La Loi 25 du Québec et ce qu'elle signifie pour les OBNL.

Le Québec n'est pas étranger aux lois sur la protection des renseignements personnels. Il a été la première province à adopter une législation en la matière au début des années 1990, mais ces lois n'avaient pas beaucoup de mordant.¹ La Loi 25 change tout ça.

La Loi 25 (anciennement le projet de loi 64) adapte les lois existantes sur la protection des renseignements personnels des Québécois aux réalités numériques et technologiques d'aujourd'hui, et ajoute des obligations pour toute personne faisant des affaires au Québec — et pas seulement pour les organisations dont le siège social se trouve au Québec.

‍

En bref :

• Les nouvelles règles et obligations s'appliquent à toute organisation privée (entreprise) qui collecte, traite ou communique des renseignements personnels.²
• Si votre organisme à but non lucratif (OBNL) ne collecte pas ni ne stocke les renseignements personnels de vos bénévoles, donateurs ou membres de l'équipe, vous pouvez ignorer cet article et simplement contacter les fournisseurs tiers que vous utilisez (comme Zeffy) pour vérifier qu'ils respectent les règles de la Loi 25.
• Si vous utilisez la plateforme de collecte de fonds de Zeffy, vous êtes en règle : nous respectons les règles et obligations de la Loi 25 à la lettre.
• Si vous stockez des renseignements personnels sur vos bénévoles, donateurs ou membres de l'équipe, continuez votre lecture.

‍

La Loi 25 est introduite progressivement, laissant le temps aux OBNL de se préparer.

Conçue pour protéger les Québécois et leurs renseignements personnels, la Loi 25 tient les organisations responsables des données qu'elles collectent et stockent, et les oblige à expliquer clairement pourquoi elles demandent ces renseignements et comment elles prévoient les utiliser.

Certaines dispositions sont entrées en vigueur le 22 septembre 2022 et les autres sont entrées en vigueur en septembre 2023 et septembre 2024.³

‍

Quelles sont les obligations d'un OBNL en vertu de la Loi 25 ?

Comme il se doit en matière juridique, le libellé est plutôt ambigu, ce qui signifie qu'il n'existe pas de liste claire des organisations tenues de respecter la Loi 25. Il est seulement indiqué que toute entreprise privée qui collecte, traite ou communique des renseignements personnels est assujettie aux nouvelles règles et obligations.⁴ Et cela inclut les organismes à but non lucratif et les organismes de bienfaisance.

En droit québécois, une entreprise désigne une « activité économique organisée, qu'elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services ».⁵

Ouf. Ainsi, par exemple, les syndicats et les cliniques privées, comme un cabinet de psychiatre, sont considérés comme des entreprises. Les organisations spirituelles et les religions ne sont pas considérées comme des entreprises, car leurs objectifs premiers sont d'ordre spirituel, et non économique. Mais tout cela reste assez nébuleux.

Dans le doute, il vaut mieux appliquer les règlements de la Loi 25 (ils sont conçus dans l'intérêt de vos donateurs, après tout) ou consulter un professionnel.

Alors, si votre OBNL collecte et stocke des renseignements personnels, que devez-vous faire ?

Voyons ce qui doit être fait et à quel moment.

‍

Depuis le 22 septembre 2022, toutes les organisations — y compris les OBNL — doivent :

Nommer un responsable de la protection des renseignements personnels pour votre OBNL.

Votre OBNL doit se doter d'un responsable de la protection des renseignements personnels chargé de mettre en œuvre la Loi 25 et d'en assurer le respect au sein de votre organisation.⁶

Quelques points importants à garder à l'esprit :

1. Le responsable de la protection des renseignements personnels doit être la plus haute autorité de votre organisation. (Par exemple, le directeur général.)
2. Si la plus haute autorité de votre organisation ne souhaite pas assumer ce rôle, elle peut le déléguer à quelqu'un au sein de l'organisation.
3. Les coordonnées du responsable de la protection des renseignements personnels doivent être publiées sur votre site Web.
4. Les ressources nécessaires (humaines, techniques et financières) doivent être mises à la disposition du responsable afin qu'il puisse se conformer avec succès à la Loi 25.

‍

Commencer à tenir un registre des incidents de confidentialité.

Vous devez dorénavant tenir un registre des incidents de confidentialité (comme une violation de données) au cas où la Commission d'accès à l'information en ferait la demande.⁶

Ce que cela implique pour votre OBNL :

1. Faites l'inventaire des renseignements personnels que votre OBNL (ou un tiers en son nom) détient et évaluez leur degré de sensibilité.
2. Mettez en place des mesures pour prévenir ou limiter le risque d'un incident de confidentialité.
3. Établissez un plan d'intervention que votre organisation appliquera en cas de violation de données.

