Le 26 octobre 2023, la table de concertation sur le renforcement des capacités numériques des organismes communautaires a tenu une nouvelle rencontre avec pour thème l'offre de services en lien avec la loi 25. Valérie Bineau de la Coalition interjeunes a présenté les défis et difficultés à se conformer vécues par le secteur communautaire. Samuel Kohn de Nord Ouvert a présenté son analyse de l'offre de services permettant de soutenir le communautaire. Enfin, Gabrielle Bourgaut-Brunelle et Edward Smith du Consortium coop ont montré comment l'enjeu de la conformité à la loi 25 fait appel à l'interdisciplinarité puisqu'elle mobilise des expertise en droit, technologie et gestion du changement, entre autres.

La rencontre a également été l'occasion de dresser un inventaire collectif de l’offre de services et formations à destination du communautaire concernant la loi 25. Celui-ci est recopié dans cette note en espérant qu'il puisse servir, bien qu'il soit incomplet et risque de devenir désuet avec le temps.

Contexte

La loi LQ 2021, chapitre 25 - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, connue sous le nom de Loi 25, a été adoptée par l’assemblée nationale du Québec le 21 septembre 2021. Elle entraîne de nouvelles responsabilités pour toutes les entreprises et OBNL qui entrent progressivement en vigueur entre septembre 2022 et septembre 2024. L’arrivée de ces nouvelles obligations a généré une forte demande chez les organismes communautaires pour obtenir de l’information sur comment être conforme, demande à laquelle une diversité d’organismes tente de répondre. Ce document collaboratif vise à recenser l’offre de services et formations spécifiquement à l’intention des organismes communautaires dans le but d’identifier, lors de la rencontre du 25 octobre de la table, les potentielles améliorations à y apporter.

Inventaire

Informations générales

CDC

Plusieurs CDC ont rédigé des articles couvrant les obligations de bases reliées à la loi 25. Exemples:

• Rivières des prairies
• Marguerite d’Youville

Espace OBNL

Présentation de la Loi et ses implications pour les OBNL par Espace OBNL

https://www.espaceobnl.ca/fr/news-container/l-essentiel-de-la-loi-25-comprendre-et-agir-en-obnl

Des gabarits et formations privées sont peut-être disponibles pour les membres payants?

Formations et webinaires

CDÉACF

Le Centre de documentation sur l'éducation des adultes et la condition féminine (CDÉACF) offre une formation asynchrone à coût abordable sur la gestion des données personnelles dans les groupes communautaires.

CSMO-ÉSAC et CDRQ

Le CSMO-ÉSAC a organisé un webinaire à ce sujet dans lequel Martin Noel de la CDRQ était invité à parler. 

La Puce ressource informatique 

La Puce offre des formations en bureautique, outils collaboratifs, communications numériques et littératie numérique de base (voir offre Programmation Automne 2023). Elle a tenu un Webinaire offert en partenariat avec Insertech sur la loi 25: Sécurisez les données de votre organisme (Loi 25) - conférence gratuite - La Puce ressource informatique

En Clair

L’entreprise En Clair vend une formation sur les renseignements personnels et nouvelles obligations intitulée Renseignements personnels : vos nouvelles obligations en matière de langage clair (Projets de loi 64 et C-27)

Ma-loi-25

Plusieurs formations en lien avec la cybersécurité et la protection des renseignements personnels sont en vente à l’intention de PME sur Maloi25.ca. De l’accompagnement sur mesure est également disponible pour les organisations de moins de 500 employés situées au Québec. Ce site a été mis en place par In-Sec-M, le regroupement des entreprises canadiennes expertes en cybersécurité. Il existe un parcours subventionné par le MEIE en 4 étapes offert à 1070$ qui comprend : 

1. Autodiagnostic
2. Rencontre entre DG et expert (90 minutes) : comprendre les risques, les RP, le chantier, etc.
3. Formation de groupe de 3h : Comment protéger les données, bonnes pratiques de courriel (jusqu’à 10 pers. par org.) 
4. 10h d’accompagnement pour devenir conforme (2h pour créer un plan de conformité, 8h de coaching, idéalement réalisé sur 3 mois)

Auto-examen/auto évaluation

Numérique collectif

Un auto-examen sur le niveau de préparation à loi 25 et une vidéo sont disponibles gratuitement sur le site de l’initiative de transformation numérique des entreprises collectives. 

Ma-loi-25

Le site maloi25.ca, cité plus haut, vend également un questionnaire autodiagnostic pour évaluer son degré de cyber résilience et de conformité à la loi 25. 

