Table des matières
Introduction : la Loi 25, un tournant pour la gestion des données personnelles dans les OBNL
Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) transforme les obligations des organismes à but non lucratif québécois en matière de protection des données personnelles. Cette loi, adoptée en 2021 et mise en œuvre par phases, impose des exigences significatives que la majorité des OBNL ne respectent pas encore — souvent par méconnaissance plutôt que par négligence.
Pour un OBNL, les données personnelles sont partout : listes de membres, fiches d’inscription aux activités, bases de données de donateurs, dossiers d’employés, formulaires de bénévoles, courriels de participants, photos prises lors d’événements, données de santé pour les camps de jour. La Loi 25 s’applique à toutes ces informations et à tous les organismes qui les collectent — sans distinction de taille, de budget ou de secteur d’activité.
Ce guide propose un cadre complet pour comprendre les obligations de la Loi 25, évaluer la conformité de votre organisme, et mettre en place les mesures nécessaires. Il est conçu spécifiquement pour les réalités du milieu communautaire québécois — budgets limités, équipes réduites, mais responsabilités réelles.
Le cadre législatif : ce que la Loi 25 change pour les OBNL
La Loi 25 modifie principalement la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics. Les OBNL sont assujettis à la loi du secteur privé, même s’ils ne poursuivent pas de but lucratif.
La loi a été mise en œuvre en trois phases. La première phase (septembre 2022) exigeait la désignation d’un responsable de la protection des renseignements personnels et la mise en place d’un processus de gestion des incidents de confidentialité. La deuxième phase (septembre 2023) a introduit les obligations les plus substantielles : politique de confidentialité, consentement éclairé, évaluation des facteurs relatifs à la vie privée (EFVP), droit à la portabilité, et encadrement du profilage. La troisième phase (septembre 2024) a complété le cadre avec le droit à la portabilité des données.
Les sanctions prévues par la Loi 25 sont significatives. Les amendes administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial. Les amendes pénales sont encore plus sévères — jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Ces montants sont évidemment disproportionnés par rapport à la réalité des OBNL, mais la Commission d’accès à l’information (CAI) dispose du pouvoir discrétionnaire d’adapter les sanctions à la situation de l’organisme. L’essentiel est que la non-conformité comporte un risque réel, pas seulement théorique.
Les dirigeants qui autorisent, permettent ou tolèrent une contravention peuvent être visés personnellement — un risque qui s’ajoute à la responsabilité générale des administrateurs d’OBNL.
Le responsable de la protection des renseignements personnels
Toute organisation assujettie à la Loi 25 doit désigner un responsable de la protection des renseignements personnels. Par défaut, cette responsabilité incombe à la personne ayant la plus haute autorité au sein de l’organisme — dans la plupart des OBNL, c’est la direction générale.
Le responsable peut déléguer cette fonction, en tout ou en partie, à un membre de l’équipe ou à un consultant externe. La délégation doit être faite par écrit et publiée sur le site Web de l’organisme. La personne déléguée devient le point de contact pour les questions relatives à la protection des renseignements personnels — demandes d’accès, plaintes, incidents de confidentialité.
Dans un petit OBNL, le responsable est souvent la direction générale elle-même, avec un soutien ponctuel de la personne chargée de l’administration ou des communications. L’important n’est pas d’avoir un spécialiste à temps plein — c’est d’avoir une personne identifiée, formée aux bases, et qui sait quand consulter un expert.
Le titre et les coordonnées du responsable (ou de la personne déléguée) doivent être publiés sur le site Web de l’organisme. Cette publication est une obligation légale simple à remplir — une mention dans la politique de confidentialité ou une page dédiée sur le site suffit.
La politique de confidentialité : contenu obligatoire et bonnes pratiques
La Loi 25 exige que chaque organisme adopte et publie une politique de confidentialité rédigée en termes simples et clairs. Cette politique doit être accessible sur le site Web de l’organisme et communiquée aux personnes concernées.
