Imaginez un organisme communautaire qui gère les dossiers de plusieurs centaines de bénéficiaires dans un fichier Excel partagé par courriel entre bénévoles. Pas de mot de passe, pas de politique de conservation et pas de procédure en cas de fuite. Ce n’est pas un cas fictif mais plutôt une réalité courante dans le secteur non lucratif québécois. Et depuis 2022, c’est aussi une pratique qui n’est plus compatible avec les exigences de la Loi 25 en vigueur.
Quand on parle de protection des renseignements personnels, on associe souvent la Loi 25 aux grandes entreprises, aux banques ou aux plateformes numériques, mais on pense moins spontanément aux OBNL. Pourtant, les OBNL collectent, utilisent et partagent eux aussi des renseignements personnels : coordonnées de membres, informations de donateurs, listes de bénévoles, dossiers de bénéficiaires, et parfois même des données sensibles selon leur mission.
Une loi simple sur le principe, exigeante dans la réalité
Les attentes semblent assez claires sur papier. Les organisations doivent mieux encadrer la confidentialité, rendre leurs pratiques plus transparentes, mieux gérer le consentement et organiser le cycle de vie des données. Les OBNL doivent définir des règles de sécurité, nommer un responsable, rendre publique leur politique de confidentialité, préciser les raisons de la collecte, et établir des règles quant à la conservation, à la destruction ou à l’anonymisation des renseignements personnels.
Il faut toutefois noter que tous les OBNL ne sont pas automatiquement assujettis à la Loi 25. Selon une analyse du cabinet Dunton Rainville, cela dépend de la nature des activités de l’organisme. Par exemple, certains OBNL dont la mission n’est pas de nature économique pourraient ne pas être considérés comme exploitant une entreprise au sens du Code civil du Québec. Mais même dans ce cas, des obligations de protection de la vie privée demeurent, notamment en vertu d’autres dispositions législatives.
Dans les faits, la conformité ne se résume ni à une politique affichée sur un site web ni à une case cochée dans une liste d’obligations. Elle suppose de savoir quelles données sont détenues, pourquoi elles sont collectées, où elles sont stockées, qui y a accès, pendant combien de temps elles sont conservées et selon quelles règles elles doivent être supprimées. La Loi 25 oblige les organismes à regarder leur propre fonctionnement avec un niveau de précision qu’ils n’avaient pas toujours formalisé jusque-là.
Des données partout, mais rarement une vue d’ensemble
C’est là que le défi devient concret pour les OBNL. Dans plusieurs organismes, les données sont éparpillées entre fichiers Excel, formulaires web, boîtes courriel, plateformes externes et documents partagés. Un rapport de recherche publié par PhiLab souligne que de nombreux OBNL fonctionnent encore sans outil structuré de gestion de la relation ni véritable moyen de centraliser l’information collectée. Le rapport note aussi que plusieurs organismes n’ont pas toujours une vision claire de l’ensemble des données détenues ni des raisons précises pour lesquelles elles sont recueillies.
Ce constat change la manière de lire la Loi 25. Le problème n’est pas seulement juridique mais aussi informationnel et organisationnel. Avant même de vouloir être conforme, encore faut-il savoir ce que l’on gouverne. Dans ce contexte, la Loi 25 met en lumière des pratiques anciennes, souvent tolérées parce qu’elles semblaient pratiques, mais qui deviennent aujourd’hui risquées.
Quand la mission prend toute la place
Le principal obstacle pour se conformer à la Loi 25 se manifeste dans le manque de ressources. En effet, le rapport PhiLab insiste sur les limites humaines, matérielles et financières qui freinent la mise en conformité. Il montre que plusieurs organismes fonctionnent dans une logique de court terme parce qu’ils doivent d’abord répondre à leurs besoins immédiats et à leur mission première.
Un organisme communautaire, culturel ou philanthropique ne travaille pas dans les mêmes conditions qu’une grande entreprise. Ses priorités quotidiennes sont déjà absorbées par le service aux bénéficiaires, le maintien de ses activités et la recherche de financement. Dans ce contexte, la protection des renseignements personnels peut être reconnue comme importante sans trouver facilement sa place dans l’agenda réel de l’organisation.
Prise de position: le fond est juste, mais l’accompagnement reste insuffisant
Les OBNL manipulent des données sensibles et ils doivent les protéger. Je pense que ce serait réducteur de laisser entendre que le secteur non lucratif mériterait une exemption ou un traitement de faveur. Néanmoins, je pense aussi que l’on sous-estime le coût réel de la conformité pour les plus petits organismes en temps, en formation et en ressources humaines qualifiées.
Si on ne reconnaît pas ce coût et si on se contente de rappeler l’obligation sans offrir les moyens de la remplir, on va se retrouver avec deux catégories d’organismes : ceux qui sont vraiment conformes, et ceux qui font semblant de l’être.
La Loi 25 peut devenir une vraie occasion de mieux gouverner l’information et de renforcer la confiance dans le secteur, mais seulement si on cesse de la traiter comme une formalité administrative et qu’on commence à la penser comme un chantier collectif impliquant les autorités de régulation et les OBNL.
Voici une vidéo qui synthétise cet article. Bonne écoute !
Sources
- Florence Bigot. (2024). Loi 25: source d’inégalités entre OBNL, [Cahier de recherche], PhiLab – Réseau canadien de recherche partenariale sur la philanthropie, https://philab.uqam.ca/loi-25-source-dinegalites-entre-obnl/
- Jennifer Tschamper. (2024). OBNL et Loi 25 – Qu’en est-il ? Dunton Rainville Avocats et Notaires. https://www.duntonrainville.com/obnl-et-loi-25-quen-est-il
- Loi 25 sur la protection des renseignements personnels des citoyens du Québec – Entrée en vigueur de nouvelles dispositions qui font du Québec un chef de file mondial , LIEN : https://www.quebec.ca/nouvelles/actualites/details/loi-25-sur-la-protection-des-renseignements-personnels-des-citoyens-du-quebec-entree-en-vigueur-de-nouvelles-dispositions-qui-font-du-quebec-un-chef-de-file-mondial-50726
- CAI : Incidents de confidentialité et mesures de sécurité , LIEN : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/incidents-confidentialite-mesures-securite-entreprises
- CAI : Entreprises et organisations privées, Champ d’application de la Loi , LIEN : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/champ-application-loi_entreprises