Données personnelles en OBNL : Qui est le vrai patron?

La Loi 25 a redéfini les standards de protection des renseignements personnels au Québec. Loin d’être une simple contrainte administrative, elle représente une occasion de renforcer la confiance de vos membres, donateurs et partenaires. En tant que plus haute autorité de votre OBNL, votre rôle est central et votre leadership, indispensable. Ce guide a pour but de clarifier vos obligations et de vous fournir une feuille de route claire.

Votre rôle par défaut : une désignation stratégique

La loi est sans équivoque : par défaut, la fonction de Responsable de la Protection des Renseignements Personnels (RPRP) vous est attribuée.

Cette désignation n’est pas un hasard. Elle positionne la protection des données là où elle doit être : au plus haut niveau de la stratégie et de la gouvernance de l’organisation. Elle reconnaît que la gestion sécuritaire des informations n’est pas qu’un enjeu technique, mais bien une responsabilité de direction qui engage l’ensemble de l’OBNL. En votre absence de démarche active, vous êtes légalement la personne responsable.

La délégation : un levier de compétence, pas un transfert de responsabilité

Il est tout à fait normal de ne pas être un expert en cybersécurité ou en droit. La loi vous autorise donc à déléguer par écrit la fonction de RPRP à une personne possédant les compétences requises.

Il est toutefois essentiel de bien comprendre la nature de cet acte :

• Vous déléguez la fonction, pas votre responsabilité finale. Vous demeurez imputable de la conformité de votre organisation. Votre devoir est de vous assurer que la personne désignée dispose des ressources, du soutien et de l’autorité nécessaires pour accomplir sa mission.
• La délégation doit être formelle et claire. Un simple accord verbal est insuffisant. Un document écrit est requis pour officialiser la délégation, définir les tâches et confirmer la prise de fonction. Le titre et les coordonnées de cette personne doivent être accessibles, notamment sur votre site web.

Les conséquences de la non-conformité : des risques concrets

Ignorer ces obligations expose votre OBNL à des risques sérieux et mesurables qu’une saine gouvernance ne peut se permettre de négliger.

1. Risques financiers et sanctions : Les pénalités en cas de manquement sont significatives et peuvent impacter durement le budget et la pérennité de votre organisme.
2. Érosion de la confiance et impact réputationnel : La confiance est l’actif le plus précieux d’un OBNL. Une gestion déficiente des données personnelles peut la détruire rapidement et durablement, affectant vos relations avec vos donateurs, vos membres et la communauté.
3. Mise en jeu de la responsabilité des dirigeants : En cas de faute lourde ou de négligence grave, la responsabilité personnelle des dirigeants peut être engagée.

Votre feuille de route pour la conformité

La mise en conformité est un processus qui exige une action claire de la part de la direction. Voici les étapes fondamentales :

1. Prenez une décision officielle : Statuez formellement sur qui exerce la fonction de RPRP. Est-ce vous, ou une autre personne par délégation ?
2. Formalisez votre décision : Si vous déléguez, produisez un document de délégation officiel.
3. Assurez la transparence : Rendez l’identité et les coordonnées de votre RPRP facilement accessibles au public.
4. Allouez les ressources nécessaires : Assurez-vous que le RPRP dispose du temps, du budget et du soutien requis pour implanter et maintenir un programme de protection des renseignements personnels efficace.

En somme, votre rôle de direction générale vous place au cœur de la conformité à la Loi 25. Il s’agit d’une démonstration de leadership et d’un pilier de la bonne gouvernance de votre OBNL. En prenant ces responsabilités au sérieux, vous protégez non seulement votre organisation, mais vous renforcez aussi sa crédibilité et sa mission.