Comme indiqué dans l'extrait reproduit ci-dessous, Monsieur Wim Debeuckelaere - Président de la nouvelle Autorité de Protection des Données (APD) a rappelé lors du récent Congrès de l’Association pour une Ethique en collecte de fonds (Bruxelles, 29 novembre 2018) que pratiquement toute cession de données personnelles de donateurs à des tiers et à des fins de marketing direct nécessite l’accord préalable et explicite (« opt-in ») des personnes concernées.
Le Président de l'APD précise qu'une cession au profit d'une structure tierce et sans autorisation préalable des usagers concernés ne pourrait se concevoir que dans de rares hypothèses, par exemple dans le cadre d'une collaboration entre deux organisations aux finalités tout-à-fait comparables. Et de citer à titre d'exemple hypothétique le cas d'une organisation, telle que Amnesty Belgique, qui pourrait justifier son intérêt légitime, sans 'opt-in préalable' mais à condition d'en avertir les usagers, à échanger des données personnelles avec la structure internationale du réseau Amnesty dont l'ONG belge est membre.
Autre intervenant invité par l'AERF, Maître Bart Vandenbrande (avocat et expert RGPD du bureau d'avocats Sirius Legal) a confirmé dans les grandes lignes les propos de Monsieur Wim Debeuckelaere.
Cette stricte interprétation de la RGPD s'inscrit dans la droite ligne des prises de position d'autres instances nationales, notamment au Royaume-Uni (ICO et Institute of Fundraising).
La European Fundraisers Association réunit un ensemble de plateformes nationales de fundraisers. Ses membres confirment également que les autorités publiques en charge de l'application de la RGPD dans leurs pays respectifs n'envisagent guère d'autoriser la location ou l'échange de fichiers de donateurs sans accord préalable et explicite des usagers concernés.
La prise de position du Président de l'Autorité de Protection des Données, que nous reproduisons ci-dessous dans son intégralité, est également résumée dans le compte-rendu du Congrès de l'AERF, dont les versions française et néerlandaise sont téléchargeables sur le site de l'organisation:
Echanges d'adresses - Prise de position du Président de l'Autorité de Protection des données personnelles
(Congrès AERF, 29/11/2018):
Moderator:
"Wat is het advies van de GDPR rond het delen van 'postadressen' tussen vzw’s voor de prospectie van nieuwe schenkers (dat is eigenlijk ‘direct marketing’) ?
Wat is het standpunt van de Gegevensbeschermingsautoriteit ?"
Antwoord van de heer Willem Debeuckelaere, voorzitter Gegevensbeschermingsautoriteit:
"Ik denk dat dat eerlijk gezegd zeer eenvoudig is: het mag niet gedeeld worden.
Kijk, men gaat er vanuit dat wanneer persoonsgegevens worden verstrekt, dat dat gebeurt voor een bepaalde finaliteit en voor een bepaalde ontvanger (een vzw) , en voor een bepaald termijn. Soms is dat een heel specifiek project – een donatie - soms kan dat gelijklopend zijn op lange termijn.
Er is ook een groot verschil als dat een eenmalig iets is, of wanneer men een lid is van een vereniging. Wanneer men lid is van een vereniging dan gaan wij ervan uit dat er een soort van contractuele band is, waardoor er uiteraard een wederzijdse uitwisseling is van gegevens. Maar ook daar stelt men voorop dat de persoonsgegevens enkel en alleen maar mogen worden verwerkt in het kader van de werking van die vereniging.
Ik kan mij inbeelden dat wanneer een vzw heel belangrijke banden heeft met een andere vereniging – bijvoorbeeld van Amnesty Vlaanderen met Amnesty International - dat het vrij evident is dat uit de normale geplogenheid behoort, al is dan dat een andere instelling as such en ook al is dat een andere rechtspersoon, dat dat verder gedeeld wordt.
Op dat vlak denk ik dat er toch een transparantieverplichting is weggelegd voor die vereniging.
Maar wat eigenlijk niet kan, tenzij dit zeer uitdrukkelijk aanvaard is door die persoon in kwestie - en die aanvaarding is dan een toestemming zoals het nu wordt begrepen in de GDPR, en die GDPR toestemming is dus een actieve toestemming, en dus geen opt-out of ‘qui ne dit mot consent’, dat geld niet.
