Michelle travaille depuis 15 ans pour l’ONG Plan International France. Passionnée par les droits de l’enfant et la coopération internationale, elle a travaillé sur le terrain pendant plusieurs années.
RGPD en 10 questions pour le plaidoyer
Le Règlement Général sur la Protection des Données de l'Union Européenne peut sembler compliqué... Nous répondons aux 10 questions récurrentes des associations engagées dans le plaidoyer.
1. Qu'est-ce que c'est le RGPD ?
RGPD signifie "Règlement Général sur la Protection des Données" Il s'agit d'une nouvelle législation de l'UE qui demande aux organisations à protéger les données personnelles de leurs contacts. Les professionnels du plaidoyer détiennent des données personnelles sur leurs cibles (les mails, numéros de téléphone des décideurs politiques par exemple, qui sont généralement conservés dans votre base de données).
*ASTUCE ! Si j'étais vous, je conserverais mes listes de cibles sur des feuilles Excel verrouillées, sauvegardées soit sur mon disque dur, soit sur un serveur de confiance approuvé par RGPD, comme le Cloud de Microsoft. Je ne garderais pas de liste partagée que tout le monde peut modifier ou voir sur quelque chose comme Google Docs. Je déterminerais également qui a besoin de connaître cette liste (en interne) et nommerais une personne (en interne) chargée du suivi de ces données dont notre organisation dispose. Si vous êtes dans une petite ONG, vous pourriez prendre l'initiative et commencer à tenir un registre de toutes les données que vous traitez et conservez. Si vous travaillez pour une grande organisation et que vous n'avez pas de personne-ressource pour cela, c'est le moment de lancer cette discussion à votre prochaine réunion...
2. Je suis un réseau d'ONG - puis-je partager ma base de données au sein de mon réseau avec tous les contacts clés? Sinon, avez-vous des conseils pour faire circuler une « version allégée » de la base de données conforme à la législation?
Non…
Ici, tout dépend du réseau : s'agit-il d'un réseau à l'intérieur d'un pays ou de plusieurs ? Les pays sont-ils situés dans l'UE ou en dehors de l'UE ? Il est important de comprendre que la législation en matière de protection des données est européenne, mais que chaque État membre promulguera et appliquera ses propres lois en la matière. Si le réseau est limité à l'UE, il est important de consulter la législation de chaque pays concerné, en ce qui concerne le partage des informations personnelles. La seule information claire sur le partage des données en dehors de l'UE est qu'il est nécessaire d'informer les personnes que leurs informations ont été partagées.
*ASTUCE! Si vous partagez une liste collaborative d'acteurs au sein de votre réseau, qu'il s'agisse de cibles ou d'alliés potentiels, créez 2 pages dans un document Google: une page "publique" qui comporte seulement le nom de ces personnes - elle peut même être partagée avec des bénévoles -, et une page cachée et verrouillée qui contient les coordonnées de ces acteurs. Pour savoir comment masquer une page sur Google Documents, consultez cette page: https://support.google.com/docs/answer/1218656
3. Puis-je envoyer un email à l'une de mes cibles même si elles n'ont pas donné leur consentement explicite (j'ai trouvé leur e-mail en ligne)? Pas une newsletter, mais un email…?
Oui, mais…
Dès qu'une ONG recueille des données auprès d'une source ouverte, elle devient automatiquement une "contrôleuse de données" et est donc tenue de se conformer au RGPD. Si vous avez trouvé une adresse email en ligne, elle a été publiée, mais peut-être pas dans l'intention initiale d'être utilisée par vous, donc il n'y a pas vraiment de consentement ici. La base juridique de sa conservation pourrait être liée aux intérêts légitimes de l'organisation et être considérée comme telle. Toutefois, le sujet doit être informé de l'endroit où vous avez trouvé son contact et de la raison pour laquelle vous l'avez contacté - vous devez également lui offrir la possibilité de ne plus jamais être contacté ou de se "désabonner".
4. J'envoie régulièrement des newsletters. Dois-je envoyer un email à toutes les personnes sur ma liste de diffusion en demandant leur consentement à figurer sur la liste et en leur donnant la possibilité de se «désinscrire» ?
Pas exactement, mais…
Malheureusement, il n'y a pas de réponse claire à cette question et différentes organisations ont adopté des approches différentes à cet égard. Les organisations qui ont choisi d'envoyer un courrier électronique à toutes les personnes figurant sur leur liste avant le RGPD, pour demander leur consentement et une mise à jour de leurs préférences en matière de courrier électronique, ont constaté une réduction importante de leur liste de contacts, de leur base de donateurs, etc. Malgré la diminution significative du nombre de destinataires de leur liste de diffusion, ces organisations ont indiqué que ceux qui restaient abonnés étaient plus enclins à s'engager et avaient des taux de réponse beaucoup plus élevés. D'autres organisations ont simplement envoyé des informations actualisées sur la protection de la vie privée aux destinataires des listes de diffusion en indiquant qu'en étant sur la liste de diffusion, ils comprenaient qu'ils voulaient être contactés, avec un moyen facile de se désabonner dans les prochaines newsletters.
