Tous les articles par Sophie Gioanni

Sophie est chargée du développement international de VerticalSoft.com. VerticalSoft est un logiciel de gestion en ligne, tout-en-un, permettant de gérer et promouvoir votre association, fondation ou toute organisation à but non lucratif.

Votre association et la réglementation des abonnements à une newsletter

Pour une association, communiquer avec ses membres, ses donateurs ou ses contacts est un aspect essentiel de la vie associative. Il est en effet important de développer une politique marketing qui permettra à votre association de continuer à diffuser son message et d’élargir son réseau.  Que ce soit pour faire un nouvel appel de fonds, informer vos membres d’un nouveau cours ou atelier, ou même tenir à jour vos membres de l’avancée de votre mission, l’envoi d’un e-mail d’information (ou d’une newsletter) sera votre mode préféré de communication. Mais quelles sont vos obligations légales en matières de communications électronique? Peut-on envoyer une newsletter aux membres de son association ou aux prospects qui ont rempli un formulaire de contact (cliquez ici pour lire notre article sur la réglementation des formulaires de contacts) ou récemment fait un don?

Rappel: pour envoyer une newsletter, vous devez d’abord collecter des données personnelles

l’article 32 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés précise que toute collecte de données personnelles doit s’accompagner d’une information de l’utilisateur. L’inscription à une newsletter, le remplissage d’une fiche de contact ou d’une fiche de dons est une collecte de données personnelles, puisque l’adresse e-mail de la personne est enregistrée et sauvegardée pour être ré-utilisée par votre association.

“I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant:

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

– Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

– des moyens dont il dispose pour s’y opposer.”

Ainsi aux termes de la loi, l’utilisateur doit être informé :

  • de l’identité du responsable du traitement ou de son représentant ;
  • de l’identité de l’expéditeur ;
  • de la finalité du traitement (ex. gestion de fichiers spectateurs, diffusion…) ;
  • du caractère obligatoire ou facultatif des informations collectées ;
  • des destinataires de ces informations ;
  • des conséquences éventuelles d’un défaut de réponse ;
  • de l’existence de droits pour les personnes fichées et auprès de qui les faire valoir ;
  • des transmissions envisagées.

Toutes ces informations sont en général incluses dans vos mentions légales de votre site. Celles-ci devront énoncer vos obligations en matières de stockage, mise à jour et partage avec des tiers de ces données. Assurez vous de mettre un lien vers ces mentions légales sur vos formulaires d’inscription et sur toutes vos communications.

Quel consentement le consommateur doit-il donner?

En matière d’abonnement à une newsletter, il faut distinguer quatre cas de figure:

  1. L’opt-in actif : l’utilisateur coche lui-même la case. Il indique de manière formelle qu’il veut recevoir ladite newsletter,
  2. L’opt-in passif : la case est déjà pré-cochée. Beaucoup de gens ne se rendent à ce moment pas compte qu’ils s’abonnent à une newsletter. ~Le distributeur a donc une liste plus large.
  3. L’opt-out actif : l’utilisateur doit cocher une case s’il ne souhaite pas s’abonner,
  4. L’opt-out passif : il est abonné automatiquement et doit faire une démarche de désabonnement s’il ne souhaite plus recevoir d’informations.
  5. Double opt-in: Le double opt-in permet de contrôler la validité de l’adresse email d’un contact tout juste inscrit. Votre client remplit le formulaire, puis reçoit un e-mail. Il doit cliquer dessu pour confirmer son adresse et pour être inscrit. Cette pratique n’est pas obligatoir mais permet de maintenir vos fichier en s’assurant que les adresses collectées sont valides.

Les règles relatives à La publicité par voie électronique sont énoncées dans l’article 22 de la Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

“Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.

« Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.

« Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

« Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé.”

En France, l’envoi par un site à des particuliers d’e-mails non-sollicités est interdit. L’inscription automatique est donc totalement interdite (même si de nombreux sites le font!), et cela même si le site précise à ses clients qu’ils pourront se désinscrire via un lien en bas de chaque mail : il faut que le client coche lui-même la case.  Ainsi, avant d’envoyer une quelconque communication, vous devez recueillir le consentement explicite du consommateur à recevoir l’email ou un “opt-in”.  Le consentement doit étre exprimé specifiquement pour recevoir des emails, le consentement recueilli par la simple acceptation des conditions générales d’utilisation ou de vente n’est pas valable.  De même, “L’opt-out”: n’est pas autorisé en France (sauf les 2 exceptions ci-dessous).

A mettre sur vos formulaire de contacts ou dons

Screen Shot 2016-10-13 at 09.52.49.png

A ne pas faire

Screen Shot 2016-10-13 at 09.53.22.png

(Templates ci-dessu de Neo camino)

Exceptions au recueil du consentement préalable

– Exceptions de services/produits similaires: le message publicitaire concerne des produits ou services analogues à ceux que le consommateur a déjà acquis auprès du même organisme.

