🎓 Organismes à but non lucratif

Formation Loi 25 pour les OBNL et organismes

Par Équipe éditoriale Loi25Simple Mis à jour le 7 juin 2026

Oui, la Loi 25 s'applique aux OBNL qui collectent des renseignements sur leurs membres, donateurs ou bénévoles. Voici comment former simplement votre équipe, bénévoles compris, même avec un petit budget.

⚖️

La Loi 25 s'applique-t-elle aux OBNL?

Dans la très grande majorité des cas, oui. La Loi 25 modifie la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1), qui encadre toute personne qui exploite une entreprise au sens du Code civil du Québec. Or, au Québec, la notion d'entreprise vise une activité économique organisée, qu'elle soit ou non à caractère commercial. Un OBNL qui mène une activité organisée et durable, même sans rechercher de profit, est donc généralement assujetti.

Concrètement, dès que votre organisme collecte, utilise, communique, conserve ou détruit des renseignements personnels, les obligations de la Loi 25 s'appliquent. C'est presque toujours le cas : un OBNL tient des listes de membres, gère des reçus de dons, recrute des bénévoles, inscrit des participants à des activités ou suit des usagers de services.

Le statut juridique sans but lucratif ne crée pas d'exemption automatique. Dans le doute, validez votre situation auprès de la Commission d'accès à l'information du Québec (CAI), l'autorité chargée de surveiller l'application de la loi. Pour le tableau d'ensemble, consultez nos obligations de la Loi 25 pour les entreprises.

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

🧩

Les spécificités d'un OBNL

Les OBNL manipulent souvent des renseignements personnels au moins aussi sensibles que ceux d'une entreprise privée, mais avec moins de ressources. Quelques réalités propres au milieu communautaire et associatif :

Listes de membres et bénévoles : noms, courriels, numéros de téléphone, parfois dates de naissance. Ces fichiers circulent fréquemment entre conseil d'administration, coordination et bénévoles.
Donateurs et reçus de dons : adresses, montants, historique de dons et parfois numéros d'assurance sociale pour les reçus officiels — des données à protéger avec rigueur.
Usagers et participants : selon votre mission, vous traitez peut-être des renseignements sensibles (santé, situation familiale, situation financière, statut d'immigration).
Roulement de bénévoles : le personnel non rémunéré change souvent, ce qui complique le suivi de qui a accès à quoi et la formation de chacun.
Budgets serrés : peu ou pas de service informatique ni de service juridique à l'interne pour piloter la conformité.

Ces contraintes ne réduisent pas vos obligations, mais elles orientent les solutions : viser le pragmatique, l'outillé et le peu coûteux plutôt que de lourds processus.

📋

Les obligations clés, adaptées à un organisme

Les grandes obligations de la Loi 25 sont les mêmes pour un OBNL que pour une entreprise. Voici comment elles se traduisent dans un organisme :

Désigner un responsable : par défaut, la personne ayant la plus haute autorité (souvent la direction générale ou la présidence du conseil) est responsable de la protection des renseignements personnels. La fonction peut être déléguée par écrit. Voyez le rôle du responsable de la protection des renseignements (RPRP).
Obtenir un consentement valable : avant de recueillir des renseignements de membres, donateurs ou usagers, expliquez clairement les fins visées. Approfondissez avec notre guide du consentement sous la Loi 25.
Prendre des mesures de sécurité raisonnables : protéger les fichiers, restreindre les accès, sécuriser les courriels et les sauvegardes.
Gérer les incidents de confidentialité : tenir un registre et aviser la CAI ainsi que les personnes concernées en cas d'incident présentant un risque de préjudice sérieux.
Répondre aux droits des personnes : accès, rectification et, dans certains cas, portabilité ou retrait du consentement.
Former le personnel et les bénévoles : toute personne qui touche à des renseignements personnels doit être sensibilisée à ses responsabilités.

Attention au volet sanctions : la Loi 25 prévoit des sanctions administratives pouvant atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, des sanctions pénales jusqu'à 25 M$ ou 4 %, et des dommages-intérêts punitifs d'au moins 1 000 $ par personne. Un budget modeste ne réduit pas l'exposition au risque.

🤝

Former bénévoles ET employés

La Loi 25 exige des mesures de gouvernance et de sécurité raisonnables, dont la sensibilisation des personnes qui manipulent des renseignements personnels; la formation est un moyen reconnu d'y répondre. Cette sensibilisation concerne toute personne qui collecte, utilise, communique, conserve ou détruit des renseignements personnels. Dans un OBNL, cela inclut les bénévoles, et pas seulement les salariés. Un bénévole qui saisit des inscriptions, qui prépare des reçus de dons ou qui gère la liste d'envoi traite des renseignements personnels : il a tout intérêt à être sensibilisé.

