Courriels gratuits, conséquences coûteuses : les OBNL exposent leurs données sans le savoir

Ce qui est gratuit a toujours un prix… et pour les OBNL, ce prix pourrait être la perte de confiance du public.

Chaque jour, des milliers d’organismes à but non lucratif (OBNL), y compris des CPE, des maisons de jeunes, des centres communautaires et des organismes de santé, utilisent des services comme Gmail ou Outlook.com pour envoyer, recevoir et stocker des informations sensibles. Séduits par les offres gratuites de Microsoft 365 ou Google Workspace pour les organismes, ils y voient une économie bien utile. Mais cette économie cache une bombe à retardement.

🎯 Une responsabilité juridique et morale

Depuis l’entrée en vigueur de la Loi 25, les OBNL ont une obligation légale de protéger les renseignements personnels qu’ils détiennent. Cette responsabilité va bien au-delà de la simple bonne foi : elle impose des mécanismes rigoureux de gouvernance, de chiffrement, de journalisation et de contrôle des accès.

En utilisant des outils gratuits non configurés pour la conformité, les OBNL s’exposent à des risques graves — souvent sans même en être conscients.

🧯 Une fausse impression de sécurité

Microsoft et Google offrent des comptes professionnels gratuits aux OBNL. Interface conviviale, adresse courriel personnalisée, espace de stockage… tout semble conforme.

Mais la réalité est plus troublante :

• Les serveurs sont souvent situés hors Québec, sans garanties de respect des exigences locales de confidentialité.
• Les paramètres de sécurité par défaut sont insuffisants.
• Aucune traçabilité sérieuse des accès et des modifications n’est activée.

En bref : ces outils ne sont pas conçus pour respecter la Loi 25, sauf s’ils sont rigoureusement paramétrés par des professionnels en sécurité de l’information.

⚠️ Trois dangers invisibles… mais bien réels

1. Les courriels non chiffrés

La majorité des OBNL envoient par courriel des documents confidentiels : formulaires d’inscription, diagnostics, données financières, photos d’enfants, etc. Or, ces courriels circulent en clair, sans chiffrement de bout en bout, ce qui les rend vulnérables à l’interception.

2. Le stockage sauvage sur OneDrive ou SharePoint

Les pièces jointes finissent souvent sur OneDrive ou SharePoint, partagées via des liens accessibles à quiconque les reçoit. Aucun encadrement des accès, aucun registre des consultations, aucune durée de conservation claire. Et parfois, des années de documents sensibles restent accessibles à d’anciens bénévoles ou employés.

3. Le partage à tout vent

Un lien SharePoint transféré par erreur, un ancien bénévole qui a encore accès à son compte Gmail, un employé qui copie des fichiers sur son cellulaire personnel… Voilà comment des milliers de renseignements personnels se retrouvent dans la nature.

🧨 Conséquences : bien plus qu’un simple avertissement

• Plainte à la CAI : tout usager peut porter plainte, déclenchant une enquête.
• Amendes administratives : jusqu’à 25 M$ ou 4 % du chiffre d’affaires annuel mondial.
• Responsabilité des administrateurs : en cas de négligence, les dirigeants peuvent être personnellement poursuivis.
• Perte de financement : les bailleurs de fonds exigent désormais la conformité à la Loi 25.
• Bris de confiance : pour un OBNL, c’est souvent le début de la fin.

🛡️ Il est temps d’agir : sortir de la naïveté numérique

La réalité est simple : utiliser un outil gratuit sans l’encadrer, c’est comme laisser la porte de votre organisme grande ouverte la nuit.

Chaque OBNL doit maintenant :

1. Mettre fin à l’utilisation non encadrée de comptes gratuits.
2. Adopter une politique rigoureuse de gestion des communications électroniques.
3. Former son personnel et ses bénévoles.
4. Faire évaluer ses outils numériques par des experts en Loi 25.

🔚 En conclusion

Les intentions sont bonnes. Mais la conformité, elle, ne dépend pas des intentions : elle repose sur des faits, des outils adaptés et une gouvernance sérieuse. Il ne suffit plus de « faire de son mieux » : il faut agir avec méthode, rigueur et transparence.