Het moet wel een effectieve toestemming zijn.
Dus denk ik, om samen te vatten: de regel is ‘Neen’.
Het kan niet, tenzij het gaat om een vereniging die zeer nauw aansluit, waarbij als het ware het tot de normale verwachting behoort van de persoon in kwestie dat die gegevens worden doorgegeven: het kan <bijvoorbeeld> gaan om Amnesty, of om Artsen zonder Grenzen. Daarbuiten moet men de expliciete actieve toestemming krijgen.
U moet ook weten dat de GDPR ervan uit gaat dat gans het systeem verzekerd is tussen de landen van de EU en de landen van de Europese Economische Associatie.
Daar geldt overal hetzelfde beschermingsniveau.
Gaat daar men daarbuiten dan staat men met een ander set van regels die moet toegepast worden: dan in er een gans hoofdstuk van de GDPR die ook moet worden toegepast."
-> Lire par ailleurs: 'RGPD et collecte de fonds: interprétations divergentes'
-> Autres articles sur le même thème: Archives RGPD - Archief GDPR
-
-
-
-
-
L'Assemblée générale de l'AERF (Association pour une Ethique en Collecte de Fonds) s'est tenue le jeudi 22 mars, à Bruxelles.
On retiendra, parmi les principaux points soumis à l'approbation de ses membres:
Budget 2018Le budget 2018, qui s’élève à 77.000 €, bénéficie des effets de la hausse des cotisations des membres.
Il a permis à la plateforme nationale de recruter un secrétaire général à mi-temps, qui est entré en fonction en janvier de cette année.
On précisera que, bien que bénéficiant d'une hausse significative, ce budget ne représente qu'environ 10% des ressources dont dispose l’association française Donner en confiance, qui assure une fonction relativement équivalente d’auto-régulation des acteurs français de la collecte.
Acceptation de deux nouveaux membres : Auto-Développement Afrique et ADRA
Les évaluateurs bénévoles ont identifié une demi-douzaine de rapports dont l’analyse a permis de déceler d'éventuelles sources de préoccupation: pourcentage élevé de frais de collecte, risque de déficit structurel prolongé, etc.
Une prise de contact direct avec ces associations devrait permettre d’apporter les éclaircissements nécessaires, ou d’ébaucher des solutions adéquates.
La Charte du Dialogue Direct rassemble dans un même document diverses règles fondamentales de déontologie que dix-huit associations membres de l’AERF qui recourent au street-fundraising s'engagent à respecter.
La Charte porte également la signature de la Croix-Rouge de Belgique, organisation non-membre de l'AERF.
Rappelons qu'Amnesty Vlaanderen, qui entendait ne plus s'aligner sur les exigences de la Charte en matière de rémunération des recruteurs de rue, a mis fin il y a plus d'un an à sa qualité de membre de l'AERF.
L’Assemblée générale du 22 mars a voté un amendement qui stipule que les équipes de recruteurs s’engagent désormais à ne pas se présenter au domicile des particuliers après 20 heures du soir, ni le dimanche ou les jours fériés.
Le point relatif à l’adoption d’un projet de Code de Conduite GDPR a été retiré de l’ordre du jour, tenant compte de ce que la formulation proposée gagnerait à être largement amendée.
Les administrateurs souhaitent que ce projet de Code de Conduite puisse être remis en chantier dans les prochaines semaines.
Ils insistent sur l'indispensable particiupation d'un nombre significatif d’associations aux travaux du groupe de travail chargé de la finalisation de ce Code de Conduite.
Une analyse critique du texte initial du groupe de travail avait été publiée précédement sur ce site (lien).
Les membres ont par ailleurs solennellement confirmé, au travers d'une motion adoptée à l'unanimité, leur engagement à respecter les obligations imposées par la réglementation européenne RGPD.
-> Liste des articles de ce site archivés sous Archives 2013-2018 - Ethique & Transparence
28 mars 2018 - La KU Leuven (Leuven Universiteitsfonds) accueillait en matinée du mardi 27 mars un workshop organisé par la F.A.B. sous le titre 'Ethics and defending fundraising'
Le débat fut précédé par deux interventions, proposées par Koen van den Broeck ('Defending fundraising in the public opinion') et Erik Todts ('Ethics in fundraising, more a means').