Gabarits de politiques et procédures

Mes procédures

Mesprocedures.ca est un site internet qui offre une trousse d’outils visant à faciliter la conformité. Le site a été mis sur pied par un regroupement d’avocats privés. Les gabarits de procédures sont les suivants:

• Procédure de conservation, de destruction et d’anonymisation des renseignements personnels 
• Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes
• Procédure de demande de désindexation et de suppression des renseignements personnels
• Procédure de gestion des incidents de sécurité et violations des renseignements personnels 
• Procédure de gestion du roulement du personnel 
• Liste de bonnes pratiques et outils en ligne pour la protection des renseignements personnels 
• Attestation – Remise des biens et des données 

Cybereco

Cybereco est un regroupement de spécialistes en cybersécurité mis sur pied par de grandes entreprises canadiennes. Ils ont publié un guide pratique (et détaillé) sur la loi 25 qui réfère lui-même à plusieurs ressources. 

Coalition interjeunes

La Coalition Interjeunes travaille sur une trousse avec une avocate pour répondre aux besoins de ses membres.

Contenu de la trousse (en préparation) : 

1. Aide-mémoire CAI
2. Procédures en cas d’un incident de confidentialité
3. Registre des incidents de confidentialité
4. Grille d’analyse pour déterminer si un incident de confidentialité comporte un risque de préjudice sérieux
5. Formulaire de déclaration d’un incident de confidentialité à la Commission d’accès à l’information (CAI)
6. Avis d’incident de confidentialité aux personnes concernées
7. Politique de protection des renseignements personnels (RP)
8. Formulaires de consentement
9. Grille pour l’inventaire des types de RP détenus par catégories de personnes
10. Formulaire d’engagement de confidentialité par les membres de l’équipe de travail et des autres instances (CA, comités, etc.) ou, pour ce qui est des membres de l’équipe de travail, dispositions contractuelles à intégrer dans les contrats de travail
11. FAQ

Accompagnement

Le Consortium

Le consortium offre des services de diagnostic numérique et de planification de la transformation numérique. Cela peut impliquer, au niveau juridique, l’accompagnement des membres dans l'adoption de leur politique de protection des renseignements personnels. Le Consortium a conçu un modèle de politique qui sert de point de départ à cet effet. Les principales questions couvertes dans le cadre de cet accompagnement touchent les thèmes suivant:

• conservation documentaire, 
• responsabilité des employés/administrateurs, 
• cartographie des renseignements personnels, 
• relations avec les fournisseurs, 
• procédures en cas d'incident,
• collection de renseignements personnels.

La Puce Ressource Informatique - Service Conseil

La Puce offre un accompagnement en transition numérique. Elle aide les OBNL à articuler leurs objectifs (optimisation synergique des outils numériques aux besoins de l'équipe, stratégie médias sociaux, rapport annuel, conception d'une stratégie de contenu créatif...) en effectuant un bilan approfondi des implémentations existantes. Cet accompagnement peut venir soutenir des efforts de conformité à la loi 25. 

Nord Ouvert

Nord Ouvert a développé et animé en 2021 un Atelier sur le respect du droit à la vie privée et l’élaboration d’une politique de confidentialité dans le cadre de Montréal en Commun. 

• L’atelier peut-être réutiliser pour d’autres publics tel que le milieu communautaire
• Allant au delà de la protection des renseignements personnels, l’atelier permet de démystifier le droit à la vie privée et ses enjeux
• L’atelier sensibilise les participants à travers des personas, des cas fictifs et des activités ludiques (sur Miro) la distinction entre des données personnelles et sensibles, ainsi que des données personnelles directement et indirectement identifiables. 
• Pour finir, l’atelier aborde les politiques de confidentialité (qu’est ce que c’est, pourquoi c’est important, quels sont les éléments fondamentaux à inclure dans une telle politique. 

0/1 - Hub numérique

0/1 – Hub numérique est une organisation de soutien à la transformation numérique du milieu culturel et communautaire. L’accompagnement à la conformité de la loi 25 fait partie des nouveaux services offerts.

En plus d’accompagner les organismes à toutes les étapes de la transformation, elle offre des services d’animation, de consultation et de réalisation de projets numériques adaptés aux particularités du milieu communautaire et culturel. 

L’Appui

L’Appui a offert 2 formations en 2023 (200 participants au total) et nous avons travaillé avec Emeline Masson de CY-clic (entreprise privée). Nous sommes à l’étape d’évaluer la reproductivité (ou pas) de cette formation pour les organismes oeuvrant auprès des personnes prochaines aidantes en 2024. Parallèlement, nous avons accompagné 15 organismes à la suite de cette formation à l’aide des gabarits fournis par Cy-Clic (exemple de texte à publier sur le site Web, registre d’incidents, inventaire des renseignements personnels, etc.).

Juripop

Juripop a exprimé un intérêt à informer et accompagner sur la question de conformité à la loi 25, mais cette offre n’est pas encore existante. Nord Ouvert a eu une rencontre avec eux à ce sujet