Depuis septembre 2024, la Loi 25 (anciennement le projet de loi 64) est pleinement en vigueur au Québec. Et si vous gérez une association, une fédération ou un OBNL, ça vous concerne directement. Pas besoin d'être une multinationale pour être visé — dès que vous collectez des renseignements personnels (noms, courriels, adresses, dates de naissance de vos membres), vous avez des obligations.
Mais entre le texte de loi, les avis juridiques contradictoires et les articles alarmistes, c'est difficile de savoir exactement quoi faire. On a décidé de vous simplifier la vie avec ce guide pratique, écrit en français normal, pour les associations québécoises.
Ce que la Loi 25 change pour vous
La Loi 25 modernise le cadre de protection des renseignements personnels au Québec. En gros, elle donne plus de contrôle aux individus sur leurs données et impose plus de responsabilités aux organisations qui les collectent. Voici les points clés qui touchent directement les associations :
Le consentement doit être clair et spécifique. Fini les cases pré-cochées et les formulaires d'adhésion qui incluent automatiquement l'inscription à l'infolettre. Chaque utilisation des données de vos membres doit faire l'objet d'un consentement distinct. Si vous collectez un courriel pour l'adhésion, vous ne pouvez pas automatiquement l'utiliser pour du marketing sans demander séparément.
Vous devez nommer un responsable de la protection des renseignements personnels. Dans une petite association, ça peut être le directeur général ou le président du CA. L'important, c'est qu'une personne soit officiellement désignée et que ses coordonnées soient accessibles.
Vous devez avoir une politique de confidentialité. Et pas juste un document générique copié d'Internet. Votre politique doit expliquer clairement quelles données vous collectez, pourquoi, comment vous les utilisez, combien de temps vous les conservez et comment les membres peuvent exercer leurs droits.
Le droit à la portabilité. Vos membres peuvent demander à recevoir leurs données dans un format structuré et couramment utilisé. Concrètement, si un membre quitte votre association et demande ses données, vous devez être capable de les lui fournir.
La notification en cas d'incident. Si vous subissez une brèche de sécurité (vol de données, accès non autorisé, perte d'un ordinateur contenant des données membres), vous devez aviser la Commission d'accès à l'information et les personnes concernées.
Les erreurs les plus courantes
En travaillant avec des dizaines d'associations québécoises, on voit souvent les mêmes erreurs se répéter :
Penser que ça ne s'applique pas aux OBNL. C'est faux. La Loi 25 s'applique à toute personne qui exploite une entreprise au sens large, ce qui inclut les organismes à but non lucratif qui collectent des renseignements personnels dans le cadre de leurs activités.
Garder des données « au cas où ». Beaucoup d'associations conservent les données d'anciens membres indéfiniment. Or, la Loi 25 exige que vous ne conserviez les renseignements personnels que le temps nécessaire à la finalité pour laquelle ils ont été collectés. Si un membre quitte depuis 5 ans, avez-vous vraiment besoin de son adresse postale?
Utiliser des outils non sécurisés. Envoyer des listes de membres par courriel en pièce jointe Excel, stocker des données sur des clés USB non chiffrées, utiliser des mots de passe partagés — tout ça représente des risques de sécurité qui peuvent mener à des incidents de confidentialité.
Ne pas documenter ses pratiques. Même si vous faites les choses correctement, si vous ne pouvez pas le démontrer, vous êtes vulnérable. La Loi 25 impose une obligation de reddition de comptes.
Comment NORDAK vous aide à être conforme
Un CRM adapté aux associations québécoises comme NORDAK intègre nativement les exigences de la Loi 25 :
Gestion granulaire du consentement. Chaque membre peut donner ou retirer son consentement pour différents types de communications. L'historique des consentements est conservé automatiquement, ce qui vous protège en cas de vérification.
Politique de confidentialité intégrée. NORDAK génère automatiquement une politique de confidentialité adaptée à votre association, que vous pouvez personnaliser et publier directement sur votre portail membres.
Gestion des droits des membres. Droit d'accès, de rectification, de suppression — tout est gérable en quelques clics depuis le profil du membre. Et l'exportation des données pour la portabilité se fait en un clic.
Sécurité par défaut. Chiffrement des données, authentification à deux facteurs, journaux d'accès, gestion des rôles et permissions — la sécurité n'est pas une option, c'est la fondation.
Registre des incidents. En cas de brèche, NORDAK vous aide à documenter l'incident, à identifier les personnes touchées et à générer les notifications requises.
Votre plan d'action en 5 étapes
1. Nommez votre responsable de la protection des renseignements personnels et publiez ses coordonnées sur votre site web.
2. Faites l'inventaire de toutes les données personnelles que vous collectez, où elles sont stockées et qui y a accès.
3. Rédigez votre politique de confidentialité (ou utilisez le modèle fourni par NORDAK) et rendez-la accessible à vos membres.
4. Mettez à jour vos formulaires pour obtenir un consentement clair et spécifique pour chaque utilisation des données.
5. Centralisez vos données dans un outil sécurisé et conforme, plutôt que de les éparpiller dans des fichiers Excel, des boîtes courriel et des classeurs.
La conformité à la Loi 25, c'est pas juste une obligation légale — c'est une occasion de renforcer la confiance de vos membres. Quand les gens savent que leurs données sont traitées avec respect et transparence, ils sont plus enclins à s'engager et à rester.