*ASTUCE! Si vous n'avez pas encore envoyé un email proposant de se réinscrire, vous devriez au minimum proposer dans votre newsletter un moyen clair de désinscrire, et inclure un lien où le destinataire peut aller consulter les déclarations de confidentialité et les informations sur la façon dont ses données sont utilisées.
5. Puis-je utiliser des services comme MailChimp pour envoyer des newsletters?
Oui!
MailChimp a mis en place différents outils et ressources pour être en accord avec RGPD, notamment une option claire pour se désinscrire en bas de vos newsletters. Cependant, si vous envoyez votre newsletter à des contacts acquis sans consentement, vous pourriez être en violation de la loi.
*ASTUCE! MailChimp propose automatiquement l'option conforme de «désabonnement» au bas de vos newsletters. Si vous n'utilisez pas ce genre de service, pensez à ajouter cette possibilité vous-même. Cela peut être aussi simple que de cliquer sur "se désabonner" et qu'un autre courriel s'ouvre et vous soit envoyé pour vous informer de ce choix. De cette façon, vous pourrez retirer de votre liste les personnes qui le souhaitent, et ainsi respecter leur consentement à être contactées.
6. Et les autres logiciels que nous utilisons (un CRM par exemple) ?
Ça dépend...
À l'heure actuelle, la plupart des organisations sont en phase avec RGPD, mais si votre organisation n'a pas consulté vos fournisseurs de logiciel sur leur conformité à RGPD, il est sage de le faire. Certains logiciels par exemple ne permettent pas la suppression permanente de données (par exemple, le profil d'un donateur), ce qui serait en violation directe de la règlementation, si le donateur avait demandé à être supprimé.
7. Sommes-nous autorisés à conserver les données des subventions précédentes ?
Oui!
Les bases de données sur les subventions reçues constituent un registre historique important de la participation antérieure de donateurs aux actions de la société civile. Pour les grandes organisations, vous pourriez supprimer toutes les informations personnelles identifiables et les publier en tant qu'archive.
8. Comment nous assurer que nous sommes 100% conformes au RGPD?
La vigilance est la clé.
Il est vraiment difficile de dire si on est 100% conforme car cela dépend des lois et précédents qui sont appliqués en fonction du pays... La chose la plus importante à garder à l'esprit avec le RGPD est que vous devez savoir de quelles informations vous disposez, vous devez pouvoir répondre à des questions à leur sujet: d'où elles viennent, à quoi elles servent, comment avez-vous obtenu le consentement, depuis combien de temps vous les avez, où elles sont conservées, quelles sont les mesures mises en place pour empêcher tout accès non autorisé, qui y a accès et qui les met à jour.
*ASTUCE! Il faut être organisé! L'important est d'avoir une méthode en place qui facilite la gestion des données dont vous disposez, qui règlemente qui y a accès et qui les gère. Même si vous êtes une petite organisation et que vous pensez que vous seriez facilement en mesure de répondre à des questions sur vos données, la rédaction et la mise à jour régulière de la liste faciliteront la conformité et vous permettront de trouver les lacunes éventuelles.
9. Devons-nous nommer un "délégué à la protection des données" au sein de notre organisation ?
Quelle est votre taille ?
Seules les organisations qui effectuent un contrôle régulier et systématique des personnes à grande échelle, qui traitent des données de catégorie spéciale à grande échelle relatives à des condamnations pénales ou qui sont une autorité ou un organisme public sont tenues de désigner un délégué à la protection des données. Cela dit, si votre organisation traite régulièrement un grand nombre de données à caractère personnel, il est judicieux de désigner un délégué à la protection des données et de le soutenir dans ses efforts.
10. Nous travaillons pour le bien commun, il est évident que nous n'avons pas de mauvaises intentions et que nous serons raisonnables avec les données dont nous disposons... non ?
Malheureusement, non.
Vous devez être en mesure de justifier à tout moment l'utilisation, la conservation et la collecte de données personnelles.
_______________________
Sources
“Art. 2 GDPR - Material Scope.” GDPR.eu, 14 Nov. 2018, gdpr.eu/article-2-processing-personal-data-by-automated-means-or-by-filling-system/.
“Civil Society Organizations and General Data Protection Regulation Compliance.” Open Society Foundations, Feb. 2020, www.opensocietyfoundations.org/publications/civil-society-organizations-and-general-data-protection-regulation-compliance.
___________________________________
 |
Bailey Castillo Assistante du Plaidoyer
|
|