Le contenu obligatoire de la politique inclut les types de renseignements personnels collectés, les fins auxquelles ils sont collectés, les moyens par lesquels ils sont collectés, les droits des personnes concernées (accès, rectification, retrait du consentement), les coordonnées du responsable de la protection des renseignements personnels, et les règles de conservation et de destruction des renseignements.
Pour un OBNL, les types de renseignements couramment collectés incluent les coordonnées des membres (nom, adresse, courriel, téléphone), les informations d’inscription aux activités (âge, informations médicales pour les camps, contacts d’urgence), les données des donateurs (montants, coordonnées bancaires pour les prélèvements automatiques), les informations des employés et bénévoles (CV, coordonnées, vérification d’antécédents judiciaires), et les photos et vidéos prises lors d’événements.
Les fins de la collecte doivent être précisées pour chaque catégorie de renseignements : inscription aux activités, gestion de la membership, communication (infolettres, rappels), sollicitation de dons, gestion des ressources humaines, reddition de comptes aux bailleurs de fonds. L’organisme ne peut collecter que les renseignements nécessaires à ces fins — c’est le principe de minimisation.
La politique devrait être révisée annuellement pour s’assurer qu’elle reflète les pratiques réelles de l’organisme. Un écart entre la politique écrite et les pratiques effectives est un risque de conformité.
Le consentement : règles et application pratique
La Loi 25 renforce les exigences en matière de consentement. Le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques, et demandé pour chaque fin distincte. Le consentement ne peut pas être obtenu par défaut (cases pré-cochées) ou par inaction.
Le consentement explicite est requis pour la collecte de renseignements sensibles (données de santé, informations sur les mineurs, données biométriques), pour la communication de renseignements à des tiers, et pour l’utilisation de renseignements à des fins autres que celles pour lesquelles ils ont été collectés.
Le consentement implicite peut suffire dans certains cas — par exemple, lorsqu’une personne fournit volontairement ses coordonnées en remplissant un formulaire d’inscription et que la politique de confidentialité est clairement accessible. Toutefois, l’organisme doit s’assurer que la personne a eu l’occasion de prendre connaissance de la politique avant de fournir ses renseignements.
Pour les mineurs de moins de 14 ans, le consentement doit être donné par le titulaire de l’autorité parentale. Cette disposition est particulièrement pertinente pour les OBNL qui offrent des activités pour les enfants — camps de jour, activités parascolaires, programmes jeunesse. Les formulaires d’inscription doivent inclure une section de consentement parental explicite pour la collecte et l’utilisation des renseignements de l’enfant.
Le retrait du consentement est un droit permanent. Toute personne peut retirer son consentement à tout moment, et l’organisme doit cesser d’utiliser ses renseignements pour les fins visées. Le retrait doit être aussi simple que l’octroi du consentement — si l’inscription se fait en ligne, le retrait devrait pouvoir se faire en ligne aussi.
En pratique, pour un OBNL, la gestion du consentement peut être simplifiée en intégrant une section consentement claire dans les formulaires d’inscription, en ajoutant un lien vers la politique de confidentialité dans les courriels et infolettres, et en tenant un registre des consentements obtenus.
La gestion des incidents de confidentialité
Un incident de confidentialité est un accès, une utilisation, une communication ou une perte de renseignements personnels non autorisés. Pour un OBNL, cela peut prendre plusieurs formes : un courriel envoyé au mauvais destinataire avec des données personnelles, un vol d’ordinateur portable contenant des fichiers non chiffrés, une cyberattaque sur le site Web ou la base de données, la perte d’un dossier physique contenant des informations de participants, ou un accès non autorisé à un compte de messagerie.
La Loi 25 impose une procédure en quatre étapes pour la gestion des incidents. Premièrement, l’évaluation du risque de préjudice sérieux pour les personnes concernées. Deuxièmement, la notification à la Commission d’accès à l’information (CAI) si le risque est sérieux. Troisièmement, la notification aux personnes concernées si le risque est sérieux. Quatrièmement, la tenue d’un registre de tous les incidents, qu’ils comportent ou non un risque sérieux.
