Loi 25 et OBNL : ce que les organismes oublient presque toujours sur leur site
Les OBNL collectent souvent plus de données que les entreprises commerciales — dons, bénévoles, membres, inscriptions, photos. Pourtant, les obligations Loi 25 qui s'y rattachent sont rarement connues des équipes en place.
7 min de lecture
Pourquoi les OBNL sont particulièrement exposés
La Loi 25 s'applique à toute organisation qui collecte des renseignements personnels au Québec — y compris les OBNL, les associations et les fondations, quelle que soit leur taille.
La réalité des organismes, c'est que la collecte est diffuse : un formulaire de don ici, une liste de bénévoles là, un espace membres ailleurs, des photos publiées sans consentement documenté. Chacun de ces points est un risque distinct.
Ce qui suit sont des situations réelles — anonymisées et modifiées — observées lors d'audits de sites d'OBNL québécois. Elles illustrent des erreurs structurelles, pas des oublis ponctuels.
- 1
Le formulaire de don ne mentionne pas la finalité de la collecte
Cas observé
Fondation culturelle de Montréal. Le formulaire de don en ligne capture nom, prénom, adresse, courriel et numéro de carte. Le bouton est « Faire un don ». Aucune phrase n'explique à quoi serviront les données — ni pendant combien de temps elles seront conservées.
Pourquoi c'est un problème
Les données collectées lors d'un don ont une double vie : elles servent à émettre le reçu fiscal, mais aussi, souvent, à alimenter une liste de relance pour les dons futurs. Ces deux finalités sont distinctes et doivent toutes deux être annoncées au moment de la collecte.
Comment corriger
Ajoutez une ligne sous le formulaire : « Vos informations sont utilisées pour traiter votre don et émettre votre reçu fiscal. Avec votre accord, elles pourront aussi être utilisées pour vous informer de nos activités. » Puis une case à cocher distincte pour l'accord aux communications.
Art. 12 et 14
- 2
L'infolettre des bénévoles est gérée hors de tout cadre de consentement
Cas observé
Association de quartier de Québec. Les bénévoles sont inscrits à une liste de diffusion interne par le coordonnateur, sans qu'ils aient explicitement consenti à recevoir des communications. La liste n'a pas de mécanisme de désabonnement.
Pourquoi c'est un problème
Les bénévoles sont des personnes physiques dont l'adresse courriel constitue un renseignement personnel. Même dans un contexte interne, la collecte et l'utilisation de cette donnée doit être consentie — et le désabonnement rendu possible.
Comment corriger
Lors de l'inscription au bénévolat (formulaire en ligne ou en personne), ajoutez une case : « J'accepte de recevoir les communications de [Organisme] liées à mes activités de bénévolat. » Ajoutez un lien de désabonnement dans chaque courriel.
Art. 12 et 14
- 3
L'espace membres ne précise pas qui voit quoi
Cas observé
Association professionnelle avec portail membres. Les membres voient leur profil, mais aussi — sans s'en rendre compte — les profils des autres membres : nom, titre, organisation, courriel. Aucune mention dans la politique de confidentialité.
Pourquoi c'est un problème
Dans un portail membres, les renseignements personnels d'un membre peuvent être accessibles à d'autres membres. Cette divulgation doit être annoncée clairement et le membre doit pouvoir choisir quelles informations rendre visibles.
Comment corriger
Ajoutez dans la politique de confidentialité une section « Espace membres » qui explique quelles données sont visibles par les autres membres, lesquelles sont réservées aux administrateurs, et comment modifier ses préférences de visibilité.
Art. 12, 17 et 63
- 4
Le formulaire d'inscription aux activités ne distingue pas les mineurs
Cas observé
Organisme jeunesse du Bas-Saint-Laurent. Les familles inscrivent leurs enfants via un formulaire en ligne. Le formulaire capture le nom de l'enfant, sa date de naissance, son groupe, et le courriel du parent. Aucun traitement différencié pour les données de mineurs.
Pourquoi c'est un problème
Les données personnelles des mineurs bénéficient d'une protection renforcée sous la Loi 25. Le consentement doit être obtenu du tuteur légal, pas de l'enfant. La politique de confidentialité doit l'indiquer explicitement.
