Facebook Linkedin Youtube Instagram
Consultation

Actualités
et nouvelles tendances

Infolettre

Abonnez-vous pour ne rien manquer!

Loi 25 et sites web fournis par un tiers : Un risque majeur pour les OBNL

Introduction

De nombreux OBNL, centres communautaires, fondations ou organismes à but non lucratif se voient offrir, par un fournisseur de services, un site web « gratuit » intégré à une solution numérique. C’est pratique, économique… mais potentiellement dangereux.

Sous la Loi 25 du Québec, votre organisme est pleinement responsable de la protection des renseignements personnels, même si ces données sont hébergées, traitées ou exposées sur un site géré par un fournisseur tiers.

Ce que vous voyez comme un simple outil technique pourrait rapidement devenir une bombe à retardement juridique.

1. Ce que dit la Loi 25 (en bref)

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous le nom Loi 25, impose aux organisations québécoises :

  • De protéger activement les renseignements personnels sous leur responsabilité.
  • D’effectuer des analyses des risques liés à la gestion de ces données.
  • D’avoir des politiques claires sur la collecte, l’utilisation et la conservation des données.
  • D’informer le public en cas d’incident de confidentialité ou de cyberattaque.
  • De tenir un registre des incidents.

Or, confier votre site web à un fournisseur ne vous exempte d’aucune de ces obligations.

2. Un site web fourni, mais vos responsabilités restent

Même si le site est conçu, hébergé et géré par un fournisseur externe :

  • Les données de vos membres, parents, bénéficiaires ou employés y sont accessibles.
  • Ces données peuvent être stockées hors du Québec, voire à l’étranger.
  • Vous ne savez pas qui y a accès, où elles sont stockées, comment elles sont sécurisées.

➤ En cas de fuite ou d’attaque, c’est votre organisme qui devra répondre devant la loi, pas le fournisseur.

3. Exemples de risques concrets

  • Formulaires d’inscription collectant des noms, courriels, numéros de téléphone, etc. sans chiffrement adéquat.
  • Photos ou informations personnelles publiées sans consentement valide.
  • Cyberattaque sur le serveur du fournisseur exposant toutes vos données.
  • Hébergement aux États-Unis, exposant les données à des lois étrangères (ex. : Cloud Act).

Et pourtant, la plupart des OBNL n’ont aucun contrat précisant ces responsabilités, ni aucune copie de sauvegarde des données.

4. Ce que vous devez absolument faire

a) Validez la conformité de votre fournisseur

  • Est-ce qu’il chiffre les données en transit et au repos ?
  • Est-ce qu’il héberge les données au Québec ou au Canada ?
  • Avez-vous un contrat de traitement de données conforme à la Loi 25 ?

b) Gardez le contrôle

  • Le nom de domaine est-il enregistré à votre nom ?
  • Avez-vous un accès complet au site, aux sauvegardes et à l’hébergement ?
  • Pouvez-vous faire une copie complète du site en tout temps ?

c) Préparez-vous en cas d’incident

  • Avez-vous une procédure interne pour gérer un vol de données ?
  • Tenez-vous un registre des incidents ?
  • Savez-vous comment notifier la Commission d’accès à l’information et les personnes concernées ?

5. Un site web : actif stratégique, pas un gadget gratuit

Votre site web n’est pas un simple outil de communication. C’est :

  • Une vitrine légale et publique de votre organisation.
  • Un point d’entrée de données sensibles.
  • Un actif numérique sous votre responsabilité juridique.

Le confier sans garantie à un fournisseur, c’est comme donner vos clés de bureau à un inconnu… et espérer qu’il n’arrive rien.

Conclusion

La Loi 25 vous place au centre de la chaîne de responsabilité. Que vous soyez propriétaire ou non du site, si vos données y circulent, vous en êtes responsable.

Avant d’accepter un site web gratuit, exigez :

  • Un hébergement local et sécurisé,
  • Un contrat conforme à la Loi 25,
  • Un contrôle total sur vos données.

Protégez votre organisme. Protégez votre réputation. Protégez vos gens.

Avis IMPORTANT: PME Conforme n’est pas un cabinet d’avocats. Les informations fournies dans cet article sont de nature générale et accessibles publiquement. Elles sont offertes à titre informatif seulement et ne constituent pas des conseils légaux ou des avis juridiques. Pour toute décision ayant des implications juridiques, nous vous recommandons de consulter un professionnel du droit qualifié.

Partagez cet article

Catégories

Articles récents

Charles Groleau

Rencontrez Charles Groleau, un expert-conseil chevronné dans le domaine de la conformité à la nouvelle Loi 25 du Québec sur la protection des données personnelles.

Avec une compréhension approfondie des nuances juridiques et une approche proactive, Charles est votre allié de confiance pour naviguer à travers les exigences réglementaires complexes et garantir que votre entreprise soit en parfaite conformité.

Prenez le contrôle et protégez votre patrimoine numérique avec nos services de gestion performants !

  • Formation solutions
  • Outils de sécurité inclus pour individus, travailleurs autonomes et entreprises
Contactez-nous dès maintenant