Commandants d’OSBL, préparez-vous pour un voyage dans l’univers de la conformité numérique. Votre mission, si vous l’acceptez : protéger les données de vos précieux donateurs et bénéficiaires. Embarquez avec nous pour comprendre comment la loi 25 s’applique spécifiquement à votre OSBL.

Pourquoi votre OSBL doit-il se conformer à la loi 25?

Détrompez-vous, les OSBL ne sont pas exemptés de la loi 25. En fait, votre OSBL collecte une variété de données sensibles :

  • Informations sur les donateurs

  • Coordonnées des bénéficiaires

  • Données des membres et bénévoles

  • Informations bancaires pour les dons récurrents

  • Listes d’envoi pour les infolettres

En plus de vous conformer à la loi 25, votre transparence dans la gestion de vos données renforcera la confiance de vos donateurs. Suivez les 5 étapes ci-dessous pour adopter une gestion hors-pair des données collectées.

5 étapes pour conformer votre OSBL à la loi 25

1 – Faire l’inventaire des données récoltées

Commencez par faire l’inventaire de toutes les données que votre OSBL collecte, comme un astronaute qui cartographie une nouvelle planète :

  • Quelles informations recueillez-vous?
  • Comment sont-elles recueillies?
  • Où sont-elles stockées?
  • Qui y a accès?
  • Combien de temps sont-elles conservées?

2 – Nommer un responsable de la protection des données

Cette étape permet de désigner votre « pilote de la protection des données ». Le rôle s’avère différent en fonction de la taille de votre OSBL :

Le responsable peut être : 

  • Un membre de la direction
  • Le coordonnateur principal
  • Un bénévole expert en technologie

Ses responsabilités : 

  • Maintenir un registre simple des données
  • Gérer les demandes d’accès basiques
  • Former les bénévoles aux bonnes pratiques
  • Être le point de contact pour la CAI

Le responsable peut être : 

  • Un employé dédié à temps partiel
  • Un membre de l’équipe TI existante
  • Un responsable administratif formé

Ses responsabilités : 

  • Développer des politiques de protection de données
  • Superviser la formation du personnel
  • Gérer les incidents de sécurité
  • Mettre à jour les processus

Le responsable peut être : 

  • Un responsable à temps plein
  • Une équipe de support
  • Des représentants par département

Ses responsabilités : 

  • Stratégie globale de protection
  • Audits réguliers
  • Programme de formation continue
  • Gestion des risques

3 – Mettre à jour vos formulaires de consentement

Vos formulaires de don et d’inscription doivent maintenant expliquer pourquoi vous collectez les données tout en offrant la possibilité de choisir les informations partagées ou de retirer leur consentement.

En créant de nouveaux formulaires ou en modifiant les anciens, assurez-vous d’utiliser un langage simple et accessible pour les utilisateurs de votre site Web.

Nos pilotes peuvent vous aider à démarrer le processus de conformité à la loi 25 :

  • Installation d’une page dédiée à la politique de confidentialité;

  • Installation d’une bannière pop-up de consentement;

  • Installation des balises adéquates de collecte de données;

  • Audit vérificatif des installations ci-dessus.

4 – Sécuriser vos données

Pour assurer une protection supplémentaire des données, nous vous suggérons d’implémenter ces bonnes pratiques :

  • Utilisez des mots de passe forts.
  • Faites des sauvegardes régulières.
  • Gardez vos antivirus à jour.
  • Limitez l’accès aux seules personnes autorisées.
  • Ayez une authentification à deux facteurs.
  • Assurez une formation du personnel en continu.

Les données récoltées doivent être protégées comme une station spatiale protège son équipage. Ces bonnes pratiques ne sont pas requises par la loi 25, mais vous permettront de limiter les fuites de données et de gagner la confiance de vos donateurs.

5 – Préparer votre procédure en cas de fuite

Même les meilleures stations spatiales peuvent avoir des fuites. Préparez un plan d’urgence.

Recueillez les informations compromises et la raison de la fuite.  

Tentez de résoudre le problème vous-même ou avec votre responsable des TI. Il faut souvent des compétences spécialisées. Contactez des experts externes en cybersécurité pour vous aider. 

Votre équipe TI, votre conseiller juridique, vos ressources humaines, votre équipe de relations publiques et votre conseil d’administration doivent être mis au courant pour adopter un message uniforme.

Vous devez informer vos donateurs, bénévoles, membres et partenaires touchés par la fuite de données. La loi sur le protection des renseignements personnels et les documents électroniques l’oblige maintenant. 

Quels sont les risques de non-conformité à la loi 25?

Comme un vaisseau spatial sans bouclier de protection, un OSBL non conforme s’expose à de sérieux dangers.

  • Sanctions financières : Ces sanctions peuvent gravement impacter votre capacité à poursuivre votre mission sociale.
  • Risques réputationnels : Vous pourriez perdre la confiance de vos donateurs générant possiblement une diminution des dons et du soutien communautaire.
  • Conséquences opérationnelles : Vos activités de collecte de données pourraient se voir suspendues et être surveillées par la Commission d’accès à l’information du Québec (CAI).

La conformité à la loi 25 peut sembler être un voyage dans l’inconnu, mais avec les bons outils et conseils, votre OSBL peut naviguer en toute sécurité dans cet espace réglementaire. En suivant ces étapes, vous assurez une protection des données conformes tout en bâtissant une relation de confiance avec vos donateurs.

Perdu dans la loi 25? Nos pilotes vous guideront gratuitement vers les bonnes ressources.