Archives du mot-clé Lois & Réglementations

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Il est très courant pour les associations de faire des recherches sur des personnes qui, par exemple, ont déjà fait un don. L’idée étant, qu’une fois ces donateurs sélectionnés et classifiés, il est possible de créer des campagnes d’appel à dons plus ciblées et donc plus efficaces. Ce profilage est-il autorisé sous le Règlement Européen sur la Protection des Données (RGPD ou GDPR)?

Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Qu’est-ce que le profiling ou le profilage ?

Le RGDP ou GDPR définit à l’article 4 (4) le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique».

Le profilage, ou profiling en anglais, est très courant surtout dans les pays anglo-saxon. Il est généralement utilisé par des sociétés qui analyse le “profil de consommation” de chaque client ou prospect, avant de décider d’une stratégie de marketing. Grâce à ce profilage, la société est à même d’adapter sa communication et donc de bâtir la meilleure offre commerciale.

Le problème du profilage et de la recherche dans le fundraising

Le profilage a rapidement été adopté par les associations, cherchant à établir une image plus complète de leur donateur, elles aussi, pour rendre leur communication et donc leurs appels à dons plus efficace.

Le profilage est-il autorisé par le RGDP ou GDPR ?

Il est important de souligner que le RGPD n’impose pas d’interdiction généralisée sur le profilage et la prise de décision automatisée. Le RGPD indique ainsi qu’un traitement de ce type doit être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée (donc il faut informer les donateurs de ce profilage) ainsi que le droit d’obtenir une intervention humaine (article 22), d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.

Mon association est-elle concernée ?

Potentiellement oui. Cela dépend des pratiques de fundraising de votre association. Pour une clarification des pratiques autorisées, il est intéressant de regarder la situation au Royaume Unis ou l’association British Heart Foundation s’est vue infliger une amende de 18 000 GBP pour avoir enfreint la loi sur la protection des données. L’association avait ciblé de nouveaux donneurs pour ses campagnes d’appel à dons en rassemblant des renseignements personnels obtenus de sources publiques et en échangeant des renseignements personnels avec d’autres associations afin de créer une base de données de donateurs. Le régulateur anglais a déclaré que les donateurs n’étaient pas informés de ces pratiques et étaient donc incapables de donner leur consentement (ou d’objecter).

Le régulateur anglais, appelé l’ Office of the Information Commissioner(OIC), affirme dans son blog qu’il reconnaît que le profilage peut être «un outil puissant pour les organismes caritatifs et peut bénéficier aux individus, à l’économie et à la société en général». Cependant, l’OIC souligne le fait que le profilage peut aussi parfois avoir « des effets significatifs et préjudiciables sur les personnes”.

Quelles sont les pratiques au Royaume Unis ?

L’OIC a récemment publié un document sur le profilage (ico-feedback-request-profiling-and-automated-decision-making) qui peut être intéressant pour les associations (nous n’avons pas trouvé un tel document pour la CNIL, mais l’avis d’un autre régulateur soumis au RGPD peut être utile). Le point essentiel pour les associations et les fundraisers est d’examiner quelle sera leur base juridique pour le traitement dans le contexte du profilage, et documenter cela conformément aux exigences du RGPD.

En tant que fundraiser, vous pouvez vous baser sur le consentement comme fondement juridique du profilage de vos donateur. Rappelez vous que ce consentement doit être donné librement, spécifique, informé et sans ambiguïté. Donc vos mentions legales et votre politique de confidentialité doit être claire sur le profilage.

D’autres bases légales que votre association peut utiliser pour le profilage incluent le traitement étant:

  • nécessaire à l’exécution d’un contrat; ou
  • nécessaire aux fins des intérêts légitimes poursuivis par votre association.

Cependant, vous devrez être en mesure de démontrer que le profilage est nécessaire pour atteindre cet objectif, plutôt que simplement utile. Il sera bien plus difficile de prouver que le profilage est nécessaire (car en réalité il est plutôt utile pour vous), et il est probablement sage de se baser sur le consentement des donateurs et donc de leur information.

Il est intéressant de noter que l’”institute of fundraising”, a publiée sur son site Web une réponse à cette étude (iof-gdpr-essentials-report-final-v1), et indique que la grande majorité des associations utilisent des données publiques pour effectuer le profilage afin d’identifier de nouveaux donateurs potentiels et pour s’assurer que leurs communications avec les donateurs existants sont adaptées. Selon l’IoF cela implique une intervention humaine, plutôt que des ‘processus automatisés », du GDPR, et donc devrait bénéficier d’un traitement différent.

Que doit faire mon association ?

Vos mentions légales sur la confidentialité des données doit contenir des références claires sur les points suivants:

• Partage de données avec une autre organisation (que les données soient vendues ou échangées gratuitement)

• Recherche, indépendamment du fait que les données proviennent du domaine public ou d’une source accessible au public. Par recherche, on entend essayer de trouver des informations sur la situation financière d’une personne, ses biens, ses dons antérieurs ou sa propension à donner.

