Loi 25 et OBNL : votre organisme est-il vraiment à l'abri ?
Beaucoup de directeurs d'OBNL pensent que la Loi 25, c'est pour les grandes entreprises. C'est une idée reçue qui peut coûter cher — en réputation, en confiance, et en énergie.
5 min de lecture
« On est un OBNL, pas une entreprise — ça ne nous touche pas, non ? »
Imaginez une coordonnatrice d'un organisme communautaire de Laval. Son site accepte les dons en ligne depuis trois ans. Elle reçoit un courriel d'un donateur qui lui demande pourquoi son adresse courriel a été ajoutée à la liste d'infolettre de l'organisme sans qu'il l'ait demandé.
Elle vérifie le formulaire de don : aucune case à cocher, aucune mention que l'adresse sera utilisée pour les communications. C'était automatique — standard dans l'outil de collecte de dons utilisé. Ce n'était pas malveillant. Juste pas conforme.
La Loi 25 s'applique à tous les organismes qui collectent des renseignements personnels au Québec — sans exception de taille, de mission ou de statut légal.
Ce que la Loi 25 dit sur les OBNL
Le mot « organisme » dans la loi inclut les associations, fondations, coopératives et organismes communautaires — pas seulement les entreprises commerciales.
C'est la collecte de renseignements personnels qui déclenche les obligations — nom, courriel, numéro de téléphone, adresse, historique de dons.
Il n'y a pas de seuil de taille. Un organisme de 3 bénévoles avec un formulaire de contact en ligne est concerné.
Vos donateurs, bénévoles et participants ont les mêmes droits que les clients d'une entreprise : savoir quelles données sont collectées, pourquoi, et par qui.
Les 4 situations typiques d'un OBNL qui collecte des données
Formulaire de don en ligne
Vous collectez le nom, le courriel, parfois l'adresse du donateur. Est-ce que vous expliquez clairement comment ces données sont utilisées ? Sont-elles partagées avec votre plateforme de paiement (Stripe, PayPal, Zeffy) sans que le donateur le sache ?
À vérifier : y a-t-il une mention visible sur l'usage des données dans votre formulaire de don ?
Inscriptions à des activités ou formations
Ces formulaires collectent parfois des informations plus sensibles — situation familiale, condition de santé pour certains services communautaires. Ces données ont-elles une durée de conservation définie ? Sont-elles supprimées après la fin de l'activité ?
À vérifier : savez-vous combien de temps ces données sont conservées et où elles sont stockées ?
Infolettre et communications
Vos abonnés savent-ils explicitement qu'ils s'inscrivent à votre liste ? Est-ce que se désabonner est aussi facile que s'abonner — un seul clic, sans démarches supplémentaires ?
À vérifier : le consentement à l'infolettre est-il distinct du consentement au formulaire principal ?
Cookies et outils de suivi
Votre site utilise probablement Google Analytics, un pixel de partage social, ou un outil de formulaire tiers. Ces outils collectent des données sur vos visiteurs. Sont-ils déclarés dans une bannière de consentement conforme — avec la possibilité de refuser ?
À vérifier : votre bannière de cookies permet-elle de refuser aussi facilement qu'accepter ?
Ce que vous devez vérifier en priorité sur votre site
Votre bannière de cookies permet de refuser aussi facilement qu'accepter
Vos formulaires expliquent pourquoi vous collectez les données et comment elles sont utilisées
Vous avez une politique de confidentialité à jour, accessible depuis toutes les pages
Vos donateurs savent que leur courriel sera ajouté à votre liste d'envoi — si c'est le cas
Votre site indique comment contacter le responsable de la protection des renseignements personnels
Pour aller plus loin : Checklist Loi 25 complète pour votre site
Un service pensé pour les organismes sans équipe TI
Le pré-audit gratuit d'auditloi25.ca a été conçu pour les organisations qui n'ont ni juriste ni équipe technique interne — et les OBNL québécois en font partie.
À partir du formulaire, on analyse les pages les plus critiques de votre site — formulaire de don, inscription, contact — et on vous remet un rapport clair sur les zones à risque. Pas de jargon. Pas de rapport de 40 pages. Juste ce que vous devez corriger, dans l'ordre.
Votre organisme collecte des données. Vous méritez de savoir si c'est fait dans les règles.
Pré-audit gratuit · Résultats sous 48 h · Aucun engagement, aucune carte requise
Obtenir mon pré‑audit gratuit