La loi 25 du Québec et ce qu'elle signifie pour les organisations à but non lucratif.

Le Québec n'est pas étranger aux lois sur la protection de la vie privée. Il a été la première province à se doter d'une législation sur la protection de la vie privée au début des années 1990, mais ces lois n'avaient pas beaucoup de pouvoir réel^.1 La loi 25 change cela.

La loi 25 (anciennement projet de loi 64) adapte les lois existantes protégeant les renseignements personnels des Québécois aux réalités numériques et technologiques d'aujourd'hui et ajoute des exigences pour toute personne faisant des affaires au Québec, et non seulement pour les organisations basées au Québec.

‍

‍

L'essentiel :

• Les nouvelles règles et réglementations s'appliquent à toute organisation privée (entreprise) qui collecte, traite ou communique des informations personnelles^.2
• Si votre organisation à but non lucratif ne recueille ni ne stocke les données personnelles de vos bénévoles, donateurs ou membres de l'équipe, vous pouvez ignorer cet article et vous contenter de contacter les fournisseurs tiers que vous utilisez (comme Zeffy) et de leur demander s'ils respectent les règles et réglementations de la loi 25.
• Si vous utilisez la plateforme de collecte de fonds de Zeffy, vous n'avez rien à craindre : nous suivons à la lettre les règles et réglementations de la loi 25.
• Si vous stockez des informations personnelles sur vos bénévoles, vos donateurs ou les membres de votre équipe, poursuivez votre lecture.

‍

La loi 25 est introduite progressivement, ce qui donne aux organisations à but non lucratif le temps de se préparer.

Conçue pour protéger les Québécois et leurs informations personnelles, la loi 25 rend les organisations responsables des données qu'elles recueillent et stockent et les oblige à expliquer clairement pourquoi elles demandent vos informations et comment elles comptent les utiliser.

Certaines dispositions sont entrées en vigueur le 22 septembre 2022 et les autres entreront en vigueur en septembre 2023 et en septembre 2024^.3

‍

Quelles sont les obligations d'une organisation à but non lucratif en vertu de la loi 25 ?

Comme le veut la tradition juridique, les termes utilisés sont assez ambigus, ce qui signifie qu'il n'existe pas de liste précise des organisations qui doivent se conformer à la loi 25. Elle stipule seulement que toute entreprise privée qui collecte, traite ou communique des informations personnelles est soumise aux nouvelles règles et réglementations^.4 Et cela inclut les organisations à but non lucratif et les organisations caritatives.

En droit québécois, une entreprise est une "activité économique organisée, de nature commerciale ou non, consistant à produire, administrer ou aliéner des biens, ou à fournir un service "⁵.

C'est une bonne chose. Ainsi, par exemple, les syndicats et les cliniques privées, comme un psychiatre, sont considérés comme des entreprises. Les organisations spirituelles et les religions ne sont pas considérées comme des entreprises, car leurs objectifs principaux sont spirituels et non économiques. Mais tout cela n'est pas très clair.

En cas de doute, il est préférable de suivre les dispositions de la loi 25 (elles sont conçues pour servir au mieux les intérêts de vos donateurs) ou de demander l'avis d'un professionnel.

Si votre organisation à but non lucratif recueille et stocke des informations personnelles, que devez-vous faire ?

Voyons ce qu'il faut faire et quand.

‍

À partir du 22 septembre 2022, toutes les organisations, y compris les organisations à but non lucratif, devront.. :

Désignez un responsable de la protection de la vie privée pour votre association.

Votre organisation à but non lucratif a besoin d'un responsable de la protection de la vie privée pour mettre en œuvre la loi 25^.6 et s'assurer qu'elle la respecte.

Quelques points à garder à l'esprit :

1. Le responsable de la protection de la vie privée doit être la plus haute autorité de votre organisation. (Par exemple, le PDG).
2. Si la plus haute autorité de votre organisation ne souhaite pas être le responsable de la protection de la vie privée, elle peut déléguer ce rôle à quelqu'un au sein de votre organisation.
3. Les coordonnées du responsable de la protection de la vie privée doivent être publiées sur votre site web.
4. Les ressources nécessaires (humaines, techniques et financières) doivent être mises à disposition pour que votre responsable de la protection de la vie privée puisse se conformer à la loi 25.

‍

Commencez à consigner les incidents liés à la confidentialité.

Vous savez que vous devez commencer à tenir un registre des incidents liés à la confidentialité (comme une violation de données) au cas où la Commission d'accès à l'information vous le demanderait^.6

Ce que cela signifie pour votre association :

1. Faites l'inventaire des informations personnelles conservées par votre association (ou par un tiers agissant en son nom) et évaluez leur sensibilité.
2. Mettre en place des mesures pour prévenir ou limiter le risque d'incident de confidentialité.
3. Établissez un plan d'intervention que votre organisation suivra en cas de violation de données.

Bien sûr, il y a une exception à chaque règle.