Nous ne pouvons garantir que le résumé présenté ci-dessous soit un reflet fidèle des termers utilisés par les intervenants.
Les médias ne sont pas des alliés fiablesKoen van den Broeck s’est longtemps investi dans des activités de consultant indépendant dans le cadre d’Ethicom, et coordonne actuellement la collecte de fonds d’Infirmiers des Rues.
Il rappelle, au départ d'exemples tirés de la presse belge et britannique, que les médias ne se privent guère de se faire l’écho de rares scandales concernant des pratiques abusives en collecte de fonds.
Les associations éprouvent par contre bien des difficultés à mobiliser ces mêmes médias sur des reportages qui s'efforceraient d’expliquer les impératifs et le mode de fonctionnement des techniques de collecte.
Les préoccupations du publicLes préoccupations du public tournent souvent autour des mêmes questions: garanties quant au bon usage des fonds recueillis, frais de collecte de fonds, niveau de professionnalisme des associations, impact réel des projets financés par la générosité des donateurs.
Une partie de nos concitoyens formulent des craintes plus précises, concernant notamment le niveau de rémunération de la direction, le recours à des techniques de marketing jugées intrusives, souvent mises en œuvre au travers d’agences commerciales, ou le manque de collaboration entre associations concurrentes.
On a répété à suffisance que la médiatisation des erreurs commises par une association peut générer une perte de confiance vis-à-vis de l'ensemble du secteur.
D'où l'utilité des initiatives que chaque association est invitée à développer aux fins d'informer au mieux ses donateurs.
Koen van den Broeck cite à raison, à titre d'exemple, l'effort d'information d'Amnesty Vlaanderen concernant ses activités en collecte de fonds (lien).
Mais l'intervenant ne précise pas que la branche néerlandophone de cette ONG a choisi il y a peu de temps de quitter l'AERF...
Koen van den Broeck propose divers conseils utiles, tous destinés à renforcer l'efficacité de la communication des associations concernant les méthodes de collecte qu'elles utilisent.
Il suggère notamment aux associations de mettre en place, à titre préventif, une série de dix mesures susceptibles de diminuer les risques d'incompréhension ou d'irritation de leurs donateurs, ou des médias:
Différents niveaux de confianceL’intervention d’Erik Todts, membre indépendant du C.A. de l’AERF, s’est ouverte sur un rappel du contexte difficile dans lequel évoluent les acteurs de la collecte.
Le degré de confiance de nos concitoyens varie selon que ceux-ci se situent dans trois catégories, que l'intervenant classe comme suit, en précisant que les pourcentages sont proposés à titre purement indicatif:
On note par ailleurs qu'un nombre significatif de grandes organisations déploient une équipe locale chargée de collecter des fonds en Belgique au profit de projets gérés par une structure internationale dont le siège est situé ailleurs en Europe, voire en Amérique du Nord.
Les collecteurs de fonds et bénévoles de ces filiales belges sont dès lors peu ou pas connectés aux projets de terrain et à ceux qui en assurent la coordination.
Erik Todts est d’avis que cette évolution amène sans doute un nombre croissant de nos concitoyens à préférer faire confiance à une nouvelle catégorie d'initiatives qui privilégient un développement basé sur le ‘peer-to-peer-fundraising’, c’est-à-dire sur la démarche de groupes autonomes de concitoyens qui préfèrent gérer eux-mêmes tant la collecte de fonds que le contact direct avec les bénéficiaires.
Un recul significatif de la confiance des donateurs pourrait donc les inciter à ne plus souhaiter que leur générosité transite par le canal des ONG traitionelles.
Constatant que de nombre de fundraisers sont soumis à une pression de leur direction qui leur demande de collecter sans cesse davantage de fonds, Erik Todts s’interroge : ‘Est-il opportun que toutes les associations se donnent pour objectif d’augmenter les recettes issues de la générosité publique ?’
Co-fondateur en 1996 de la plateforme sectorielle AERF (Association pour une Ethique en Collecte de Fonds), il rappelle que ce réseau, qui compte quelque 135 associations membres, représente à l’heure actuelle environ 50% des dons et legs en faveur de causes d’intérêt général.
