6.19.2026
0
min de lecture

Loi 25 : ce que les syndicats doivent savoir sur leurs communications numériques

La Loi 25 s’applique à votre syndicat. Voici ce que ça veut dire concrètement pour vos listes de membres, vos communications et vos outils numériques.

Ce que la Loi 25 impose concrètement à votre syndicat

La Loi 25, en vigueur depuis septembre 2023, s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels au Québec. Votre syndicat entre pleinement dans cette définition. Les noms et coordonnées de vos membres, les données de participation aux votes et aux assemblées, les informations liées aux représentations individuelles : tout ça constitue des renseignements personnels au sens de la loi.

Un responsable désigné

Votre organisation doit nommer un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité, jusqu'à ce qu'une délégation formelle soit documentée. Dans beaucoup de syndicats, personne ne sait exactement qui porte ce rôle aujourd'hui.

Un registre des incidents

Si des renseignements personnels sont compromis, votre organisation doit documenter l'incident. Selon la gravité, vous devez aussi aviser la Commission d'accès à l'information et les personnes concernées. Sans canal de communication structuré, documenter ce qui a circulé et à qui devient presque impossible.

Des règles sur le consentement et la conservation

Les renseignements collectés doivent servir à des fins précises et ne peuvent pas être conservés indéfiniment. En pratique, ça veut dire avoir une réponse à cette question : est-ce que les membres dont le nom est encore dans votre liste de diffusion ont toujours le statut qui justifie leur présence là ?

Un droit d'accès pour vos membres

Un membre peut demander à consulter les renseignements que vous détenez à son sujet. Si ces renseignements sont répartis sur cinq canaux différents, reconstituer ce qui existe et où ça se trouve prend un temps considérable.

Fortisia héberge les données de vos membres sur des serveurs au Canada et gère les accès par rôle, avec un historique consultable pour chaque modification.

Demander une démo

Le vrai problème : vos données circulent sur des outils qui ne vous appartiennent pas

Sur le terrain, ce qu'on entend le plus souvent : « On n'a rien à cacher. » La Loi 25 ne parle pas de mauvaise intention. Elle parle de contrôle.

Quand vos communications syndicales passent par un groupe Facebook, les données de vos membres sont traitées par Meta sur des serveurs aux États-Unis, soumis au CLOUD Act américain. Les paramètres de confidentialité peuvent changer sans préavis. Si un membre quitte votre syndicat et est retiré du groupe, ses interactions passées restent dans les serveurs de Meta.

Messenger, WhatsApp et les courriels personnels ont le même problème structurel : ils ont été conçus pour un usage individuel, pas pour la gouvernance d'une organisation qui représente des centaines ou des milliers de travailleurs.

En pratique, trois lacunes concrètes en découlent.

Pas de traçabilité. Qui a reçu quoi, quand ? Difficile à documenter quand vos communications sont réparties sur cinq canaux différents. En cas de contestation, vous n'avez rien à montrer.

Des accès qui ne se gèrent pas automatiquement. Un membre retraité, un travailleur en litige, un délégué dont le mandat est terminé : sont-ils encore dans vos groupes ? Dans la plupart des syndicats, personne ne fait ce suivi systématiquement. Les accès s'accumulent.

Un hébergement hors Canada par défaut. Facebook, Google, WhatsApp : les serveurs sont aux États-Unis. Vos obligations de transparence et de contrôle sous la Loi 25 deviennent beaucoup plus complexes à satisfaire dans ce contexte.

3 points à ne pas négliger dans vos communications syndicales

La conservation de vos données

Combien de temps conservez-vous vos listes de membres ? Vos procès-verbaux d'assemblée ? Les échanges liés à vos négociations ? Dans beaucoup d'organisations, la réponse honnête est : jusqu'à ce que quelqu'un efface le fichier. Ce n'est pas une politique de conservation. C'est de l'improvisation.

Le contrôle des accès selon les rôles

Votre délégué régional a-t-il besoin de voir les coordonnées de l'ensemble de vos membres ? Votre responsable de la mobilisation doit-il avoir accès aux documents confidentiels de votre négociation ? Le contrôle des accès par rôle et par groupe n'est pas un détail technique. La Loi 25 en fait une obligation de prudence.

Vos prestataires externes

Quand vous faites appel à Mailchimp pour vos courriels de masse ou à SurveyMonkey pour vos sondages, vous restez responsable de la protection des données partagées. Ces plateformes ont leurs propres politiques de confidentialité, leurs propres serveurs, leurs propres pratiques de conservation. Ça mérite une vérification, pas une case cochée.