Les nouvelles règles vous autorisent à divulguer des informations personnelles sans consentement lorsque cela fait partie d'une transaction commerciale. (Par exemple, lorsque vous acceptez un don par l'intermédiaire d'un logiciel de collecte de fonds tiers tel que Zeffy, vous pouvez partager les informations nécessaires à la réalisation de la transaction). Toutefois, il vous incombe de veiller à ce que toutes les parties respectent la loi 25^.6.

‍

‍

À partir du 22 septembre 2023, les organisations à but non lucratif qui collectent et stockent des informations personnelles devront.. :

1. Créer ou mettre à jour une politique de confidentialité qui définit clairement les informations personnelles qu'elles collectent et stockent et ce qu'elles en font. Votre politique de confidentialité doit être facile à comprendre et être disponible sur le site web de votre organisation ou, si vous n'avez pas de site web, dans un autre endroit accessible^.6
2. Mettre en œuvre le principe de "privacy-by-default"^.1 (Cela signifie que, par défaut, vous ne pouvez pas collecter ou stocker d'informations personnelles. Vous devez désormais obtenir le consentement de la personne concernée chaque fois que vous recueillez ses données personnelles).
3. Prendre connaissance des nouvelles règles relatives au consentement nécessaire pour collecter, divulguer ou utiliser des informations à caractère personnel.
4. Être en mesure de détruire les informations personnelles lorsque vous n'en avez plus besoin. Ou savoir comment les rendre anonymes pour les utiliser ensuite à des fins sérieuses et légitimes^.1,6
5. Suivre les nouvelles règles de transparence^:1
6. Expliquer simplement et clairement pourquoi vous avez besoin des informations personnelles d'une personne et comment vous comptez les utiliser.
7. Présenter clairement et obtenir le consentement chaque fois que vous recueillez les informations personnelles d'une personne.
8. Informer une personne lorsque ses données personnelles ont fait l'objet d'un processus de prise de décision automatisé.
9. Informer une personne avant d'utiliser une technologie susceptible de l'identifier, de la localiser ou d'établir son profil, et lui indiquer comment la désactiver ou l'éviter.
10. Distribuer les politiques et procédures de protection de la vie privée à toutes les personnes dont les informations personnelles sont collectées à l'aide d'une technologie (comme votre site web ou votre application).
11. Traiter les demandes et les plaintes concernant la gestion des informations personnelles par votre association.
12. Créer et mener une évaluation des incidences sur la vie privée lorsque cela est nécessaire. (Par exemple, avant de divulguer des informations personnelles en dehors du Québec).
13. Respecter les nouvelles règles de divulgation des informations relatives au personnel en dehors du Québec.
14. Respecter les nouvelles règles relatives à la collecte d'informations personnelles d'un mineur. (Les parents doivent consentir à la collecte, à l'utilisation et à la divulgation des informations personnelles d'un mineur de moins de 14 ans).
15. Respecter le droit de cesser la diffusion, la réindexation ou la désindexation (ou le droit à l'oubli).

Voir Vers la conformité à la Loi sur le privé pour plus d'informations ou Nouvelles obligations des entreprises en matière de protection de la vie privée.

‍

D'ici le 22 septembre 2024, les organisations à but non lucratif devront :

• S'assurer que leurs systèmes de gestion des données permettent le téléchargement et le transfert d'informations personnelles.(Loi 25 / Bill 64 - Des changements en matière de protection de la vie privée s'annoncent au Québec : Êtes-vous prêt?^1,6

‍

Oui, des amendes sont prévues si votre association ne respecte pas la loi 25.

La Commission d'accès à l'information du Québec Commission d'accès à l'information du Québec peut imposer des pénalités pour non-conformité allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial d'une entreprise (selon le montant le plus élevé). (le montant le plus élevé étant retenu⁾⁸.

‍

C'était beaucoup d'informations. Que peut faire une organisation à but non lucratif ?

En cas de doute, si vous conservez les données personnelles de vos donateurs, nous vous conseillons de suivre les règles et réglementations énoncées dans la loi 25. Si vous ne conservez pas les données personnelles de vos donateurs, mais que vous utilisez des services tiers (tels que Zeffy) pour vous aider à gérer vos activités de collecte de fonds, nous vous conseillons de vérifier auprès d'eux qu'ils respectent toutes les règles et réglementations de la loi 25. (Zeffy les respecte à la lettre !)

McMillan a publié une série en deux parties expliquant la loi 25 et les deux épisodes valent la peine d'être écoutés :

Partie 1 - Vie privée 101 - Obligations en vertu de la nouvelle loi 25 du Québec : pourquoi votre entreprise a besoin d'un responsable de la protection des renseignements personnels dès maintenant

Partie 2 - Vie privée 101 - Obligations en vertu de la nouvelle loi 25 du Québec : Pourquoi vous devez désormais enregistrer et signaler les violations de la vie privée?

Didomi est une excellente ressource (en anglais et en français).

Et suivez la Commission d'accès à l'information du Québec sur Twitter pour vous tenir au courant de l'actualité.