Loi 25 et OBNL québécois : vos obligations expliquées simplement

Les OBNL sont-ils vraiment soumis à la Loi 25 ?

C'est la question que posent en premier la plupart des dirigeants d'organismes à but non lucratif au Québec. La réponse est sans ambiguïté : oui. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) s'applique explicitement aux organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d'une activité commerciale ou à but non lucratif.

Cette précision — « à but non lucratif » — est inscrite dans le texte même de la loi. Il ne s'agit pas d'une interprétation : si votre OBNL a un site web avec un formulaire d'inscription, une boutique en ligne, un système de don, ou simplement un formulaire de contact, vous collectez des renseignements personnels et vous êtes soumis aux obligations de la Loi 25.

Les amendes prévues en cas de manquement sont identiques pour tous : jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les personnes morales. Le statut d'OBNL ne constitue pas une exemption.

Vos obligations concrètes en tant qu'OBNL

Voici les quatre obligations principales qui s'appliquent à la quasi-totalité des OBNL québécois disposant d'une présence web :

1. Une bannière de cookies conforme

Si votre site utilise des outils tiers — Google Analytics, pixels de réseaux sociaux, outils de formulaire, widgets de don — vous devez afficher une bannière de consentement aux cookies conforme aux exigences de la Commission d'accès à l'information (CAI). Cette bannière doit offrir un vrai bouton de refus, bloquer les cookies non essentiels avant le consentement, et être rédigée en français.

2. Une politique de confidentialité à jour

Votre politique de confidentialité doit être accessible depuis toutes les pages de votre site, rédigée en français clair, et couvrir les renseignements collectés, les finalités, la durée de conservation, les droits des personnes, et les transferts à des tiers. Un document générique copié en ligne ne suffit pas — il doit refléter vos pratiques réelles.

3. Des formulaires transparents

Chaque formulaire d'inscription, de don, de bénévolat ou de contact doit indiquer pourquoi ces renseignements sont demandés et comment ils seront utilisés. Les cases liées à l'infolettre ne doivent pas être pré-cochées.

4. Un responsable désigné

Votre OBNL doit désigner une personne responsable de la protection des renseignements personnels — souvent le directeur général ou un administrateur. Le nom ou le titre de cette personne doit être publié sur votre site web.

Exemples concrets par type d'organisme

Les obligations sont les mêmes pour tous, mais la mise en œuvre varie selon votre type d'organisme :

Association sportive

Vous gérez des inscriptions en ligne (nom, date de naissance, coordonnées des parents pour les mineurs). Ces données sont particulièrement sensibles. Votre formulaire d'inscription doit expliquer leur usage, votre politique doit préciser leur durée de conservation, et votre bannière doit bloquer tout pixel publicitaire de vos partenaires avant consentement.

Fondation caritative

Votre formulaire de don collecte des informations financières et personnelles. En plus des obligations habituelles, vous devez être particulièrement vigilant sur les transferts à des tiers (plateforme de paiement, CanaDon, etc.) et les mentionner dans votre politique. Si vous utilisez des outils de marketing par courriel pour les campagnes de financement, le consentement à la communication doit être distinct du don lui-même.

Regroupement professionnel

Vous gérez un répertoire de membres, souvent avec des données professionnelles (numéro de permis, spécialité, coordonnées). Ces données ne peuvent être partagées avec des tiers sans consentement explicite. La politique de confidentialité doit couvrir clairement qui a accès au répertoire et dans quelles conditions.

OBNL culturel

Billetterie en ligne, listes de diffusion, partenariats médias : les OBNL culturels utilisent souvent de nombreux outils tiers. Chaque outil doit être déclaré dans votre politique de confidentialité et ses cookies correspondants gérés par votre bannière de consentement.

Les 4 erreurs typiques des OBNL

• Croire que la loi ne s'applique pas aux OBNL : c'est l'erreur la plus fréquente et la plus dangereuse. La L.Q. 2021, c. 25 est explicite sur ce point.
• Utiliser une politique de confidentialité copiée d'un modèle générique : les modèles trouvés en ligne ne reflètent pas vos pratiques réelles et ne mentionnent pas vos outils spécifiques (plateforme de don, billetterie, etc.).
• Négliger les formulaires d'inscription : les formulaires pour les activités, les bénévoles ou les membres collectent souvent des données sensibles (coordonnées de mineurs, informations médicales pour les activités sportives) qui nécessitent un traitement particulier.
• Ne pas désigner de responsable : cette obligation est en vigueur depuis septembre 2022. Beaucoup d'OBNL ont simplement oublié de nommer quelqu'un et de le publier sur leur site.

Si votre OBNL est actuellement en situation de non-conformité, il n'est pas trop tard pour agir. Un audit de conformité vous permet d'identifier rapidement les lacunes à corriger et d'obtenir un plan d'action concret — avant qu'une plainte à la CAI ne force votre main.