Loi 25 : vos données membres sont-elles vraiment protégées ?

Qu’est-ce que la Loi 25 et pourquoi vous concerne-t-elle ?

La Loi 25, officiellement nommée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une législation québécoise entrée en vigueur progressivement depuis septembre 2022. Son objectif est de renforcer la protection des données personnelles des citoyens québécois.

Contrairement à une idée répandue, cette loi ne vise pas uniquement les entreprises commerciales. Toute organisation qui collecte, utilise ou communique des renseignements personnels au Québec est concernée, quels que soient sa taille ou son statut juridique.

Cela inclut directement :

• Les associations professionnelles et leurs membres
• Les fédérations et regroupements sectoriels
• Les ordres professionnels et leurs registres
• Les OBNL (organismes à but non lucratif)
• Les fondations et organismes caritatifs
• Les établissements d’enseignement et de formation
• Les institutions culturelles (musées, centres culturels, théâtres…)

Quelles données sont visées ? Vos fichiers membres, listes de donateurs, dossiers étudiants, contacts bénévoles, inscriptions aux événements, candidatures… Bref, toute information permettant d’identifier une personne.

Les dates clés d’entrée en vigueur

La Loi 25 s’applique en trois phases. Attention : toutes ces obligations sont déjà en vigueur.

• Septembre 2022 : désignation du responsable de la protection des renseignements personnels, tenue du registre des incidents, nouvelles règles de communication des données.
• Septembre 2023 : mise en place des politiques de gouvernance, consentement renforcé, droit à l’effacement, évaluation des facteurs relatifs à la vie privée (EFVP).
• Septembre 2024 : droit à la portabilité des données.

Les obligations concrètes pour votre organisation

Désigner un responsable de la protection des renseignements personnels

Par défaut, la Loi 25 attribue ce rôle à la personne ayant la plus haute autorité au sein de l’organisation : directeur général, président ou secrétaire général, selon votre structure.

Cette fonction peut être déléguée, en tout ou en partie, à une autre personne. Dans une association ou une fédération, il s’agit souvent du délégué général ou d’un membre de la direction.

Tenir un registre des incidents de confidentialité

Un incident de confidentialité, c’est tout événement impliquant un accès non autorisé, une utilisation ou une communication non autorisée de renseignements personnels, ou encore leur perte.
Quelques exemples concrets pour une OBNL :

• Un fichier Excel contenant les coordonnées de vos 500 membres est envoyé par erreur à un mauvais destinataire.
• Un ordinateur portable contenant des données de donateurs est volé.
• Un ancien employé conserve un accès à votre base de données après son départ.

Vous devez consigner tous les incidents dans un registre, y compris ceux qui semblent mineurs. Si un incident présente un risque sérieux de préjudice, vous êtes tenu d’aviser la Commission d’accès à l’information (CAI) ainsi que les personnes concernées.

Un projet CRM, c’est 20 % de technologie et 80 % d’humain. Lorsqu’on implique les équipes dès le départ, l’outil devient naturellement un levier du quotidien plutôt qu’une contrainte. Cette co‑construction garantit une meilleure adoption, des usages pertinents et une réelle création de valeur pour l’organisation.

Agneta RONCERET

Responsable produit

Mettre en place un programme de gouvernance des données

Depuis septembre 2023, votre organisation doit disposer de politiques et de pratiques encadrant la gestion des renseignements personnels. Ce programme de gouvernance doit inclure :

• Les rôles et responsabilités du personnel en matière de protection des données
• Le processus de traitement des plaintes et des demandes d’accès
• Un plan de formation du personnel
• Un plan de réponse aux incidents de confidentialité
• Les règles de conservation et de destruction des données

Obtenir un consentement valide et éclairé

La Loi 25 renforce les exigences en matière de consentement. Celui-ci doit être :

• Manifeste : la personne doit poser un geste clair (fini les cases précochées)
• Libre : sans pression ni condition abusive
• Éclairé : la personne comprend à quoi elle consent
• Spécifique : donné pour des fins précises et déterminées

Pour votre organisation, cela affecte directement vos formulaires d’adhésion, vos inscriptions aux événements, vos collectes de dons en ligne ou vos dossiers étudiants. Chaque formulaire doit être revu afin d’en assurer la conformité.

Respecter le droit à l’effacement et à la portabilité

Deux nouveaux droits renforcent le contrôle des individus sur leurs données :

Concrètement, votre système doit permettre d’extraire rapidement et facilement les données d’un membre, d’un donateur ou d’un étudiant. Si vos informations sont réparties dans plusieurs fichiers Excel, cette obligation devient un véritable casse-tête.

Quels sont les risques en cas de non-conformité ?

Sanctions financières

La Commission d’accès à l’information du Québec dispose désormais d’un réel pouvoir de sanction. Les pénalités administratives peuvent atteindre :

Même pour une association ou une fondation de taille modeste, les amendes peuvent être significatives et mettre en péril la pérennité de l’organisation.

