Archives pour la catégorie Association et RGPD (ou GDPR)

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Il est très courant pour les associations de faire des recherches sur des personnes qui, par exemple, ont déjà fait un don. L’idée étant, qu’une fois ces donateurs sélectionnés et classifiés, il est possible de créer des campagnes d’appel à dons plus ciblées et donc plus efficaces. Ce profilage est-il autorisé sous le Règlement Européen sur la Protection des Données (RGPD ou GDPR)?

Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Qu’est-ce que le profiling ou le profilage ?

Le RGDP ou GDPR définit à l’article 4 (4) le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique».

Le profilage, ou profiling en anglais, est très courant surtout dans les pays anglo-saxon. Il est généralement utilisé par des sociétés qui analyse le “profil de consommation” de chaque client ou prospect, avant de décider d’une stratégie de marketing. Grâce à ce profilage, la société est à même d’adapter sa communication et donc de bâtir la meilleure offre commerciale.

Le problème du profilage et de la recherche dans le fundraising

Le profilage a rapidement été adopté par les associations, cherchant à établir une image plus complète de leur donateur, elles aussi, pour rendre leur communication et donc leurs appels à dons plus efficace.

Le profilage est-il autorisé par le RGDP ou GDPR ?

Il est important de souligner que le RGPD n’impose pas d’interdiction généralisée sur le profilage et la prise de décision automatisée. Le RGPD indique ainsi qu’un traitement de ce type doit être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée (donc il faut informer les donateurs de ce profilage) ainsi que le droit d’obtenir une intervention humaine (article 22), d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.

Mon association est-elle concernée ?

Potentiellement oui. Cela dépend des pratiques de fundraising de votre association. Pour une clarification des pratiques autorisées, il est intéressant de regarder la situation au Royaume Unis ou l’association British Heart Foundation s’est vue infliger une amende de 18 000 GBP pour avoir enfreint la loi sur la protection des données. L’association avait ciblé de nouveaux donneurs pour ses campagnes d’appel à dons en rassemblant des renseignements personnels obtenus de sources publiques et en échangeant des renseignements personnels avec d’autres associations afin de créer une base de données de donateurs. Le régulateur anglais a déclaré que les donateurs n’étaient pas informés de ces pratiques et étaient donc incapables de donner leur consentement (ou d’objecter).

Le régulateur anglais, appelé l’ Office of the Information Commissioner(OIC), affirme dans son blog qu’il reconnaît que le profilage peut être «un outil puissant pour les organismes caritatifs et peut bénéficier aux individus, à l’économie et à la société en général». Cependant, l’OIC souligne le fait que le profilage peut aussi parfois avoir « des effets significatifs et préjudiciables sur les personnes”.

Quelles sont les pratiques au Royaume Unis ?

L’OIC a récemment publié un document sur le profilage (ico-feedback-request-profiling-and-automated-decision-making) qui peut être intéressant pour les associations (nous n’avons pas trouvé un tel document pour la CNIL, mais l’avis d’un autre régulateur soumis au RGPD peut être utile). Le point essentiel pour les associations et les fundraisers est d’examiner quelle sera leur base juridique pour le traitement dans le contexte du profilage, et documenter cela conformément aux exigences du RGPD.

En tant que fundraiser, vous pouvez vous baser sur le consentement comme fondement juridique du profilage de vos donateur. Rappelez vous que ce consentement doit être donné librement, spécifique, informé et sans ambiguïté. Donc vos mentions legales et votre politique de confidentialité doit être claire sur le profilage.

D’autres bases légales que votre association peut utiliser pour le profilage incluent le traitement étant:

  • nécessaire à l’exécution d’un contrat; ou
  • nécessaire aux fins des intérêts légitimes poursuivis par votre association.

Cependant, vous devrez être en mesure de démontrer que le profilage est nécessaire pour atteindre cet objectif, plutôt que simplement utile. Il sera bien plus difficile de prouver que le profilage est nécessaire (car en réalité il est plutôt utile pour vous), et il est probablement sage de se baser sur le consentement des donateurs et donc de leur information.

