay, ne le 15 mars 1965, NAS 234-567-890, contrat vie universelle #VU-456789 chez Assomption Vie, travaille comme ingenieur chez Hydro-Québec depuis 1990. Il veut prendre sa retraite a 62 ans. Son REER est de 340 000$. Combien va-t-il recevoir du RREGOP? »

Bonne pratique (a reproduire)

« Mon client, ingenieur dans le secteur public, 61 ans, 35 ans de service. Il a un contrat d'assurance vie universelle et un REER de 340 000$. Il souhaite prendre sa retraite a 62 ans. Quelle serait sa rente RREGOP estimee et quelles stratégies de décaissement recommandez-vous? »

Les deux messages decrivent la meme situation. Mais le second fournit exactement la meme qualite d'information pour l'analyse sans exposer aucun renseignement personnel. La réponse d'Atlas sera identique dans les deux cas.

References réglementaires

Loi 25 — Loi modernisant des dispositions legislatives en matière de protection des renseignements personnels (RLRQ c. P-39.1). En vigueur depuis septembre 2023.

Code de déontologie de la CSF — RLRQ c. D-9.2, r. 3, articles 16 a 20 (secret professionnel, utilisation et conservation des renseignements confidentiels).

LDPSF — Loi sur la distribution de produits et services financiers, articles 16 et 27 (obligations de confidentialité du représentant).

Règlement 31-103— Règlement sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites, article 13.2 (protection des renseignements personnels des clients).

Questions fréquentes

Est-ce que je peux entrer le nom complet de mon client dans Atlas CSF+?

Non. Utilisez toujours des initiales (J.P.T.), un pseudonyme (Client A) ou une description de role (mon client infirmière de 55 ans). Le nom complet est un renseignement personnel au sens de la Loi 25 et du Code de déontologie de la CSF (art. 16-20). L’anonymisation protégé votre client et vous protégé en tant que professionnel.

Que faire si j’ai accidentellement saisi le NAS d’un client dans une conversation?

Supprimez immédiatement la conversation en utilisant le bouton de suppression dans Atlas CSF+. Les données sont retirees de notre base de données. Les appels API vers Anthropic sont ephemeres et ne sont pas conserves pour l’entrainement. Si le NAS a ete expose, documentez l’incident conformement aux exigences de la Loi 25 (notification a la Commission d’acces a l’information si le risque de prejudice est serieux).

Est-ce que mes conversations dans Atlas CSF+ sont utilisées pour entraîner l’intelligence artificielle?

Non. Atlas CSF+ utilisé l’API d’Anthropic, qui ne conserve pas les données des appels API pour l’entrainement de ses modeles. Vos conversations sont chiffrées en transit (TLS) et au repos dans Supabase. Seul vous pouvez voir vos conversations grâce au Row Level Security (RLS). Aucune donnée n’est partagée avec des tiers a des fins de marketing.

Puis-je telecharger un releve de compte client dans Atlas CSF+?

Oui, mais vous devez d’abord anonymiser le document. Caviardez (noircissez) le nom complet, le NAS, les numéros de contrat et l’adresse avant de telecharger. Les montants financiers, les repartitions d’actifs et les rendements peuvent rester visibles car ils ne permettent pas d’identifier le client. Utilisez la fonction Rechercher et remplacer dans Excel pour anonymiser rapidement les fichiers CSV ou XLSX.

Quelles sont mes obligations légales en matière de confidentialité comme CSF?

Le Code de déontologie de la CSF (art. 16 a 20) impose le secret professionnel sur tous les renseignements obtenus dans l’exercice de vos fonctions. La LDPSF (art. 16, 27) renforce cette obligation. Le Règlement 31-103 (art. 13.2) exige la protection des renseignements personnels des clients. La Loi 25 (RLRQ c. P-39.1) s’applique a toute personne qui recueille des renseignements personnels au Québec. En cas de manquement, vous vous exposez a des sanctions disciplinaires, des poursuites civiles et des amendes pouvant atteindre 25 000 000$ ou 4% du chiffre d’affaires mondial.

Utilisez l'IA en toute confiance

Atlas CSF+ est concu pour protéger vos données et celles de vos clients. Consultez notre politique de confidentialité complète et notre guide d'utilisation pour en savoir plus.

English summary:Practical guide for financial security advisors on protecting client personal information when using AI tools like Atlas CSF+. Covers Québec's Loi 25 privacy law, CSF Code of Ethics (art. 16-20), Regulation 31-103, anonymization best practices (use initials, age instead of DOB, role descriptions instead of full names), document upload rules, how Atlas CSF+ protects your data (encryption, RLS, no AI training), and what to do if you accidentally share personal information. Includes a do/don't référence table and a 4-point checklist for every message.