Loi 25 : Guide pratique à l’intention des gestionnaires des loisirs municipaux

 

Loi 25 : Guide pratique à l’intention des gestionnaires des loisirs municipaux

Article de Raymond Chabot Grant Thornton – équipe Tourisme, loisirs et culture (octobre 2025)

 

Pour accomplir leurs missions, les villes confient à des organismes des mandats assortis de budgets afin d’offrir des services aux citoyens. Toutefois, ces dernières années, on observe une multiplication des conflits et des crises au sein de ces organismes. Ces situations entraînent des répercussions majeures, tant pour les organismes que pour la Ville et l’ensemble de la population.

Protéger les renseignements personnels, c’est protéger la confiance

La loi 25 impose aux municipalités du Québec des obligations strictes en matière de protection des renseignements personnels. Pour les gestionnaires des services de loisirs, cela implique un véritable changement de culture : il ne s’agit plus uniquement d’offrir des activités de qualité, mais aussi de garantir que les données des citoyens, en particulier celles des mineurs, soient traitées de manière sécuritaire, transparente et responsable.

 

Comprendre les enjeux : les données des mineurs sont sensibles

Les services de loisirs municipaux, qu’ils soient sportifs, culturels ou éducatifs, recueillent une quantité importante de données concernant les citoyens. De plus, la loi 25 est claire : tout renseignement personnel lié à une personne mineure est automatiquement considéré comme sensible. Cela inclut notamment :

  • Les informations d’inscription (nom, adresse, date de naissance)
  • Les données médicales (allergies, limitations physiques)
  • Les images captées par vidéosurveillance
  • Les communications avec les parents

Ces données doivent être protégées par des mesures de sécurité renforcées. Leur traitement doit être justifié, documenté et limité dans le temps.

 

Étape 1 : Cartographier les traitements de données

La première action à poser est la cartographie des activités de traitement. Il s’agit de dresser un portrait clair de toutes les données personnelles que votre service collecte, utilise, conserve ou transmet.

Comment procéder :

  1. Identifier les points de collecte : formulaires papier, plateformes numériques, caméras, courriels
  2. Décrire chaque traitement : finalité, accès, lieu de conservation, durée de conservation
  3. Associer chaque traitement à un responsable : idéalement un membre de l’équipe pouvant répondre aux questions et valider les pratiques

Cette cartographie devient un outil essentiel pour assurer la conformité, la sécurité et la reddition de comptes.

 

Étape 2 : Réaliser des évaluations de facteurs relatifs à la vie privée (EFVP)

La loi 25 exige qu’une EFVP soit réalisée avant la mise en œuvre de tout traitement de données personnelles présentant un risque. Dans le contexte des loisirs, cela peut inclure :

  • L’installation de nouvelles caméras dans les installations sportives ou culturelles
  • Le lancement d’une application mobile pour les inscriptions
  • La mise en place d’un système de carte d’accès
  • La transmission de données à des organismes partenaires

L’EFVP permet d’identifier les risques, de proposer des mesures d’atténuation et de démontrer votre diligence. Elle doit être documentée et conservée comme preuve.

 

Étape 3: Sécuriser les données et limiter les accès

Une fois les traitements cartographiés et les EFVP réalisées, il est essentiel de sécuriser les données et de restreindre les accès aux personnes autorisées.

Bonnes pratiques :

  • Utiliser des plateformes conformes aux normes de sécurité (ex. : hébergement au Québec, chiffrement des données)
  • Éviter les transferts par courriel non sécurisé
  • Mettre en place des accès restreints selon les rôles (ex. : les animateurs n’ont pas accès aux dossiers médicaux)
  • Définir des délais de conservation clairs et des procédures de destruction sécurisée

 

Étape 4 : Informer et obtenir le consentement

La loi 25 renforce les exigences en matière de transparence et de consentement. Les citoyens, et les parents dans le cas des mineurs, doivent être informés :

  • De la nature des données collectées
  • Des finalités du traitement
  • Des droits qu’ils peuvent exercer (accès, rectification, retrait du consentement)

Le consentement doit être libre, éclairé et explicite. Il ne peut être implicite ou forcé. Il est donc essentiel de revoir les formulaires d’inscription, les politiques de confidentialité et les communications.

 

Étape 5 : Former les équipes et instaurer une culture de protection

La conformité n’incombe pas uniquement aux gestionnaires. Toute l’équipe doit être sensibilisée à la protection des renseignements personnels.

Actions recommandées :

  • Organiser des formations internes
  • Intégrer des rappels dans les réunions d’équipe
  • Mettre en place des procédures simples pour signaler un incident ou une erreur

Une culture de protection des données renforce la confiance des citoyens et réduit les risques d’incidents.

 

Qu’en est-il des organismes mandatés par la municipalité?

La gestion de plusieurs activités de loisirs est mandatée à des organismes externes. Même si ces organismes fonctionnent de manière autonome, les municipalités demeurent responsables de s’assurer que les renseignements personnels traités pour leur compte sont protégés adéquatement.

Lorsqu’un tiers (comme un organisme mandaté) conserve ou traite des données pour le compte de la municipalité, celle-ci doit encadrer cette relation par des ententes claires, incluant des obligations de sécurité, de confidentialité et de conformité à la loi 25.

Il est donc essentiel que les municipalités :

  • Sensibilisent leurs partenaires aux exigences de la loi 25
  • Intègrent des clauses de protection des renseignements personnels dans leurs contrats
  • Vérifient régulièrement les pratiques des organismes mandatés

 

Conclusion : Agir maintenant pour progresser ensemble

La loi 25 ne doit pas être perçue comme une contrainte administrative, mais comme une occasion de professionnaliser la gestion des données, de protéger les citoyens, surtout les plus jeunes, et de renforcer la crédibilité des services municipaux.

En tant que gestionnaire des loisirs, vous êtes en première ligne. En posant dès maintenant des gestes concrets tels que la cartographie des activités de traitement, les EFVP, la sécurité des données, l’obtention des consentements et la formation des employés, vous contribuez à bâtir un environnement plus sécuritaire, plus transparent et plus respectueux de la vie privée.

 

Retour à la liste des articles >