• Tout autre profilage, recherche ou sélection, qui peut inclure l’âge, les intérêts, la santé, ou des évaluations éthiques ou similaires.

• Acquérir des données de tiers – cela inclut les détails des donateurs potentiels, l’acquisition de données pour étayer les dossiers de donneurs existants ou potentiels

***

Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :

Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Le règlement européen GDPR (General Data Protection Regulation) ou RGPD (Réglementation Générale sur la Protection des Données), sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne et donc en France. Nous aborderons dans cet article la question du site web et des formulaires en ligne de votre association et de comment les rendre conforme au GDPR.

Pour plus d’information sur le sujet, voir:

Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données et association: faut-il désigner un délégué à la protection des données (DPO) ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?

Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD

Rappel du principe de base du RGPD (GDPR)

Le GDPR, connu sous le nom anglais de General Data Protection Regulation, ou RGPD (Réglementation Générale sur la Protection des Données) est un ensemble complet de réglementations qui s’appliquera à tous les pays membres de l’UE d’ici mai 2018.

L’objectif principal de cette nouvelle réglementation est de permettre aux personnes physiques de contrôler le traitement de leurs données personnelles. Ainsi, la nouvelle réglementation impose des règles plus strictes que les règles existantes aux organisations (et donc aux associations!) qui traitent ces données.

Le consentement

Le consentement de la personne à la collecte et au traitement de leurs données personnelles est central à la nouvelle réglementation. Le consentement, pour nombreuses associations, sera la justification du traitement des données. Attention, votre association devra être en mesure de prouver explicitement le recueil de ce consentement en cas de contrôle de la CNIL.

Le consentement de la personne concernée est défini à l’article 7 du règlement comme étant toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Attention si le consentement est le fondement de votre traitement, alors votre association devra être en mesure de prouver que la personne concernée a effectivement consenti à l’opération de traitement.

Comment s’assurer que le site web et les formulaires en ligne de votre association sont conformes au GDPR?

Effectuez un état des lieux des données récoltées par votre association, de leur traitement, et des moyens de contrôle en place. Déterminez également les zones de risques vis-à-vis des exigences du GDPR. Plus spécifiquement pour votre site web et vos formulaires en ligne:

  • Vérifiez que les pages de votre site web qui recueillent des données, recueillent également le consentement.
  • Rédiger vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement.
  • Rédigez un texte de demande de consentement. Le texte doit être clair et facilement compréhensible pour tout le monde: ce texte doit expliquer clairement quelles informations vous collectez et comment vous les utilisez.
  • Demander clairement et activement le consentement sur vos formulaires. Ajouter une case vide que l’utilisateur devra cocher afin de démontrer qu’il a donné son consentement explicite.
  • Si possible ajoutez un mécanisme de « double opt-in » afin de pouvoir prouver le consentement explicite de vos contacts.
  • Vérifiez que votre logiciel de gestion qui capture les données, vous permet d’offrir un opt-in/opt-out. Vérifiez que votre fournisseur de logiciel actuel maîtrise GDPR et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? Voir Pourquoi utiliser un CRM ou logiciel de gestion d’association vous aidera à être en conformité avec le RGPD ou GDPR.
  • Si vous voulez avoir plus d’information sur VerticalSoft et comment notre logiciel peut vous aider a être en conformité avec le RGPD, contactez nous ici.

Le régime fiscal des bénévoles d’une association

Cet article fait partie d’une suite d’articles que nous écrivons sur le bénévolat. Nous avions abordé la question comment trouver et garder des bénévoles, les 3 types de ressources humaines dans les associations: statut juridique du bénévolat, du volontariat associatif et du salarié, nous adresserons ici le sujet du régime fiscal des bénévoles.

Le bénévolat est une activité non rétribuée et librement choisie qui s’exerce en général au sein d’une institution sans but lucratif, association, ONG, syndicat ou structure publique. Or il est très courant pour les bénévoles d’être amenés à engager des frais pour le compte de l’association (transports et déplacements sur le lieu de l’activité, achat de biens, etc.). En règle générale, les conditions de remboursement de ces frais est déterminée par le conseil d’administration de l’association.

Quelles sont les options pour le bénévole pour récupérer tout ou partie de ces frais engagés ?

Le bénévole a deux options:

  1. demander à son association le remboursement de ses frais
  2. renoncer expressément a ce remboursement et bénéficier de la réduction d’impôt sur le revenu relative aux dons.

