Données confidentielles : À qui font confiance les CPE?
10 février 2026
Aucun commentaire
J’ai récemment échangé avec le directeur régional d’un OBNL dédié aux personnes du troisième âge. Un organisme dont la mission est d’accompagner, soutenir et protéger des aînés.
La discussion a bifurqué vers la conformité à la Loi 25. Après réflexion — et après avoir été approché pour un accompagnement structuré — la conclusion a été simple :
« Ça ne s’applique pas à nous. »
Ce genre de réponse ne relève pas d’une nuance juridique. Elle relève d’un refus.
Et il faut le dire clairement : c’est préoccupant. C’est inacceptable.
La Loi 25 s’applique à toute organisation qui collecte, détient ou traite des renseignements personnels au Québec.
Un OBNL qui gère des dossiers d’aînés détient des informations sensibles. Des coordonnées, des renseignements financiers, parfois des données de santé, des informations sur des situations de vulnérabilité.
Il n’y a pas de zone grise ici. Il n’y a pas d’exception implicite pour les organismes « bien intentionnés ».
Dire que la loi ne s’applique pas, ce n’est pas une lecture prudente. C’est balayer l’enjeu du revers de la main.
Soyons honnêtes.
La mise en conformité à la Loi 25 exige du travail. Elle impose de revoir ses pratiques, de structurer ses processus, d’assumer des responsabilités formelles, de documenter ce qui était peut-être fait de manière informelle.
Cela demande du temps. De l’énergie. Une volonté de changement.
Ne pas vouloir s’en occuper, c’est une chose. Plusieurs organisations hésitent, repoussent, priorisent autrement.
Mais prétendre que la loi ne s’applique pas pour éviter d’entrer dans le processus, c’est autre chose.
C’est une façon de déplacer le problème plutôt que de l’affronter. C’est mettre la tête dans le sable.
Et lorsque cela provient d’une direction régionale, le message envoyé est clair : la protection des renseignements personnels n’est pas une priorité.
Ignorer une obligation légale ne la fait pas disparaître. Minimiser un risque ne le neutralise pas.
Une fuite de données dans un organisme communautaire n’est pas moins grave parce que l’organisation est à but non lucratif. Les conséquences pour les personnes concernées sont les mêmes — parfois pires.
Chez les aînés, une atteinte à la confidentialité peut entraîner des fraudes, des abus financiers, de la manipulation. Les impacts sont concrets.
Balayer la question sous le tapis, c’est accepter que ce risque demeure sans encadrement formel.
C’est là que la situation devient profondément préoccupante.
Il existe une idée dangereuse dans certains milieux : parce que la mission est noble, l’organisation serait moralement protégée contre les critiques liées à sa gouvernance.
C’est faux.
La protection des renseignements personnels n’est pas un luxe corporatif. C’est un minimum organisationnel.
Lorsqu’un organisme se présente comme protecteur des personnes vulnérables, il doit accepter que cette protection inclut aussi leurs données. Sinon, il y a un décalage troublant entre le discours et la pratique.
Refuser de se pencher sur un enjeu peut être une erreur de gestion.
Mais nier son existence pour éviter d’y faire face est un choix.
Et lorsqu’il s’agit de la protection des renseignements personnels d’aînés, ce choix est difficilement défendable.
Il ne s’agit pas d’être parfait. Il s’agit d’être responsable.
Le leadership ne consiste pas à écarter les obligations complexes. Il consiste à les affronter, même lorsqu’elles dérangent.
La Loi 25 n’est pas facultative. La protection des données n’est pas accessoire. La conformité n’est pas un caprice réglementaire.
Si nous acceptons que des organisations dédiées aux aînés puissent simplement déclarer « ça ne s’applique pas à nous » sans remise en question, nous normalisons une culture d’évitement.
Et cette culture, elle, est bien plus dangereuse que la loi elle-même.
La vraie question demeure :
Peut-on réellement prétendre protéger les personnes vulnérables tout en refusant de protéger leurs renseignements personnels?
Rencontrez Charles Groleau, un expert-conseil chevronné dans le domaine de la conformité à la nouvelle Loi 25 du Québec sur la protection des données personnelles.
Avec une compréhension approfondie des nuances juridiques et une approche proactive, Charles est votre allié de confiance pour naviguer à travers les exigences réglementaires complexes et garantir que votre entreprise soit en parfaite conformité.