Il est intéressant de noter que l’”institute of fundraising”, a publiée sur son site Web une réponse à cette étude (iof-gdpr-essentials-report-final-v1), et indique que la grande majorité des associations utilisent des données publiques pour effectuer le profilage afin d’identifier de nouveaux donateurs potentiels et pour s’assurer que leurs communications avec les donateurs existants sont adaptées. Selon l’IoF cela implique une intervention humaine, plutôt que des ‘processus automatisés », du GDPR, et donc devrait bénéficier d’un traitement différent.

Que doit faire mon association ?

Vos mentions légales sur la confidentialité des données doit contenir des références claires sur les points suivants:

• Partage de données avec une autre organisation (que les données soient vendues ou échangées gratuitement)

• Recherche, indépendamment du fait que les données proviennent du domaine public ou d’une source accessible au public. Par recherche, on entend essayer de trouver des informations sur la situation financière d’une personne, ses biens, ses dons antérieurs ou sa propension à donner.

• Tout autre profilage, recherche ou sélection, qui peut inclure l’âge, les intérêts, la santé, ou des évaluations éthiques ou similaires.

• Acquérir des données de tiers – cela inclut les détails des donateurs potentiels, l’acquisition de données pour étayer les dossiers de donneurs existants ou potentiels

***

Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :

Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD

Guide sur la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) pour les petites associations

Si vous êtes une petite association, l’idée d’avoir à effectuer un long audit de vos données et de nombreux changements peut être décourageante. Voici un petit guide, adapté aux petites associations, pour vous familiariser avec la Réglementation Générale sur la Protection des Données (RGPD ou GDPR).

Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Screen Shot 2018-02-06 at 10.05.20.png

Quelles sont les dispositions essentielles pour ma petite association ?

Le plus grand changement sur la collecte et le traitement des données personnelles est basé sur le consentement. Pour une petite association, la plus importante base légale d’une collecte et du traitement sera le consentement de la personne concernée (c’est à dire de la personne dont vous stockez les données). Ce consentement signifie offrir aux personnes concernées un véritable choix et un contrôle sur la façon dont vous utilisez ou gardez leurs données.

Comment cela affecte-t-il mon association?

1- Votre association collecte des données

Lorsque vous collectez des informations sur des membres, adhérents ou donateurs sur votre site Web et vos formulaires en ligne, vous devrez donner à la personne concernée une option claire pour savoir si elle consent ou non à ce que ses données soient traitées et à quelles fins. Si vous n’obtenez pas de consentement explicite, vous n’êtes pas autorisé à utiliser ces données. Par exemple, sur un formulaire de don, vous aurez besoin d’une case à cocher (la case ne peut pas être pré-cochée) demandant si le donateur souhaite recevoir des mises à jour. Sur les formulaires d’abonnement à la newsletter, vous devrez expliquer clairement ce que l’abonné recevra.

2- Votre association enregistre et conserve des données

Votre logiciel de gestion d’association dans lequel vous stockez des données personnelles, devra permettre l’enregistrement du consentement et des préférences de communication des personnes concernées. Une solution simple consiste à utiliser un système intégrant les données de votre site web dans votre base de données. Un CRM par exemple pourra vous aider. Si vous utilisez différents outils web (mass mailer, plateforme de crowdfunding, logiciel de gestion des membres) qui ne sont pas intégrés, vous ne pourrez jamais avoir une vue 360 des données collectées et des consentements de vos donateurs, membres ou adherents.

3- Votre association communiquer avec des membres, donateurs ou autres

Attention lorsque vous envoyez des informations par email à des membres, donateurs ou autres, vous devrez être sûr qu’ils ont opté pour le type de communication que vous êtes sur le point d’envoyer. Vous devrez également être sûr que vous offrez à ces personnes un moyen simple de refuser les communications.

4- Votre association n’a pas d’historique du consentement

Selon la qualité de vos systèmes existants et selon la manière dont vous avez collecté les données dans le passé, vous devrez peut-être contacter de manière proactive vos membres et donateurs existants pour vous assurer qu’ils ont activement adhéré à vos communications via email.