L’AERF s'est fixée quatre objectifs prioritaires (confer slide), puis a progressivement élargi ses domaines d’intervention, assurant la défense des intérêts des acteurs de la collecte pour des questions concernant l’octroi d’attestations fiscales, le maintien de facilités en matière d’ordres permanents, la mise en place de la réglementation GDPR, etc.
La plateforme est néanmoins consciente de ses faiblesses, par exemple au niveau de la faible lisibilité de ses règles éthiques aux yeux des donateurs.
Le secteur de la collecte gagneraient également à travailler davantage en synergie: il est ainsi regrettable que le portail Donorinfo et le site de l'AERF encouragent tous deux la transparence financière des acteurs de la collecte tout en publiant des données financières partiellement divergentes, faute d'un schéma comptable commun.
Concernant les relations avec les médias, Erik Todts note que le récent ‘Scandale Oxfam’ a été abondamment commenté par la presse belge, mais qu’Oxfam Belgique n’a enregistré depuis lors qu'environ 1.500 défections de donateurs, ce qui représente moins de 2% des adhérents de l’association.
-> Lire: 'Oxfam et d'autres ONG sous le feu des critiques'
Il souligne combien les journalistes ont à remplir un rôle légitime d'analyse critique, notamment vis-à-vis du fonctionnement des opérations de collecte de fonds.
Cette fonction semble plutôt rarement exercée actuellement, sauf lorsque lorsque certains organes de presse se focalisent sur un incident qui bénéficie alors soudainement d’une forte couverture médiatique.
Code de Conduite ou Charte de valeurs ?
L’AERF (Association pour une Ethique dans la Collecte de Fonds), seule plateforme représentative des organisations actives en collecte de fonds, a pris l’initiative de rédiger un ‘Code de Conduite GDPR’ qui a été transmis début mars à ses 110 membres. Ce document sera discuté lors de l’Assemblée générale du 22 mars prochain. Il avait été initialement prévu qu’il soit soumis à l’approbation de la Commission Vie Privée, au titre de Code de conduite sectoriel des acteurs de la collecte.
On comprend tout l’intérêt que peut représenter pareil Code dans les pays où il réussit, avec l’aval de l’autorité nationale compétente, à reformuler de manière plus concrète les principales exigences de la RGPD au départ des activités spécifiques aux organisations qui font appel à la générosité publique.
L’aval de l’autorité nationale nécessite toutefois le respect d’une série de conditions que la Commission ‘Vie privée’ résume comme suit sur son site :
Que doit contenir le code de conduite ?
« Afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite, la rédaction de lignes directrices par le Groupe de Travail - Article 29 est actuellement en cours.
La Commission vie privée estime utile de d’ores et déjà préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :
⦁ être conforme au nouveau règlement et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au nouveau règlement ;
⦁ avoir pour objet de spécifier et préciser l’application du nouveau règlement ;
⦁ apporter une valeur ajoutée par rapport aux dispositions du nouveau règlement permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
⦁ disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ;
⦁ avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés
⦁ désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer. »
Source : Commission Vie Privée
Plusieurs codes de conduite 'RGPD - Collecte de fonds' en chantier, peu de résultats aboutis
L’Union européenne compte diverses plateformes nationales représentatives d’organisations qui font appel à la générosité publique.
Plusieurs d’entre elles (Austrian Fundraising Verband, France Générosités, Institute of Fundraising) ont mis en chantier l’élaboration d’un Code de Conduite national ‘RGPD-Fundraising’. Mais à l’exception de l’initiative britannique, on ne connait guère à l’heure actuelle de document qui ait été finalisé, et qui bénéficierait en outre de l’aval de l’autorité nationale compétente en matière de protection des données personnelles.
Un code commun pour des associations de tailles fort diverses ?
L’initiative de l’AERF est bienvenue, mais également particulièrement difficile à mener à bien. Car la RGPD comprend nombre d’exigences dont l’obligation de mise en œuvre dépend pour une large part de l’importance et du type d’initiatives en matière de collecte : nombre d’usagers repris dans divers fichiers, fréquence des traitements, présence de données sensibles, niveau de risque, etc.
