Loi 25 : Ce que les OBNL doivent surveiller en 2026 pour rester conformes

Depuis l’entrée en vigueur progressive de la Loi 25 au Québec, toutes les organisations — y compris les organismes à but non lucratif (OBNL) — sont tenues de respecter de nouvelles obligations en matière de protection des renseignements personnels. Et l’année 2026 marquera une étape décisive : plus de surveillance, plus d’exigences et plus de responsabilités.

Voici les grandes tendances à surveiller en 2026, ainsi que des conseils concrets pour les OBNL.

---

1. 📋 Application accrue par la CAI : soyez prêts à prouver votre conformité

La Commission d’accès à l’information du Québec (CAI) augmente progressivement ses activités d’inspection et d’enquête. En 2026, les OBNL devront être prêts à démontrer leurs efforts de conformité : politiques écrites, processus clairs, preuve de formations internes, etc.

À faire :

• Rédiger une politique de confidentialité claire, affichée sur votre site web.
• Tenir un registre des incidents liés à la confidentialité.
• Nommer officiellement une personne responsable de la protection des renseignements personnels (PRP).

---

2. 🔒 Confidentialité dès la conception (Privacy by Design)

Même si votre OBNL utilise des outils numériques simples (formulaires d’inscription, bases de données de membres, etc.), vous devez intégrer la confidentialité dans la conception de vos systèmes et procédures.

À faire :

• Choisir des outils qui respectent les normes de sécurité.
• Réduire la collecte de données au strict nécessaire.
• S’assurer que les données soient protégées dès leur collecte, même dans un Google Form ou une feuille Excel.

---

3. 🔍 Évaluations des facteurs relatifs à la vie privée (EFVP)

Si votre OBNL collecte des données sensibles (santé, situation familiale, etc.) ou utilise de nouvelles technologies (ex. : systèmes automatisés d’inscription, gestion de dons en ligne), une EFVP pourrait être obligatoire.

À faire :

• Se renseigner sur les situations qui exigent une EFVP.
• Documenter toute décision importante concernant la gestion des données.

---

4. 📱 Renforcement des droits des personnes

Les membres, donateurs, bénévoles ou bénéficiaires de vos services peuvent :

• demander l’accès à leurs renseignements personnels,
• retirer leur consentement,
• demander la portabilité de leurs données.

À faire :

• Mettre en place un processus clair pour répondre à ces demandes rapidement (dans un délai de 30 jours).
• Informer les individus de leurs droits dans vos communications.

---

5. 🤖 Données, IA et technologies émergentes

Même si vous n’utilisez pas d’intelligence artificielle de façon directe, vous pourriez utiliser des services (logiciels de gestion, CRM, services infonuagiques) qui y ont recours. Cela vous impose des devoirs de transparence et de vigilance.

À faire :

• Vérifier si vos fournisseurs traitent les données à l’extérieur du Québec ou utilisent de l’IA.
• Poser des questions sur la sécurité et la confidentialité dans vos contrats.

---

Conclusion : Un virage nécessaire, même pour les OBNL

La Loi 25 ne vise pas seulement les grandes entreprises. En 2026, toutes les organisations devront démontrer qu’elles respectent la loi — y compris les OBNL. Le respect de la vie privée est une question de confiance : celle de vos membres, de vos partenaires et du public.