Le registre des incidents est obligatoire. Il doit consigner la date de l’incident, la nature des renseignements visés, le nombre de personnes concernées, les circonstances de l’incident, les mesures prises pour réduire le risque, et la décision de notifier ou non la CAI et les personnes concernées. Ce registre doit être conservé pendant au moins cinq ans et être accessible à la CAI sur demande.
Pour les OBNL, la prévention des incidents passe par des mesures simples mais efficaces : mots de passe robustes sur tous les comptes et appareils, chiffrement des données sensibles (fichiers Excel de membres, bases de données), formation de l’équipe aux bonnes pratiques (ne pas envoyer de données personnelles par courriel non sécurisé), sauvegarde régulière des données, et contrôle d’accès (chaque employé n’accède qu’aux données nécessaires à son travail).
L’évaluation des facteurs relatifs à la vie privée (EFVP)
La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet qui implique l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels. L’EFVP est aussi requise avant de communiquer des renseignements personnels à l’extérieur du Québec.
Pour un OBNL, les situations nécessitant une EFVP incluent la mise en place d’un nouveau système d’inscription en ligne, le changement de plateforme de gestion de la membership (Yapla, Zeffy, etc.), l’utilisation d’un CRM pour la gestion des donateurs, la migration des données vers un service infonuagique (cloud), et le partage de données de participants avec un partenaire dans le cadre d’un projet conjoint.
L’EFVP n’a pas besoin d’être un document de cent pages. Pour un petit OBNL, une EFVP peut être un document simple de deux à cinq pages qui identifie les renseignements personnels en jeu, les fins du traitement, les risques pour la vie privée des personnes concernées, les mesures de protection mises en place, et la proportionnalité entre les besoins de l’organisme et l’atteinte à la vie privée.
L’EFVP est un outil de réflexion préventive qui force l’organisme à penser à la protection des données avant de lancer un projet, pas après qu’un incident se soit produit. C’est une pratique de bonne gouvernance qui s’inscrit dans la logique de diligence attendue du conseil d’administration.
Les droits des personnes : accès, rectification, suppression
La Loi 25 renforce les droits des personnes dont les renseignements sont collectés. Les OBNL doivent être prêts à répondre aux demandes d’exercice de ces droits.
Le droit d’accès permet à toute personne de demander à l’organisme quels renseignements il détient à son sujet. L’organisme doit répondre dans un délai de 30 jours et fournir les renseignements dans un format compréhensible. Pour un OBNL, cela signifie être capable de retrouver les données d’un membre ou d’un participant dans ses systèmes (fichiers, bases de données, courriels) et de les communiquer.
Le droit de rectification permet de demander la correction de renseignements inexacts, incomplets ou ambigus. L’organisme doit effectuer la correction et, si les renseignements ont été communiqués à des tiers, en informer ces tiers.
Le droit à la suppression (droit à l’oubli) permet de demander la suppression de renseignements lorsque leur collecte ou leur conservation n’est plus nécessaire aux fins pour lesquelles ils ont été collectés. Ce droit inclut aussi la désindexation — le droit de demander qu’un moteur de recherche cesse de référencer un lien contenant des renseignements personnels, lorsque ce référencement cause un préjudice.
Le droit à la portabilité (en vigueur depuis septembre 2024) permet de demander la communication de ses renseignements dans un format technologique structuré et couramment utilisé, ou leur transfert à un autre organisme. Ce droit est plus pertinent pour les grandes organisations, mais les OBNL doivent être prêts à y répondre.
Pour gérer ces demandes efficacement, l’organisme devrait avoir un processus simple et documenté : qui reçoit les demandes (le responsable de la protection), comment les demandes sont traitées (vérification de l’identité, recherche des données, réponse dans les délais), et comment les réponses sont documentées.
