Audit Loi 25 pour OBNL : ce que vous devez vérifier sur votre site web

Les organismes à but non lucratif québécois font partie des organisations les plus exposées à la Loi 25 — et paradoxalement, souvent parmi les moins bien préparées. Inscriptions en ligne, formulaires de don, gestion de membres, campagnes de financement par courriel : les OBNL collectent des renseignements personnels à chaque interaction avec leur communauté. Ce guide présente une liste de vérification concrète pour auditer votre site.

Lancez un pré-audit gratuit de votre site pour obtenir un portrait rapide de vos zones à risque.

Pourquoi les OBNL sont particulièrement exposés

• La diversité des données collectées : inscriptions, dons, bénévolat, activités impliquant des mineurs — chaque type de formulaire soulève des exigences différentes.
• La multiplicité des outils tiers : plateformes de don (CanaDon, Zeffy), billetterie (Eventbrite), infolettres (Mailchimp), analytics (Google Analytics) — autant de cookies à déclarer et gérer.
• L'absence de ressources internes dédiées : la conformité repose souvent sur des bénévoles ou des employés polyvalents sans expertise juridique.

Liste de vérification : les 6 points d'un audit Loi 25 pour OBNL

Point 1 — Bannière de consentement aux cookies

Votre site affiche-t-il une bannière de cookies ? Si oui, vérifiez : (a) le bouton « Refuser » est-il aussi visible que « Accepter » ? (b) les cookies de Google Analytics ou de vos outils de billetterie sont-ils bloqués jusqu'au consentement ? (c) la bannière est-elle en français ? (d) l'utilisateur peut-il modifier ses préférences ultérieurement ?

Point 2 — Politique de confidentialité

Vérifiez qu'elle est accessible depuis toutes les pages, liste vos outils tiers, explique les droits des membres et donateurs, et indique le nom ou le titre de votre responsable désigné.

Point 3 — Formulaires d'inscription et de don

Pour chaque formulaire : la finalité est-elle expliquée ? Les cases de consentement à l'infolettre sont-elles décochées par défaut ? Les données de mineurs sont-elles collectées avec le consentement d'un parent ou tuteur ?

Point 4 — Plateforme de don ou billetterie

Si vous utilisez CanaDon, Zeffy, Eventbrite ou similaire, cette plateforme doit être mentionnée dans votre politique de confidentialité comme transfert de données à un tiers.

Point 5 — Outils d'analyse et de communication

Google Analytics, Mailchimp, Constant Contact transfèrent des données hors Québec. Votre politique doit le mentionner, et leurs cookies doivent être bloqués avant le consentement.

Point 6 — Responsable désigné

Qui est responsable de la protection des renseignements personnels dans votre organisation ? Ce nom ou ce titre doit être publié sur votre site. Cette obligation est en vigueur depuis septembre 2022.

Les 4 erreurs typiques des OBNL lors d'un audit

• Utiliser une politique de confidentialité copiée d'un modèle : elle ne reflète pas vos pratiques réelles et ne mentionne pas vos outils spécifiques.
• Négliger les formulaires d'inscription avec des mineurs : données particulièrement sensibles qui nécessitent un traitement et une documentation spécifiques.
• Ne pas avoir de bannière sur les pages secondaires : la bannière doit apparaître sur toutes les pages du site, incluant les pages événements et de don.
• Croire que la petite taille est une protection : la CAI ne dispose d'aucun seuil de taille pour déclencher une enquête.

Comment procéder à l'audit de votre OBNL

La démarche la plus efficace est de commencer par un pré-audit externe de votre site web. Notre pré-audit gratuit analyse votre site en quelques minutes et identifie les zones à risque les plus visibles. Si les résultats révèlent des lacunes significatives, un audit complet vous donne un plan d'action concret et transmissible à votre CA ou à votre agence web, sous 48 heures.