OBNL: comment se conformer à la Loi 25 ?

Lucie L’Espérance
Adjointe

La loi 25, entrée en vigueur au Québec en 2021 pour renforcer la protection des informations personnelles des utilisateurs, représente une étape importante qui touche tous les secteurs, y compris les organismes à but non lucratif (OBNL). Mais qu’est-ce que cela signifie concrètement pour votre OBNL et comment pouvez-vous vous assurer que vous êtes en conformité tout en continuant à vous concentrer sur votre mission ?

À quel niveau la Loi 25 touche aussi les OBNL?

La loi 25 vise à renforcer la protection des informations personnelles des individus et cela inclut les données que vous collectez dans le cadre des activités de votre OBNL. Bien que vous ne soyez peut-être pas une entreprise commerciale, vos obligations en matière de confidentialité sont tout aussi rigoureuses. Être conforme à la loi 25, ce n’est pas seulement une question légale, c’est aussi une manière de renforcer la confiance de vos membres, donateurs et partenaires.

Par exemple, supposons que votre OBNL organise un événement où les participants doivent s’inscrire à l’avance. Voici ce qu’il faut prévoir afin de bien traiter les données personnelles tout au long du processus:

1. Collecte des données au moment de l’inscription

Au début du processus, lorsque les participants s’inscrivent en ligne ou en personne, vous recueillez des informations personnelles telles que le nom, l’adresse courriel, le numéro de téléphone, et potentiellement des informations supplémentaires comme l’organisation représentée ou les préférences alimentaires. Voici les points à surveiller;

  • Qui aura accès à ces données ?
  • Est-ce que ces données seront stockées dans une base de données sécurisée ?
  • Est-ce qu’il y aura des copies sauvegardées et si oui, à quel endroit?
  • Est-ce que cette collecte de données sera utilisée pour des infolettres?
  • Si oui, est-ce qu’il y a un consentement clair de la part du participant à cet effet?
2. Utilisation des données pour la gestion de l’événement

Une fois les données collectées, elles seront sûrement utilisées pour envoyer des confirmations d’inscription, des rappels avant l’événement et des informations logistiques. Ces informations peuvent également être utilisées pour personnaliser l’expérience de l’événement, comme la préparation des badges nominatifs ou l’organisation des sièges selon les préférences indiquées. Comme dans le point précédent, il est aussi important de s’assurer que les données seront conservées et utilisées de façon sécuritaire.

3. Gestion des données pendant l’événement

Durant l’événement, les données personnelles peuvent être utilisées pour gérer l’enregistrement à l’entrée, pour s’assurer que chaque participant reçoit les informations et les services appropriés, et pour le suivi des présences. Bien sûr qu’il ne doit pas y avoir de liste imprimée qui circule ou facilement visible au public durant l’événement. Par conséquent, il n’est plus permis de laisser les participants ajouter eux-mêmes leurs coordonnées sur une feuille à l’entrée, à la vue de tous.

4. Stockage et conservation des données après l’événement

Après l’événement, les données des participants peuvent également être utilisées pour recueillir des commentaires via des sondages post-événement. Ces données peuvent ensuite être archivées pour des fins de rapports, d’analyse ou pour faciliter les communications futures. Cependant, il est important de s’assurer que ces données sont stockées en conformité avec les réglementations en vigueur et que les participants sont informés de la manière dont leurs données seront utilisées et conservées. Un participant pourrait également faire la demande de suppression de ses données personnelles. Êtes-vous prêt à recevoir une telle demande? Avez-vous une procédure mise en place incluant un formulaire à faire signer par ce participant ?

5. Suppression des données non nécessaires

Enfin, toute donnée personnelle qui n’est plus nécessaire après l’événement doit être supprimée de manière sécurisée pour minimiser le risque de violation de la vie privée.

Autres situations possibles

En plus de l’organisation d’événements, voici quelques situations courantes où un OBNL pourrait être amené à traiter des informations personnelles et à se conformer à cette loi :

  • Gestion des membres
  • Collecte de dons
  • Gestion des employés et bénévoles
  • Services offerts aux bénéficiaires
  • Envois de communications
  • Relations avec des partenaires ou fournisseurs

Dans toutes ces situations, un OBNL doit mettre en place des politiques et des procédures pour protéger les renseignements personnels, obtenir le consentement lorsque nécessaire, assurer la confidentialité des informations, et garantir que ces données ne sont utilisées que pour les fins pour lesquelles elles ont été collectées

En résumé, se conformer à la loi 25 n’est pas seulement une obligation légale, mais aussi une opportunité de montrer à vos membres et donateurs que vous prenez leur confidentialité au sérieux. Avec les bonnes mesures en place votre OBNL peut non seulement respecter les exigences légales et éviter des pénalités, mais aussi renforcer sa crédibilité et sa confiance auprès de la communauté.

L’équipe de bête féroce comprend l’importance de gérer les données personnelles avec rigueur et responsabilité dans des projets cruciaux comme l’organisation d’événements ou la création de sites web.

La Commission d’accès à l’information du Québec est l’organisation gouvernementale qui a le pouvoir de faire respecter la loi 25. Le 22 septembre 2024 est une date importante parce qu’elle marque l’entrée en vigueur de plusieurs nouvelles dispositions de la loi 25. Pour en savoir plus; https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees

 

Lucie L’Espérance
Adjointe

Articles récents

Aller en haut de la page