La communication de renseignements à des tiers et hors Québec
La Loi 25 encadre strictement la communication de renseignements personnels à des tiers. Un OBNL ne peut communiquer des renseignements personnels à un tiers que dans des circonstances limitées : avec le consentement de la personne concernée, lorsque la communication est nécessaire à l’exécution d’un contrat avec la personne, dans les cas prévus par la loi, ou dans des situations d’urgence mettant en danger la vie, la santé ou la sécurité.
Pour les OBNL, les situations courantes de communication à des tiers incluent le partage de listes de participants avec des bailleurs de fonds dans le cadre de la reddition de comptes, la transmission de données à un sous-traitant (hébergeur Web, fournisseur de service de courriel, comptable externe), et la communication de données de participants dans le cadre d’un projet en partenariat.
La communication hors Québec est soumise à des règles supplémentaires. Avant de transférer des renseignements personnels à l’extérieur du Québec, l’organisme doit réaliser une EFVP et s’assurer que le territoire de destination offre une protection adéquate des renseignements personnels. En pratique, l’utilisation de services infonuagiques américains (Google, Microsoft, Mailchimp) constitue un transfert hors Québec qui devrait faire l’objet d’une EFVP.
Les ententes de sous-traitance doivent inclure des clauses de protection des renseignements personnels : obligation de confidentialité, mesures de sécurité, notification en cas d’incident, destruction des données à la fin du contrat. Ces clauses protègent l’organisme et démontrent sa diligence.
Les données des activités communautaires : cas pratiques
Les OBNL gèrent des données sensibles dans le cadre de leurs activités quotidiennes. Voici les situations les plus courantes et les pratiques recommandées.
Inscriptions aux camps de jour et activités jeunesse. Les fiches d’inscription contiennent typiquement des données de santé (allergies, médication, conditions médicales), des contacts d’urgence, et des autorisations parentales. Ces données sont sensibles et nécessitent un consentement explicite, un accès restreint (seul le personnel encadrant y accède), une conservation limitée (détruire après la fin de la saison, sauf si nécessaire pour la saison suivante), et un stockage sécurisé (fichiers verrouillés, pas de listes affichées dans les locaux).
Bases de données de donateurs. Les informations de donateurs (montants, coordonnées, historique de dons) sont des renseignements personnels qui doivent être protégés. Les reçus fiscaux ne doivent être envoyés qu’au donateur lui-même. Les listes de donateurs ne peuvent pas être partagées avec d’autres organismes sans consentement explicite.
Photos et vidéos lors d’événements. Les images de personnes identifiables sont des renseignements personnels. Un OBNL qui publie des photos d’activités sur son site Web ou ses réseaux sociaux devrait obtenir le consentement des personnes photographiées — ou de leurs parents pour les mineurs. Un formulaire de consentement photographique intégré aux formulaires d’inscription simplifie cette gestion.
Vérification des antécédents judiciaires. Les résultats de la vérification des antécédents pour les employés et bénévoles qui travaillent avec des mineurs sont des renseignements hautement sensibles. Ils doivent être conservés de manière sécurisée, accessibles uniquement aux personnes autorisées, et détruits lorsqu’ils ne sont plus nécessaires.
Infolettres et communications. L’envoi d’infolettres est assujetti à la fois à la Loi 25 et à la Loi canadienne anti-pourriel (LCAP). L’organisme doit obtenir le consentement pour l’envoi de communications électroniques, offrir un mécanisme de désabonnement simple, et respecter les demandes de retrait dans un délai de 10 jours ouvrables.
La mise en conformité : plan d’action pour les OBNL
La mise en conformité avec la Loi 25 peut sembler intimidante pour un petit OBNL, mais elle peut être abordée de manière progressive et proportionnelle aux moyens de l’organisme.
Étape 1 : Désigner le responsable. Identifier la personne responsable de la protection des renseignements personnels (par défaut, la direction générale) et publier ses coordonnées sur le site Web. Temps estimé : une heure.
Étape 2 : Inventorier les données. Dresser la liste de tous les renseignements personnels collectés par l’organisme, les fins de la collecte, les systèmes de stockage (fichiers, bases de données, plateformes), les personnes qui y ont accès, et les pratiques de conservation et de destruction. Temps estimé : une à deux journées de travail.