Ce que ça coûte de ne pas s'en occuper

Un incident de confidentialité dans votre syndicat, concrètement, ce n'est pas d'abord une amende. C'est une atteinte à la relation de confiance avec les membres que vous représentez.

Les situations les plus fréquentes ne déclenchent pas de sanction légale. Elles déclenchent quelque chose de plus difficile à réparer : un ex-membre qui accède encore à vos communications internes parce que personne n'a mis ses accès à jour. Une liste de membres envoyée depuis une adresse personnelle lors d'un changement d'exécutif. Un document de négociation partagé dans le mauvais groupe. Ces failles sont évitables. Quand elles surviennent, votre exécutif passe du temps à gérer les conséquences au lieu de travailler sur les dossiers qui comptent.

Par où commencer

Quelques gestes concrets permettent de réduire votre exposition de façon significative, sans tout refaire d'un coup.

Désignez un responsable officiellement, avec une délégation documentée. Revoyez les accès à vos outils de communication : qui est dans quels groupes, quand vos listes ont-elles été mises à jour pour la dernière fois. Établissez une politique de conservation minimale, même sommaire. Centralisez vos communications officielles dans un environnement où votre organisation contrôle qui voit quoi, où les données sont hébergées au Canada, et où la gouvernance vous appartient.

Fortisia gère automatiquement le retrait des accès quand un membre change de statut, et conserve un registre des modifications pour vos obligations de traçabilité.

Demander une démo

Un syndicat qui prend la Loi 25 au sérieux ne le fait pas seulement pour éviter une sanction. Il le fait parce que ses membres lui confient leurs informations personnelles dans le cadre de leur vie au travail. Cette confiance se mérite à chaque décision.

Comment on vous aide ?

Fini les données de vos membres dispersées entre des groupes Facebook, des fils Messenger et des courriels sans gouvernance.

Fortisia centralise vos communications syndicales dans un environnement structuré, hébergé au Canada, avec des accès définis selon les rôles, les groupes et les sections.

Vos membres accèdent directement à :

  • Vos communications officielles de l’exécutif
  • Vos documents importants dans un espace sécurisé
  • Un canal contrôlé par votre organisation, pas par un algorithme
  • Des accès qui se gèrent par rôle, sans manipuler de listes manuellement

Résultat : vos données restent au Canada, vos accès sont documentés, votre gouvernance tient la route.

Demander une démo

Questions fréquentes

La Loi 25 s’applique-t-elle vraiment à votre syndicat, pas seulement aux entreprises ?

Oui. La Loi 25 s’applique à toute organisation qui collecte, utilise ou communique des renseignements personnels au Québec, peu importe sa nature juridique. Si vous gérez une liste de membres, des données de participation ou des documents de représentation, vous êtes concerné au même titre qu’une entreprise privée.

Qu’est-ce qui constitue un renseignement personnel dans votre contexte syndical ?

Le nom, l’adresse, le numéro de téléphone, l’adresse courriel, le statut d’emploi et les informations liées à la participation syndicale de vos membres sont tous des renseignements personnels au sens de la loi. Les documents de représentation qui identifient un membre individuellement entrent aussi dans cette catégorie.

Que risque votre syndicat si vous ne désignez pas de responsable de la protection des renseignements personnels ?

La Commission d’accès à l’information peut imposer des sanctions administratives. Mais au-delà des amendes, l’absence de responsable désigné signifie que personne ne surveille les incidents, ne documente les pratiques ni ne répond aux demandes d’accès de vos membres. Le risque opérationnel est souvent plus immédiat que le risque légal.

Votre syndicat peut-il être en conformité avec la Loi 25 en utilisant Facebook pour ses communications ?

Techniquement possible, mais très difficile à maintenir. La loi exige un contrôle sur les données partagées avec des tiers, une traçabilité des accès et une capacité à répondre aux demandes de vos membres. Facebook ne permet pas de satisfaire ces exigences de façon rigoureuse : vos données transitent vers des serveurs américains, les accès sont difficiles à auditer et les paramètres de confidentialité changent sans préavis. Fortisia héberge vos données au Canada, avec un contrôle des accès par rôle documenté et auditable.

À quelle fréquence votre syndicat devrait-il revoir ses pratiques de protection des renseignements personnels ?

La loi n’impose pas de fréquence précise, mais une révision annuelle est une bonne pratique. Les déclencheurs naturels sont les changements d’outils numériques, l’ajout d’un nouveau prestataire, une élection au sein de votre exécutif ou un incident de confidentialité, même mineur.

Prêt à moderniser votre syndicat ?

Découvrez comment Fortisia peut transformer la communication avec vos membres.