– Exception des profesionnels: le message publicitaire est envoyé sur l’adresse électronique professionnelle d’une personne physique (ex : nom.prénom@nomdelasociete.com) et que l’objet de la sollicitation est en rapport avec sa profession; Les adresses professionnelles génériques de type (info@nomsociete.fr, contact@nomsociete.fr, commande@nomsociete.fr) sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.

Dans les deux hypothèses ci-dessu, la personne doit être informée que son adresse électronique sera utilisée à des fins de prospection lors de la collecte de ses coordonnées. Elle doit être en mesure de s’opposer à l’utilisation de ses coordonnées de manière simple et gratuite.

A mettre sur vos formulaire de subscriptions (si vous désirez vendre un service similaire)

Screen Shot 2016-10-13 at 09.54.24.png

(Templates de la CNIL)

Droit d’opposition et conservation limitée des données

Assurez vous que tout message publicitaire que vous adressez par voie électronique offre au consommateur un moyen gratuit, simple, direct et facilement accessible de ne plus recevoir de message. Enfin, rappellez vous que si le consommateur ne répond à aucune sollicitation 3 ans après le dernier contact, les informations le concernant doivent être supprimées.

A mettre sur tous vos emails publicitaires et newsletters

Si vous ne souhaitez plus recevoir d’informations de notre part, vous pouvez vous désabonner ICI

OU

Pour ne plus recevoir nos messages, cliquez ICI

Pénalités

  • Amende de 750 € par message expédié: Contravention de la 4e classe prévue par l’article R.10-1 du code des postes et des communications électroniques
  • 5 ans emprisonnement et 300 000 € amende (Délit prévu par les articles 226-18 et 226-18-1 du code pénal) et jusqu’à 300 000 € d’amende (sanction prononcée par la CNIL, prévue par l’article 47 de la loi informatique et libertés modifiée)

Cas particulier des associations (Voir notre article sur la réglementation des formulaires de contact)

Les associations sont soumises à un régime particulier en ce qui concerne leur fichiers de donateurs et de membres. Notamment, les associations sont bénéficiaires d’une dispense de déclaration n°8 qui concerne les traitements de données personnelles mis en oeuvre par tout organisme à but non lucratif (association loi 1901, fondations, fonds de dotation) pour la gestion administrative de leurs membres, bénévoles et donateurs. Elle concerne également les annuaires des membres y compris ceux diffusés sur internet ainsi que toute action de prospection réalisée auprés membres, donateurs.

Cependant, les associations ne sont pas dispensées d’informer leurs donateurs, membres ou prospects, lors de la collecte des données de toute opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition, d’accès et de rectification et sur les modalités d’exercice de ces droits. Leur consentement doit être obtenu si l’association envisage de céder ou louer leurs coordonnées à des fins de prospection commerciale par voie électronique (e-mailing).

A mettre sur vos formulaire de contacts ou dons

Respect de votre vie privée: Vos coordonnées nous sont indispensables pour vous envoyer votre reçu fiscal. Conformément à la loi informatique et libertés du 6 janvier 1978, vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données vous concernant. Pour exercer ce droit, adressez-vous à :

Association XYZ

Adresse, Ville, France

Tél : xxx – Fax : xxx

E-mail : donateurs@xxx.com

A mettre sur tous vos emails publicitaires et newsletters

Si vous ne souhaitez plus recevoir d’informations de notre part, vous pouvez vous désabonner ICI

OU

Pour ne plus recevoir nos messages, cliquez ICI

Sophie Mollen

A PROPOS DE L’AUTEUR

Sophie GIOANNI est chargée du développement international de la solution cloud VerticalSoft.com qui permet de gérer et de promouvoir votre association, fondation, ou tout autre organisation à but non lucratif, depuis une interface unique.

Votre association et la réglementation des formulaires de contact

Si le site de votre association comporte des formulaires en ligne de collecte d’information, sous quelque forme que ce soit et pour quelque raison que ce soit, il existe une obligation particulière issue de la loi « informatique et libertés » (Article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.).

Déclaration à la CNIL

Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l’informatique et des libertés (Cnil) sous forme d’une :

  • déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l’objet d’une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles, etc.), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d’une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail, etc.),
  • déclaration simplifiée valant engagement de conformité, pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes. Par exemple, les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d’un site web, qui ne bénéficient ni d’une dispense, ni d’une procédure allégée, doivent faire l’objet d’une déclaration normale.

Exception pour les associations: la dispense n° 8 (Délibération CNIL n° 2010-229 du 10 juin 2010)

Ne sont pas soumises à l’obligation de déclaration à la Cnil, les données concernant notamment :

  • des activités exclusivement personnelles (rédaction d’un blog par exemple),
  • les membres et contacts d’une association à caractère politique, syndical ou religieux (attention si la collecte d’information ne concerne pas uniquement les membres de l’association mais par exemple les participants à un évènement sportif que vous organisez, il faut faire une déclaration normale et bien sûr respecter les principes de la loi « informatique et libertés »)
  • l’activité professionnelle d’un artiste (écrivain, cinéaste, éditeur…),
  • les opérations courantes de l’entreprise (comptabilité, fichiers de fournisseurs, gestion des paies, registre unique du personnel, déclarations sociales obligatoires, etc.).