Bien sûr, toute règle a ses exceptions.

Les nouvelles règles vous permettent de communiquer des renseignements personnels sans consentement dans le cadre d'une transaction commerciale. (Par exemple, lorsque vous acceptez un don par l'intermédiaire d'un logiciel de collecte de fonds tiers comme Zeffy, vous pouvez partager les renseignements nécessaires à la réalisation de la transaction.) Il vous incombe toutefois de vous assurer que toutes les parties respectent la Loi 25.⁶

‍

‍

Depuis le 22 septembre 2023, un OBNL qui collecte et stocke des renseignements personnels doit :

1. Créer ou mettre à jour une politique de confidentialité qui définit clairement les renseignements personnels que vous collectez et stockez, ainsi que l'utilisation que vous en faites. Votre politique de confidentialité doit être facile à comprendre et disponible sur le site Web de votre OBNL ou, si vous n'avez pas de site Web, dans un autre endroit accessible.⁶
2. Mettre en œuvre la « confidentialité par défaut ».¹ (Cela signifie que, par défaut, vous ne pouvez pas collecter ni stocker de renseignements personnels. Vous devez désormais obtenir un consentement chaque fois que vous recueillez les renseignements personnels d'une personne.)
3. Vous familiariser avec les nouvelles règles entourant le consentement requis pour collecter, communiquer ou utiliser des renseignements personnels.
4. Être en mesure de détruire les renseignements personnels lorsque vous n'en avez plus besoin. Ou savoir comment les anonymiser afin de pouvoir les utiliser ultérieurement à des fins sérieuses et légitimes.^1,6
5. Respecter les nouvelles règles de transparence :¹
6. Fournir une explication simple et claire des raisons pour lesquelles vous avez besoin des renseignements personnels d'une personne et de la façon dont vous prévoyez les utiliser.
7. Présenter clairement et obtenir le consentement chaque fois que vous collectez les renseignements personnels d'une personne.
8. Informer une personne lorsque ses renseignements personnels ont été utilisés dans le cadre d'un processus de prise de décision automatisé.
9. Informer une personne avant d'utiliser une technologie susceptible de l'identifier, de la localiser ou de la profiler, et lui indiquer comment la désactiver ou l'éviter.
10. Diffuser vos politiques et procédures en matière de confidentialité à toutes les personnes dont vous collectez les renseignements personnels au moyen d'une technologie (comme votre site Web ou votre application).
11. Traiter les demandes et les plaintes concernant la gestion des renseignements personnels par votre OBNL.
12. Créer et réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) lorsque requis. (Par exemple, avant de communiquer des renseignements personnels à l'extérieur du Québec.)
13. Se conformer aux nouvelles règles de communication de renseignements personnels à l'extérieur du Québec.
14. Respecter les nouvelles règles entourant la collecte de renseignements personnels d'un mineur. (Les parents doivent consentir à la collecte, à l'utilisation et à la communication des renseignements personnels d'un mineur de moins de 14 ans.)
15. Respecter le droit à la cessation de diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli).

Consultez Vers la conformité à la Loi sur le privé pour en savoir plus ou New Privacy Obligations for Businesses.

‍

D'ici le 22 septembre 2024, les OBNL devront :

• Veiller à ce que vos systèmes de gestion des données permettent le téléchargement et le transfert des renseignements personnels. (Loi 25 / Bill 64 - Privacy changes are coming to Québec: Are you ready?^1,6

‍

Oui, des amendes sont prévues si votre OBNL ne respecte pas la Loi 25.

La Commission d'accès à l'information du Québec peut imposer des sanctions en cas de non-conformité pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'entreprise. (Le montant le plus élevé étant retenu.)⁸

‍

C'était beaucoup d'information. Que doit faire un OBNL ?

Dans le doute, si vous stockez les renseignements personnels de vos donateurs, nous vous suggérons de suivre les règles et obligations énoncées dans la Loi 25. Si vous ne stockez aucun renseignement personnel de vos donateurs, mais que vous faites appel à des services tiers (comme Zeffy) pour vous aider à gérer vos activités de collecte de fonds, nous vous suggérons de vérifier auprès d'eux qu'ils respectent bien toutes les règles et obligations de la Loi 25. (Zeffy les respecte à la lettre !)

McMillan a publié une série en deux volets expliquant la Loi 25 et les deux épisodes valent le détour :

Partie 1 | Privacy 101 – Obligations Under Québec's New Act 25 : Why your business needs a privacy officer now

Partie 2 | Privacy 101 – Obligations Under Québec's New Act 25 : Why you must now record and report privacy violations

Et, Didomi est une excellente ressource (en anglais et en français).

Oh, et suivez la Commission d'accès à l'information du Québec sur Twitter pour rester au courant de toutes les nouveautés.