5- Votre association a un site Web et des formulaires de dons en ligne

  • Vérifiez que les pages de votre site web qui recueillent des données, recueillent également le consentement.
  • Rédiger vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement.
  • Rédigez un texte de demande de consentement. Le texte doit être clair et facilement compréhensible pour tout le monde: ce texte doit expliquer clairement quelles informations vous collectez et comment vous les utilisez.
  • Demander clairement et activement le consentement sur vos formulaires. Ajouter une case vide que l’utilisateur devra cocher afin de démontrer qu’il a donné son consentement explicite.
  • Si possible ajoutez un mécanisme de « double opt-in » afin de pouvoir prouver le consentement explicite de vos contacts.
  • Vérifiez que votre logiciel de gestion qui capture les données, vous permet d’offrir un opt-in/opt-out. Vérifiez que votre fournisseur de logiciel actuel maîtrise GDPR et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? etc

6- Un logiciel de gestion pour association intégré

Nous pensons que cette nouvelle réglementation incitera les petites associations à réfléchir sérieusement à l’intégration entre leurs différents systèmes. VerticalSoft est un logiciel de gestion tout-en-un basé sur Salesforce. Salesforce a un site entier dédié à ce problème. Ils restent les leader dans le domaines de la gestion des données. VerticalSoft propose un système de “opt-in” et “opt-out” permettant de gérer plus facilement la collecte du consentement de vos membres, contacts ou volontaires. Toutes les informations collectées sur les formulaires en ligne et le site web de votre association sont centralisées sous chaque contact, vous donnant une vue 360 des données et du consentement de chaque personne.

***

Si vous êtes une association de la Loi 1901, vous pouvez bénéficier d’une consultation gratuite sur votre stratégie web, de fundraising et sur l’utilisation du numérique. N’hésitez pas à nous contacter pour nous faire part de vos besoins.

Pour plus d’information sur le sujet, voir :

Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD

 

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Le règlement européen GDPR (General Data Protection Regulation) ou RGPD (Réglementation Générale sur la Protection des Données), sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne et donc en France. Nous aborderons dans cet article la question du site web et des formulaires en ligne de votre association et de comment les rendre conforme au GDPR.

Pour plus d’information sur le sujet, voir:

Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD

Rappel du principe de base du RGPD (GDPR)

Le GDPR, connu sous le nom anglais de General Data Protection Regulation, ou RGPD (Réglementation Générale sur la Protection des Données) est un ensemble complet de réglementations qui s’appliquera à tous les pays membres de l’UE d’ici mai 2018.

L’objectif principal de cette nouvelle réglementation est de permettre aux personnes physiques de contrôler le traitement de leurs données personnelles. Ainsi, la nouvelle réglementation impose des règles plus strictes que les règles existantes aux organisations (et donc aux associations!) qui traitent ces données.

Le consentement

Le consentement de la personne à la collecte et au traitement de leurs données personnelles est central à la nouvelle réglementation. Le consentement, pour nombreuses associations, sera la justification du traitement des données. Attention, votre association devra être en mesure de prouver explicitement le recueil de ce consentement en cas de contrôle de la CNIL.

Le consentement de la personne concernée est défini à l’article 7 du règlement comme étant toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Attention si le consentement est le fondement de votre traitement, alors votre association devra être en mesure de prouver que la personne concernée a effectivement consenti à l’opération de traitement.

Comment s’assurer que le site web et les formulaires en ligne de votre association sont conformes au GDPR?

Effectuez un état des lieux des données récoltées par votre association, de leur traitement, et des moyens de contrôle en place. Déterminez également les zones de risques vis-à-vis des exigences du GDPR. Plus spécifiquement pour votre site web et vos formulaires en ligne:

  • Vérifiez que les pages de votre site web qui recueillent des données, recueillent également le consentement.
  • Rédiger vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement.
  • Rédigez un texte de demande de consentement. Le texte doit être clair et facilement compréhensible pour tout le monde: ce texte doit expliquer clairement quelles informations vous collectez et comment vous les utilisez.
  • Demander clairement et activement le consentement sur vos formulaires. Ajouter une case vide que l’utilisateur devra cocher afin de démontrer qu’il a donné son consentement explicite.
  • Si possible ajoutez un mécanisme de « double opt-in » afin de pouvoir prouver le consentement explicite de vos contacts.
  • Vérifiez que votre logiciel de gestion qui capture les données, vous permet d’offrir un opt-in/opt-out. Vérifiez que votre fournisseur de logiciel actuel maîtrise GDPR et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? Voir Pourquoi utiliser un CRM ou logiciel de gestion d’association vous aidera à être en conformité avec le RGPD ou GDPR.
  • Si vous voulez avoir plus d’information sur VerticalSoft et comment notre logiciel peut vous aider a être en conformité avec le RGPD, contactez nous ici.