Risques réputationnels

Un incident de confidentialité mal géré peut ternir durablement l’image de votre organisation. La perte de confiance de vos membres, donateurs, étudiants ou partenaires a des conséquences directes sur votre activité.

Dans le milieu associatif, caritatif et éducatif, la confiance est votre actif le plus précieux. Une atteinte à votre réputation peut prendre des années à réparer.

Risques opérationnels

Sans processus clairs et outils adaptés, vous risquez de :

• Ne pas pouvoir répondre aux demandes d’accès ou de suppression dans le délai légal de 30 jours
• Être désorganisé en cas d’incident
• Perdre un temps considérable à chercher des informations dispersées

Pour beaucoup d’OBNL, la première vraie étape consiste à mettre de l’ordre dans ses données : cartographier, identifier et enfin comprendre où se trouvent les informations personnelles et sensibles que l’on doit protéger. Tant qu’elles dorment dans des Excel éparpillés, il est impossible d’assurer une gestion cohérente des consentements et de leurs effets — suppression, anonymisation, archivage… tout devient manuel, risqué et chronophage. Avec un CRM comme celui de la plateforme Eudonet, cette complexité disparaît : le consentement est centralisé, tracé et automatisé, ce qui redonne à l’organisation une maîtrise totale et une tranquillité d’esprit qui leur permet de se consacrer à 100% à leur mission.

Michaël NOVIC

Directeur général Canada

Comment un CRM facilite la conformité à la Loi 25 ?

Un CRM adapté aux associations, fédérations et OBNL n’est pas qu’un outil de gestion : c’est un levier majeur pour répondre aux exigences de la Loi 25.

Centralisation et traçabilité des données

Fini les fichiers Excel éparpillés sur les ordinateurs de chaque employé. Un CRM regroupe toutes les données de vos membres, donateurs ou étudiants dans un seul outil sécurisé.

Chaque modification, consultation ou suppression est automatiquement historisée. Cette traçabilité facilite la tenue du registre des incidents et répond aux exigences d’audit de la CAI.

Gestion des consentements

Un CRM permet de tracer précisément les consentements : date, source et finalité. Vous pouvez gérer les préférences de communication de chaque contact et traiter facilement les demandes de désabonnement ou d’effacement.

Lors d’un contrôle, vous êtes en mesure de démontrer que chaque personne a donné son consentement conformément aux exigences.

Sécurité et hébergement souverain

La sécurité des données est au cœur de la Loi 25. Un CRM professionnel offre :

• Des protocoles de sécurité conformes aux standards actuels
• Un hébergement sécurisé, idéalement au Canada
• Une gestion fine des droits d’accès par profil utilisateur

Eudonet : le CRM des associations, fédérations et OBNL au Québec

Eudonet accompagne depuis plus de 25 ans les organisations dans la gestion de leurs relations. Présent au Canada, Eudonet comprend les enjeux spécifiques du marché québécois ainsi que les exigences de la Loi 25.

Une plateforme pensée pour la conformité

Avec Eudonet, vous bénéficiez d’une solution qui intègre nativement les exigences de la Loi 25 :

• Centralisation de toutes vos données dans un environnement sécurisé
• Traçabilité complète des accès et modifications
• Gestion intégrée des consentements et préférences
• Extraction facilitée pour répondre aux demandes de portabilité
• Hébergement sécurisé au Canada

Approfondissez le sujet avec nos webinaires

Pour aller plus loin dans votre démarche de conformité, Eudonet met à votre disposition des ressources pratiques :

[REPLAY] LOI 25 – CONSENTEMENT

Ce webinaire couvre les essentiels : la gestion des données personnelles, le centre de gestion des consentements, des mises en situation pratiques et le Top 10 des actions à prendre dès maintenant.

[REPLAY] LOI 25 – CONFORMITÉ

Un focus concret sur l’application de la Loi 25 au sein de la plateforme Eudonet, avec des démonstrations et des conseils pratiques.

Conformité à la Loi 25 : ce qu’il faut retenir

La Loi 25 impose de nouvelles obligations à toutes les organisations québécoises qui gèrent des renseignements personnels. Associations, fédérations, ordres professionnels, fondations, établissements d’enseignement, ou encore institutions culturelles : personne n’est épargné. Les sanctions sont réelles, pouvant atteindre 25 millions de dollars, et toutes les obligations sont désormais en vigueur. Désignation d’un responsable, registre des incidents, programme de gouvernance, gestion des consentements, droit à l’effacement et à la portabilité : la liste est longue, mais accessible avec les bons outils.

Ne voyez pas la conformité comme une contrainte, mais comme une opportunité. C’est l’occasion de professionnaliser la gestion de vos données, d’éliminer les fichiers Excel dispersés et de renforcer la confiance de vos membres, donateurs ou étudiants. Un CRM adapté, comme Eudonet, vous permet de centraliser vos données, d’en assurer la traçabilité et de simplifier la gestion des consentements. Autant d’atouts essentiels pour répondre aux exigences de la Loi 25 en toute sérénité. Découvrez la plateforme Eudonet lors d’un rendez-vous personnalisé.