Comment corriger
Ajoutez une mention dans le formulaire : « Pour les participants de moins de 14 ans, le consentement doit être fourni par un tuteur légal. » Mettez à jour la politique de confidentialité pour inclure une section sur les données des mineurs.
Art. 4.1 — Protection renforcée pour les mineurs
- 5
Les photos de participants sont publiées sans consentement documenté
Cas observé
OBNL en arts communautaires de Laval. Le site publie régulièrement des photos d'ateliers et d'événements. Les participants ne signent aucun formulaire. L'organisme suppose que la présence à l'événement vaut consentement.
Pourquoi c'est un problème
Une photo dans laquelle une personne est identifiable constitue un renseignement personnel. La présence à un événement public ne suffit pas comme base de consentement pour la publication en ligne. Un formulaire ou une mention explicite est requis.
Comment corriger
Créez un formulaire de consentement photo simple (papier ou numérique) à faire signer lors de l'inscription ou à l'entrée des événements. Pour les photos déjà publiées, évaluez si des visages identifiables doivent être floutés ou les photos retirées.
Art. 12 — Collecte de données par l'image
- 6
La bannière de cookies traite tous les visiteurs de la même façon
Cas observé
Coopérative d'habitation avec site vitrine. La bannière propose « Accepter » ou « Refuser ». Mais elle ne distingue pas les cookies nécessaires (session, sécurité) des cookies analytiques (Google Analytics). Un clic sur « Refuser » ne désactive pas réellement GA — le script part quand même.
Pourquoi c'est un problème
Le refus des cookies non essentiels doit être opérationnel, pas seulement déclaratif. Si Google Analytics se charge malgré le refus, la bannière est non conforme — même si elle a l'air correcte visuellement.
Comment corriger
Configurez votre CMP (Cookiebot, Axeptio, CookieYes ou autre) pour que les scripts non essentiels soient réellement bloqués jusqu'à l'acceptation. Testez en inspectant le réseau après avoir refusé — aucune requête vers google-analytics.com ou des domaines tiers ne devrait apparaître.
Art. 8
- 7
Aucun moyen concret d'exercer ses droits sur les données
Cas observé
Association de défense des droits avec 2 000 membres. La politique de confidentialité mentionne les droits d'accès et de suppression. Mais il n'y a aucun formulaire, aucune adresse dédiée, aucune instruction. Juste : « Contactez-nous pour exercer vos droits. »
Pourquoi c'est un problème
Mentionner un droit sans fournir le moyen de l'exercer n'est pas suffisant. Une personne qui demande la suppression de ses données doit savoir précisément comment formuler sa demande et dans quel délai elle recevra une réponse.
Comment corriger
Ajoutez dans votre politique de confidentialité : une adresse courriel dédiée (ex. : donnees@organisme.ca), le délai de réponse que vous vous engagez à respecter (30 jours est une référence raisonnable), et la procédure si la demande est complexe.
Art. 27 à 30
Ce que le pré-audit détecte sur votre site d'OBNL
- Présence et conformité de la bannière de cookies — y compris le blocage réel des scripts tiers.
- Mentions dans les formulaires de don, d'inscription et de bénévolat.
- Accessibilité et pertinence de la politique de confidentialité.
- Identification du responsable de la protection des renseignements (RPRP).
- Présence d'un mécanisme pour exercer ses droits.
Les cas de photos de participants, d'espaces membres et de données de mineurs sont couverts dans l'audit complet — ils nécessitent une analyse manuelle des pages concernées.
Votre organisme est concerné ?
Vérifiez les zones à risque de votre site — gratuitement
Le pré-audit est gratuit et instantané. En 2 minutes, vous soumettez l'URL de votre site. Votre rapport apparaît immédiatement avec les points prioritaires à corriger.
Ce contenu est basé sur des cas réels observés lors d'audits de sites d'OBNL québécois — anonymisés et modifiés. Aucun témoignage fictif.
Faire le pré-audit gratuit de mon siteSans engagement · Aucune carte requise · Résultats instantanés
Guide Loi 25 pour les OBNL →
Vue d'ensemble des obligations — 5 min de lecture
Les 10 erreurs les plus fréquentes →
Tous types d'organisations — 8 min de lecture
Cet article est fourni à titre informatif. Il ne constitue pas un avis juridique.