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Dès lors, la CNIL pourra sanctionner les organismes pour non-respect du GDPR. Or, l’une des nouvelles obligations phare du règlement est la tenue d’un registre des activités de traitement (art. 30 GDPR). Cette obligation s’applique t-elle aux associations?

Qu’est ce qu’un registre

Un registre n’est autre qu’un fichier qui comporte toutes les informations importantes pour prouver le respect du GDPR. Ainsi, ce dernier comporte (voir Article 30 pour plus de détails: nous présentons ici un résumé de cet article):

a) le nom et les coordonnées du responsable du traitement

b) les finalités du traitement

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées;

e) les délais prévus pour l’effacement des différentes catégories de données;

f) une description générale des mesures de sécurité techniques et organisationnelles. Et toute information en ce qui concerne les sous-traitants.

A qui s’applique l’obligation de tenir un registre des activités de traitement?

Cette obligation ne s’applique qu’aux organismes de 250 employés et plus.

Mon association est-elle obligée de tenir un registre des activités de traitement?

Probablement pas, mais attention, le fait que vous ayez moins 250 salariés ne signifie pas forcément une totale exonération. En effet, les organismes qui effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent aussi se plier à l’exercice. Probablement votre association n’est donc pas concernée, mais elle peut, si elle le désire et pour des raisons de clarté, tenir ce registre.

Exemple de registre de la CNIL

Tenir un tel registre peut vous permettre de cartographier vos données et de vous assurer que vous êtes en conformité avec le règlement. Vous pouvez cliquer sur le modele-de- registre-GDPR  ou le télécharger directement du site de la CNIL.

Pour plus d’information sur le sujet, voir nos articles précédents:

Pour recevoir le guide complet, cliquez ici:

Screen Shot 2018-02-06 at 10.05.20.png

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données (GDPR ou RGPD) et association: faut-il désigner un délégué à la protection des données (DPO) ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Règlement européen sur la protection des données (GDPR ou RGPD) et association: faut-il désigner un délégué à la protection des données (DPO) ?

Le délégué à la protection des données est au cœur du nouveau règlement européen. Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du DPO, sous peine de sanctions.

Qui est le DPO?

Le Délégué à la protection des données est une évolution correspondant informatique et libertés (CIL). Le délégué est la personne qui a pour mission de veiller à ce que un organisme protège convenablement les données à caractère personnel des individus, conformément à la législation en vigueur.

Fonctions du DPO

Le DPO sera responsable de conseiller votre association et ses salariés des règles applicables. Notamment il sera là pour contrôler le respect du règlement et pour coopérer avec la CNIL.

Mon association doit-il elle désigner un délégué à la protection des données ?

Selon le règlement, un DPO doit être désigné par une association lorsque:

b) les activités de base de votre association consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;

c) les activités de base e votre association consistent en un traitement à grande échelle de catégories particulières de données des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Si votre association n’est pas concernee par l’un des cas ci-dessus, elle n’est pas obligée de désigner un DPO, mais il est probablement recommandé pour les grandes associations de désigner une personne en interne chargée de l’application de cette nouvelle réglementation.

Voir nos autres articles sur le règlement européen sur la protection des données

Pour voir notre guide complet sur le RGDP, Cliquez ici.

Screen Shot 2018-02-06 at 10.05.20.png

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Le règlement européen GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne et donc en France. Comment préparer votre association pour être en conformité avec cette nouvelle réglementation?

Lire la suite Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Ce nouveau règlement européen s’appliquera à toute entité qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Quelles sont les implications de cette nouvelle régulation pour votre association ?

Lire la suite Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?