Étape 3 : Rédiger la politique de confidentialité. Rédiger et publier une politique de confidentialité conforme aux exigences de la Loi 25. Des modèles adaptés au milieu communautaire sont disponibles gratuitement en ligne (COCo, CSMO-ÉSAC). Temps estimé : une demi-journée.
Étape 4 : Mettre à jour les formulaires. Ajouter une section consentement aux formulaires d’inscription, de membership, de don, et de bénévolat. Inclure un lien vers la politique de confidentialité. Temps estimé : une demi-journée.
Étape 5 : Mettre en place le registre des incidents. Créer un registre (un simple fichier Excel suffit) pour documenter tout incident de confidentialité. Former l’équipe à reconnaître un incident et à le signaler au responsable. Temps estimé : deux heures.
Étape 6 : Sécuriser les données. Mettre en place des mesures de sécurité de base : mots de passe robustes, chiffrement des fichiers sensibles, contrôle d’accès, sauvegarde régulière. Temps estimé : une journée.
Étape 7 : Former l’équipe. Sensibiliser les employés et les bénévoles aux obligations de la Loi 25 et aux bonnes pratiques de protection des renseignements personnels. Une formation de deux heures suffit pour les bases. Temps estimé : deux heures de formation.
Le coût total de la mise en conformité pour un petit OBNL est modeste — essentiellement du temps de travail. Ces coûts peuvent être intégrés dans le calcul du coût complet de fonctionnement et présentés aux bailleurs comme des investissements en bonne gouvernance et en conformité légale.
Loi 25 et bailleurs de fonds : un enjeu de crédibilité
La conformité à la Loi 25 est de plus en plus considérée comme un indicateur de maturité organisationnelle par les bailleurs de fonds. Les fondations privées et les programmes gouvernementaux commencent à intégrer des questions sur la protection des données personnelles dans leurs formulaires de demande et de reddition de comptes.
Un organisme qui peut démontrer qu’il dispose d’une politique de confidentialité, d’un responsable identifié, et de mesures de sécurité adéquates envoie un signal de professionnalisme qui renforce ses demandes de financement. À l’inverse, un incident de confidentialité mal géré peut miner la confiance des bailleurs et compromettre des ententes de financement.
Les programmes encadrés par la PGAC exigent des organismes qu’ils respectent les lois applicables — la Loi 25 en fait partie. La conformité n’est pas seulement une obligation légale, c’est aussi un atout stratégique pour le financement et la crédibilité de l’organisme.
Le retour social sur investissement de la conformité à la Loi 25 inclut la protection de la réputation de l’organisme, le maintien de la confiance des participants et des donateurs, et la réduction des risques juridiques — des éléments qui contribuent directement à la pérennité de l’organisme et à sa capacité d’accomplir sa mission communautaire.
Conclusion : la protection des données, un devoir de respect envers les communautés servies
La Loi 25 n’est pas une contrainte bureaucratique imposée aux OBNL — c’est une expression du respect que les organismes doivent aux personnes qui leur confient leurs renseignements personnels. Les membres, les participants, les donateurs et les bénévoles qui partagent leurs informations avec un OBNL s’attendent à ce que ces informations soient traitées avec soin et protégées contre les abus.
Pour les OBNL, la conformité à la Loi 25 est une occasion de renforcer la confiance qui est au cœur de leur relation avec la communauté. Un organisme qui protège les données personnelles de ses membres démontre qu’il prend au sérieux la confiance qui lui est accordée — et cette confiance est le fondement même de son mandat communautaire.
La mise en conformité n’a pas besoin d’être complexe ou coûteuse. Les sept étapes décrites dans ce guide peuvent être mises en œuvre progressivement, avec des ressources modestes, par n’importe quel OBNL qui prend la protection des données au sérieux. L’investissement est minimal comparé aux risques de non-conformité — et aux bénéfices en termes de crédibilité, de confiance et de professionnalisme.