Plus particulièrement pour les associations, celles-ci ne peuvent bénéficier de la dispense de la déclaration que si les conditions suivantes sont satisfaites:

Finalités du traitement (Article 2):

l’enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations, conformément aux dispositions statutaires qui régissent les intéressés;

d’établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres ou de contacts, notamment en vue d’adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l’objet statutaire de l’organisme ;

d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet. Le traitement peut avoir également pour finalité la tenue d’annuaire d’anciens élèves ou d’étudiants ;

d’effectuer par tout moyen de communication des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects. Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.

Les données traitées bénéficiant de l’exonération (Article 3):

l’identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;

les informations relatives à la gestion administrative de l’organisme : état des cotisations, position vis-à-vis de l’association, informations strictement liées à l’objet statutaire de l’organisme, identité bancaire pour la gestion des dons ;

données de connexion (date, heure, adresse internet protocole de l’ordinateur du visiteur, page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.

Les données traitées exclues de l’exonération (Article 3):

les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (art. 8 de la loi du 6 janvier 1978 modifiée) ;

les données concernant les infractions, condamnations ou mesures de sûreté (art. 9 de la loi du 6 janvier 1978 modifiée) ;

les données relatives aux difficultés sociales et économiques des personnes ;

le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou numéro de sécurité sociale).

Information et consentement des personnes concernées (Article 4)

Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de leurs droits.

Durée de conservation (Article 5)

Les données à caractère personnel ne peuvent être conservées après la démission, la radiation ou le départ, sauf accord exprès de l’intéressé.

S’agissant des donateurs, la commission recommande qu’elles ne soient pas conservées au-delà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de prendre toutes mesures utiles pour s’assurer que les données sont exactes, complètes et mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des sollicitations. En tout état de cause, les données doivent être conservées pour une durée limitée.

Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées.

En cas d’établissement d’annuaire (Article 6)

En cas d’établissement d’annuaire des associations : Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes concernées doivent en être préalablement informées et doivent être mises en mesure de s’opposer à ce que tout ou partie des données les concernant soit publié.

La commission recommande à cet égard que l’accès à l’annuaire par le biais d’internet soit en accès restreint et que les personnes aient la possibilité d’indiquer les informations qu’elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version web que papier de l’annuaire. Les personnes figurant dans l’annuaire doivent également avoir été mises en mesure de s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.

La prospection de nouveaux membres (Article 6)

En cas d’opérations relatives à des actions de prospection auprès des membres, donateurs et prospects : Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais, à tout moment et sans justification.

Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie électronique, les personnes concernées doivent préalablement consentir à une telle utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins commerciales.

La CNIL a rappelé que le responsable du traitement qui utilise des données issues d’un fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s’assurer que les personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des fins de prospection.

La CNIL recommande que les messages de sollicitations indiquent aux personnes démarchées l’origine des informations utilisées pour leur faire parvenir ce message lorsque les données n’ont pas été recueillies directement par l’organisme à l’origine du message. Si les données à caractère personnel ont été collectées via un formulaire, le droit d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.

En savoir plus

Délibération n° 2010-229 du 10 juin 2010 dispensant de déclaration les traitements automatisés de données à caractère personnel mis en œouvre par des organismes à but non lucratif abrogeant et remplaçant la délibération n° 2006-130 du 9 mai 2006 (décision de dispense de déclaration n° 8)

En pratique

Même si l’on bénéficie d’une dispense, il est nécessaire d’informer les personnes de la collecte de leurs données. À ce titre, il faut indiquer :

  1. l’identité de la personne qui assure la gestion des données personnelles ;
  2. à quoi est destinée la collecte des données personnelles ;
  3. le caractère obligatoire ou facultatif de donner ses données ;
  4. les conséquences éventuelles, à son égard, d’un défaut de réponse ;
  5. à qui sont transmises les données ;
  6. les droits dont disposent les personnes dont les données sont collectées (accès, opposition, rectification et suppression des données) ;
  7. si des transferts de données à caractère personnel sont envisagés à destination d’un État non membre de la Communauté européenne.

Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d’ aide à la déclaration sur le site de la Cnil. https://www.cnil.fr/fr/declarer-un-fichier

Exemple de texte

“

TRAITEMENT DES DONNÉES NOMINATIVES: En effectuant un don sur ce site, vos nom et coordonnées seront conservés notamment afin d’éditer votre reçu fiscal. 
De même, si vous êtes abonné(e) à une de nos listes de diffusion, vos coordonnées seront conservées à l’usage exclusif de notre association. Elle ne seront ni cédées, ni louées, ni échangées.
 Conformément à la loi informatique et libertés du 6 janvier 1978, vous disposez d’un droit d’accès, de suppression et de rectification aux données personnelles vous concernant en vous adressant à notre association sur : XXXX@XXX.com”

Sophie Mollen

A PROPOS DE L’AUTEUR

Sophie GIOANNI est chargée du développement international de la solution cloud VerticalSoft.com qui permet de gérer et de promouvoir votre association, fondation, ou tout autre organisation à but non lucratif, depuis une interface unique.