Demander à son association le remboursement de ses frais

Dans cette hypothèse, le bénévole devra remplir une fiche de frais détaillant, date, coût et raison de la dépense. En pratique il faut faire attention a ce que les frais recouvrés ne soit pas anormalement élevés. L’association et le bénévole courent alors le risque que ces “frais remboursés” soient requalifiés en “salaire” (ce qui entraînerais un nombre d’impôt et cotisations a rembourser).

Ainsi le montant alloué au bénévole est de maximum 32,71 euros par jour et 1.308,38 euros par année (revenus 2015, exercice d’imposition 2016). Attention : ceci s’applique pour l’ensemble des activités de bénévolat d’une personne. Finalement, le remboursement des frais de transport effectivement prouvés se limite à un maximum de 2.000 kilomètres par an :

  • pour les déplacements en auto, à moto ou à vélomoteur
  • pour la période du 1er juillet 2014 au 30 juin 2015 : maximum 0,3468 euro par kilomètre parcouru
  • pour la période du 1er juillet 2015 au 30 juin 2016 : maximum 0,3412 euro par kilomètre parcouru
  • pour l’utilisation de vélo (revenus 2015, exercice d’imposition 2016) : 0,20 euro par kilomètre

Renoncer expressément a ce remboursement et bénéficier de la réduction d’impôt sur le revenu relative aux dons

En cas de renonciation au remboursement, celle ci sera assimilée a un don et peut ainsi bénéficier de la réduction d’impôt sur le revenu. La condition essentielle est que le don soit consenti pour une associations d’intérêt général visées à l’article 200 du Code Général des Impôts. Plus généralement, les frais doivent avoir été engagés dans le cadre d’une activité bénévole.

La réduction d’impôt est égale à un certain pourcentage du montant déclaré des frais non remboursés qui varie suivant la nature de la structure à laquelle le non-remboursement profite.

Type d’organisme, montant ouvrant droit à la réduction d’impôt, réduction maximale

Œuvre d’intérêt général ou d’utilité publique

  • 66 % des sommes versées
  • 20 % du revenu imposable

Organisme d’aide aux personnes en difficulté

  • 75 % des sommes versées jusqu’à 530 € : 398 €
  • 66 % de la partie des dons supérieure à 530 €
  • 20 % du revenu imposable.

En pratique le bénévole doit renoncer expressément au remboursement des frais. L’association doit ensuite délivrer un reçu au membre reprenant le montant, conforme à un modèle fixé réglementairement.

Pour en savoir plus:
http://www.associations.gouv.fr/IMG/pdf/Fiche_pratique_frais_des_benevoles_2015.pdf
https://www.service-public.fr/associations/vosdroits/F1132

***

Sur le théme des bénévoles, voir également:

Le régime fiscal des bénévoles d’une association

3 types de ressources humaines dans les associations: statut juridique du bénévolat, du volontariat associatif et du salarié

Quelle est la responsabilité de l’association envers ses bénévoles ?

Comment trouver et garder vos bénévoles

Quels risques de la requalification des bénévoles d’une association en salariés ?

Volontariat associatif : quelle indemnité peut-on verser ?

Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Dès lors, la CNIL pourra sanctionner les organismes pour non-respect du GDPR. Or, l’une des nouvelles obligations phare du règlement est la tenue d’un registre des activités de traitement (art. 30 GDPR). Cette obligation s’applique t-elle aux associations?

Qu’est ce qu’un registre

Un registre n’est autre qu’un fichier qui comporte toutes les informations importantes pour prouver le respect du GDPR. Ainsi, ce dernier comporte (voir Article 30 pour plus de détails: nous présentons ici un résumé de cet article):

a) le nom et les coordonnées du responsable du traitement

b) les finalités du traitement

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées;

e) les délais prévus pour l’effacement des différentes catégories de données;

f) une description générale des mesures de sécurité techniques et organisationnelles. Et toute information en ce qui concerne les sous-traitants.

A qui s’applique l’obligation de tenir un registre des activités de traitement?

Cette obligation ne s’applique qu’aux organismes de 250 employés et plus.

Mon association est-elle obligée de tenir un registre des activités de traitement?

Probablement pas, mais attention, le fait que vous ayez moins 250 salariés ne signifie pas forcément une totale exonération. En effet, les organismes qui effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent aussi se plier à l’exercice. Probablement votre association n’est donc pas concernée, mais elle peut, si elle le désire et pour des raisons de clarté, tenir ce registre.

Exemple de registre de la CNIL

Tenir un tel registre peut vous permettre de cartographier vos données et de vous assurer que vous êtes en conformité avec le règlement. Vous pouvez cliquer sur le modele-de- registre-GDPR  ou le télécharger directement du site de la CNIL.

Pour plus d’information sur le sujet, voir nos articles précédents:

Pour recevoir le guide complet, cliquez ici:

Screen Shot 2018-02-06 at 10.05.20.png

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données (GDPR ou RGPD) et association: faut-il désigner un délégué à la protection des données (DPO) ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?