Synapse C logo white

Loi 25 : Guide complet pour les organisations culturelles

Une étude menée par le GRIC de l’Université de Sherbrooke révélait qu’alors que 40 % des entreprises québécoises se disaient prêtes pour la Loi 25, seulement 3 % l’étaient réellement. Autrement dit, même si vous avez déjà pris certaines mesures, il est possible que votre organisation ne soit pas encore totalement conforme. 

La Loi 25 s’applique à toute organisation collectant des renseignements personnels. Qu’il s’agisse d’un diffuseur qui récolte de la donnée via une billetterie, d’un artiste indépendant qui récolte les courriels de ses fans ou d’une institution qui a installé un pixel Google Analytics sur son site web, toutes ces organisations sont concernées.  

Plutôt que de voir cela comme une contrainte administrative, c’est plutôt une belle occasion de réfléchir à vos pratiques en matière de gestion des données. 

Si vous vous demandez par où commencer, voici une liste des éléments essentiels à mettre en place, avec quelques recommandations basées sur notre expérience d’accompagnement d’organisations culturelles. 

*** Attention – Ce texte vise à vous guider quant à la gouvernance et la gestion de vos données, notamment des renseignements personnels. Il ne constitue pas un avis légal et ne peut pas se substituer à des conseils légaux. Nous vous recommandons donc de valider votre démarche de conformité avec vos ressources en matière légale.     

1. Désigner une personne responsable

Chaque organisation doit identifier un responsable de la protection des renseignements personnels et une manière de la contacter.

2. Faire l’inventaire des données

C’est souvent ici que le processus devient flou. Un inventaire complet doit inclure: 

  • Toutes les données collectées (billetterie, formulaires, infolettres, etc.) 
  • Les outils utilisés (Google Analytics, CRM, plateformes tierces comme Shopify) 
  • Les accès (qui consulte ces données et pourquoi ?) 
  • Les durées de conservation et méthodes de suppression 

Un bon inventaire est essentiel pour limiter la collecte excessive de données et mieux structurer votre politique de confidentialité. 

You can't protect DATA if you don't know where it is
Pour protéger Data, il faut savoir où il se trouve

3. Gérer le consentement

Le consentement doit être explicite : 

  • Les cookies et pixels de suivi doivent être désactivés par défaut 
  • L’utilisateur doit pouvoir accepter ou refuser clairement 

4. Appliquer le principe de nécessité

Chaque donnée collectée doit avoir une finalité justifiée.

Pourquoi demandez-vous le genre musical préféré de vos abonnés? Est-ce indispensable ou avez-vous l’intention de segmenter vos profils en utilisant cette donnée? 

Si une donnée n’a pas d’utilité immédiate et documentée, elle ne devrait pas être collectée. 

Appliquez la méthode Konmari à vos données - si elles ne suscitent pas de joie, débarrassez vous en! 😂

5. Rédiger une politique adaptée à votre organisation

Plutôt que de copier-coller un modèle générique, rédigez une politique qui reflète réellement vos pratiques. Un centre d’art et un diffuseur de spectacles n’ont pas les mêmes enjeux : leurs politiques doivent être adaptées en conséquence. Cette politique doit inclure un processus de gestion des demandes (accès, rectification, suppression, etc.) ainsi qu’un mécanisme de destruction ou d’anonymisation des données .  

6. Tenir un registre des incidents

Tout est dans le titre! Pour vous faciliter la tâche, voici même un gabarit prêt à l’emploi: Registre des incidents – Gabarit Synapse C.xlsx 

7. Une évaluation des facteurs relatifs à la vie privée (ÉFVP)

C’est une obligation légale pour tout projet traitant des renseignements personnels. Elle permet de vérifier si les protections en place sont suffisantes et d’identifier les risques liés à la gestion des données. 

Une ÉFVP est nécessaire avant de collecter, utiliser, partager ou stocker des données personnelles, notamment lors de l’implantation d’un nouveau système, du partage d’informations à des fins de recherche sans consentement ou d’un transfert de données hors Québec. Elle aide ainsi les organisations à assurer leur conformité et à renforcer la sécurité des données. 

8. Pensez à la mise à jour régulière

La conformité à la Loi 25 n’est pas une tâche à faire une seule fois. Votre politique doit évoluer avec vos outils et pratiques. Une bonne habitude à adopter : la réviser annuellement pour s’assurer qu’elle reflète toujours votre réalité. 

Bref: un processus évolutif

Se conformer à la Loi 25, ce n’est pas juste cocher des cases dans une liste de tâches. C’est un processus continu qui doit évoluer avec vos outils et pratiques. 

Un bon inventaire des données et une politique adaptée vous éviteront bien des casse-têtes. Mieux vaut s’y attarder maintenant que de devoir rattraper des oublis plus tard!

Une politique de données pour toi! Une politique de données pour toi! Tout le monde possède une politique de données!

Besoin d’un coup de pouce? Synapse C accompagne les organisations culturelles dans cette transition. Parlons-en!

NOUS CONTACTER
Rectangle rouge
Mobile
Nouvelles - Mobile fond d'écran
Info
lettre

Recevez des nouvelles exclusives, des études percutantes et les dernières opportunités de subvention directement dans votre boîte courriel!

1435 rue Saint-Alexandre
Bureau 520
Montréal (Québec)
H3A 2G4
Canada

Logo Synapse-C purple

info@synapsec.ca​

(514) 742 8268

Économie sociale
Logo Gouvernement du Québec
Gouvernement du Canada