Il est très courant pour les associations de faire des recherches sur des personnes qui, par exemple, ont déjà fait un don. L’idée étant, qu’une fois ces donateurs sélectionnés et classifiés, il est possible de créer des campagnes d’appel à dons plus ciblées et donc plus efficaces. Ce profilage est-il autorisé sous le Règlement Européen sur la Protection des Données (RGPD ou GDPR)?
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Qu’est-ce que le profiling ou le profilage ?
Le RGDP ou GDPR définit à l’article 4 (4) le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique».
Le profilage, ou profiling en anglais, est très courant surtout dans les pays anglo-saxon. Il est généralement utilisé par des sociétés qui analyse le “profil de consommation” de chaque client ou prospect, avant de décider d’une stratégie de marketing. Grâce à ce profilage, la société est à même d’adapter sa communication et donc de bâtir la meilleure offre commerciale.
Le problème du profilage et de la recherche dans le fundraising
Le profilage a rapidement été adopté par les associations, cherchant à établir une image plus complète de leur donateur, elles aussi, pour rendre leur communication et donc leurs appels à dons plus efficace.
Le profilage est-il autorisé par le RGDP ou GDPR ?
Il est important de souligner que le RGPD n’impose pas d’interdiction généralisée sur le profilage et la prise de décision automatisée. Le RGPD indique ainsi qu’un traitement de ce type doit être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée (donc il faut informer les donateurs de ce profilage) ainsi que le droit d’obtenir une intervention humaine (article 22), d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.
Mon association est-elle concernée ?
Potentiellement oui. Cela dépend des pratiques de fundraising de votre association. Pour une clarification des pratiques autorisées, il est intéressant de regarder la situation au Royaume Unis ou l’association British Heart Foundation s’est vue infliger une amende de 18 000 GBP pour avoir enfreint la loi sur la protection des données. L’association avait ciblé de nouveaux donneurs pour ses campagnes d’appel à dons en rassemblant des renseignements personnels obtenus de sources publiques et en échangeant des renseignements personnels avec d’autres associations afin de créer une base de données de donateurs. Le régulateur anglais a déclaré que les donateurs n’étaient pas informés de ces pratiques et étaient donc incapables de donner leur consentement (ou d’objecter).
Le régulateur anglais, appelé l’ Office of the Information Commissioner(OIC), affirme dans son blog qu’il reconnaît que le profilage peut être «un outil puissant pour les organismes caritatifs et peut bénéficier aux individus, à l’économie et à la société en général». Cependant, l’OIC souligne le fait que le profilage peut aussi parfois avoir « des effets significatifs et préjudiciables sur les personnes”.
Quelles sont les pratiques au Royaume Unis ?
L’OIC a récemment publié un document sur le profilage (ico-feedback-request-profiling-and-automated-decision-making) qui peut être intéressant pour les associations (nous n’avons pas trouvé un tel document pour la CNIL, mais l’avis d’un autre régulateur soumis au RGPD peut être utile). Le point essentiel pour les associations et les fundraisers est d’examiner quelle sera leur base juridique pour le traitement dans le contexte du profilage, et documenter cela conformément aux exigences du RGPD.
En tant que fundraiser, vous pouvez vous baser sur le consentement comme fondement juridique du profilage de vos donateur. Rappelez vous que ce consentement doit être donné librement, spécifique, informé et sans ambiguïté. Donc vos mentions legales et votre politique de confidentialité doit être claire sur le profilage.
D’autres bases légales que votre association peut utiliser pour le profilage incluent le traitement étant:
- nécessaire à l’exécution d’un contrat; ou
- nécessaire aux fins des intérêts légitimes poursuivis par votre association.
Cependant, vous devrez être en mesure de démontrer que le profilage est nécessaire pour atteindre cet objectif, plutôt que simplement utile. Il sera bien plus difficile de prouver que le profilage est nécessaire (car en réalité il est plutôt utile pour vous), et il est probablement sage de se baser sur le consentement des donateurs et donc de leur information.
Il est intéressant de noter que l’”institute of fundraising”, a publiée sur son site Web une réponse à cette étude (iof-gdpr-essentials-report-final-v1), et indique que la grande majorité des associations utilisent des données publiques pour effectuer le profilage afin d’identifier de nouveaux donateurs potentiels et pour s’assurer que leurs communications avec les donateurs existants sont adaptées. Selon l’IoF cela implique une intervention humaine, plutôt que des ‘processus automatisés », du GDPR, et donc devrait bénéficier d’un traitement différent.
Que doit faire mon association ?
Vos mentions légales sur la confidentialité des données doit contenir des références claires sur les points suivants:
• Partage de données avec une autre organisation (que les données soient vendues ou échangées gratuitement)
• Recherche, indépendamment du fait que les données proviennent du domaine public ou d’une source accessible au public. Par recherche, on entend essayer de trouver des informations sur la situation financière d’une personne, ses biens, ses dons antérieurs ou sa propension à donner.
• Tout autre profilage, recherche ou sélection, qui peut inclure l’âge, les intérêts, la santé, ou des évaluations éthiques ou similaires.
• Acquérir des données de tiers – cela inclut les détails des donateurs potentiels, l’acquisition de données pour étayer les dossiers de donneurs existants ou potentiels
***
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?
Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD
VerticalSoft 