Le défi propre aux organismes est le roulement. Une formation donnée une seule fois en salle se périme dès qu'un nouveau bénévole arrive. Comparons les formats :

Format	Bénévoles qui arrivent en continu	Coût pour un OBNL
Formation en salle / consultant	À refaire à chaque nouvelle vague; difficile à planifier	Élevé et ponctuel
Formation en ligne autonome	Chacun la suit à son rythme, dès son arrivée	Modéré et prévisible
Micro-apprentissage continu	Rappels réguliers; entretient les bons réflexes dans la durée	Faible par personne

Pour la majorité des organismes, la formule gagnante combine une formation en ligne courte à l'arrivée et des rappels en continu, afin que les bons réflexes survivent au roulement. Pour cadrer les attentes, consultez notre page sur la formation des employés à la Loi 25.

💰

Faire simple avec un petit budget

La conformité n'exige pas un gros budget ni une équipe juridique. Un organisme peut avancer par étapes accessibles :

Cartographier vos renseignements : listez quels renseignements vous détenez (membres, donateurs, usagers, bénévoles) et où ils sont stockés.
Désigner et publier votre responsable : nommez la personne responsable et affichez ses coordonnées sur votre site.
Restreindre les accès : seuls les bénévoles et employés qui en ont besoin devraient voir chaque fichier.
Former à l'arrivée : une formation en ligne courte par personne, suivie de rappels, coûte beaucoup moins qu'une journée de consultant.
Documenter : conservez la preuve que chaque personne a été formée (certificat nominatif, tableau de suivi).

Avec Loi25Simple, la formation démarre à partir de 5 $/employé/mois (plan annuel) ou 8 $/employé/mois (mensuel sans engagement). Les modules durent environ 30 minutes, chaque personne reçoit un certificat nominatif, et un tableau de bord vous montre qui a complété sa formation — utile pour documenter votre conformité auprès de votre conseil d'administration. Comparez les tarifs et forfaits selon la taille de votre équipe.

📚

Ressources pour aller plus loin

Pour bâtir votre conformité pas à pas, ces ressources gratuites vous aideront :

La section « entreprises » de la CAI et le texte de la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) sur LégisQuébec.
Nos obligations clés de la Loi 25 et le rôle du responsable de la protection des renseignements.
Notre guide du consentement pour vos formulaires d'adhésion et de dons.
L'évaluation de conformité gratuite pour situer votre organisme en quelques minutes.

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes des OBNL sur la Loi 25

Un OBNL est-il vraiment assujetti à la Loi 25? +

Dans la plupart des cas, oui. La loi vise toute personne qui exploite une entreprise au sens du Code civil du Québec, soit une activité économique organisée, à caractère commercial ou non. Un OBNL qui mène une activité organisée et durable et qui traite des renseignements personnels est généralement assujetti, malgré son statut sans but lucratif. En cas de doute, validez votre situation auprès de la Commission d'accès à l'information.

Devons-nous former nos bénévoles ou seulement nos employés? +

Les deux gagnent à l'être. La Loi 25 demande de sensibiliser les personnes qui manipulent des renseignements personnels, et la formation est un moyen reconnu d'y répondre. Cela concerne toute personne qui collecte, utilise, communique, conserve ou détruit des renseignements personnels. Un bénévole qui saisit des inscriptions, prépare des reçus de dons ou gère une liste d'envoi traite des renseignements personnels et a donc tout intérêt à être sensibilisé, au même titre qu'un salarié.

Qui est le responsable de la protection des renseignements dans un OBNL? +

Par défaut, c'est la personne ayant la plus haute autorité dans l'organisme, souvent la direction générale ou la présidence du conseil d'administration. Cette fonction peut être déléguée par écrit à un autre membre du personnel. Ses coordonnées doivent être publiées, par exemple sur votre site web.

Combien coûte la formation Loi 25 pour un organisme à petit budget? +

Avec Loi25Simple, la formation commence à 5 $/employé/mois sur le plan annuel, ou 8 $/employé/mois sur le plan mensuel sans engagement. Les modules durent environ 30 minutes et chaque personne reçoit un certificat nominatif, ce qui rend la sensibilisation accessible et soutient votre démarche de conformité, même avec des ressources limitées.

Comment gérer la formation malgré le roulement de bénévoles? +

Privilégiez une formation en ligne autonome que chaque nouvelle personne suit dès son arrivée, plutôt qu'une séance en salle ponctuelle vite périmée. En la combinant à des rappels en continu, vous entretenez les bons réflexes dans la durée et un tableau de bord vous indique qui a complété sa formation.

Le statut sans but lucratif nous exempte-t-il des sanctions? +

Non. Les sanctions de la Loi 25 s'appliquent aussi aux OBNL assujettis : sanctions administratives jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial, sanctions pénales jusqu'à 25 M$ ou 4 %, et dommages-intérêts punitifs d'au moins 1 000 $ par personne. Un budget modeste ne réduit pas l'exposition au risque.

Par où commencer concrètement? +

Cartographiez d'abord les renseignements que vous détenez (membres, donateurs, usagers, bénévoles), désignez et publiez votre responsable, restreignez les accès aux seules personnes concernées, puis formez chacun à l'arrivée en conservant une preuve de formation. Notre évaluation de conformité gratuite vous donne un point de départ en quelques minutes.