L’AERF compte 35 membres qui collectent plus d’un million d’euro sur base annuelle, et une trentaine d’associations dont les contributions issues du public sont inférieures à 50.000 €. Difficile dans pareil contexte de rédiger un Code qui liste les principales obligations qui s’imposent à toutes les organisations sans omettre par ailleurs d’autres exigences qui concernent plus spécifiquement les grands acteurs de la collecte.
Code contraignant, ou charte de valeurs ?
Il parait peu probable que la formulation actuelle, à la fois incomplète et imprécise, du document de l’AERF, puisse dans l’état bénéficier d’un éventuel aval de la Commission ‘Vie Privée’.
D’autant que la dernière exigence énoncée ci-dessus par l’autorité de contrôle – ‘désigner l’organisme qui dispose d'un niveau d'expertise approprié’ nécessiterait – si l’AERF ambitionnait de remplir ce rôle – de mobiliser de nouvelles ressources et compétences.
Il se pourrait donc que les membres de l’AERF se donnent en définitive pour objectif de ne rédiger qu’une ‘Charte de valeurs communes’, sans plus chercher à bénéficier d’un aval formel de l’autorité de contrôle.
Rappelons que l’Institute of Fundraising, et plus récemment France Générosités, se sont donné pour ambition de produire un Code de Conduite certifié conforme aux exigences de l’autorité nationale compétente.
Une première version incomplète, et plusieurs options contestables
Principaux manquements
La version actuelle du Code de conduite semble à plusieurs égards relativement incomplète:
⦁ Elle passe sous silence plusieurs obligations importantes dont les autorités de contrôle ont indiqué qu’elles devraient être respectées par toutes les organisations qui traitent des données personnelles (confer infra : B1 à B4)
⦁ Elle est au mieux fort imprécise concernant les questions relatives à la location de fichiers utilisés en prospection, alors que nombre de donateurs se disent irrités par certaines pratiques en cours dans le secteur de la collecte et sont demandeurs de règles plus strictes en cette matière (confer infra : B5)
⦁ Elle ne mentionne pas davantage plusieurs exigences importantes qu’à tout le moins la plupart des plus grands acteurs de la collecte ne pourraient se permettre d’ignorer (confer infra : B6)
Options stratégiques contestables
La version actuelle du Code envisage par ailleurs d’obliger les membres de l’AERF à adhérer à des options stratégiques dont les rédacteurs n’ont probablement pas mesuré les conséquences potentiellement dommageables pour tout ou partie des associations concernées :
⦁ Obligation d’un recours apparemment généralisé au ‘consentement explicite’ comme fondement légal des traitements concernant les nouveaux donateurs (confer infra :article 3)
⦁ généralisation de la nomination d’un DPO dans toutes les associations actives en collecte (confer infra: article 4)
Nous listons ci-dessous les principales remarques inspirées par une première lecture de ce document, d’abord sur base d’une analyse des différents articles (partie A), puis en rappelant diverses obligations de la RGPD auxquels à tout le moins nombre de grands acteurs de la collecte devraient être tenus de se conformer (partie B).
Article 3 - Intérêt légitime de l'organisation ou consentement explicite de l'usager ?
L’article 3 indique dans son premier paragraphe que tous les membres de l’AERF seraient tenus d’obtenir un opt-in explicite de leurs nouveaux donateurs pour un nombre (non-précisé) de traitements.
Il faut être conscient de ce que cette option a été jugée démesurément exigeante par nombre d’acteurs de la collecte. Elle entrainerait inévitablement - hors street fundraising - une diminution significative des recettes, du fait que de nombreux nouveaux donateurs omettront de confirmer leur ‘opt-in’ et ne pourront dès lors plus être contactés.
Rappelons ici que la réglementation GDPR permet mais n’impose pas nécessairement le choix de ce fondement légal.
Le second paragraphe de l’article 3 suggère à l’inverse, concernant cette fois concernant les donateurs recrutés avant Mai 2018, que tous les membres de l’AERF prendraient collectivement l’engagement de justifier tous ces traitements sur base de l’intérêt légitime de l’organisation.
Exprimée de manière à ce point générale, cette option pourrait être déclarée non-conforme par la RGPD dans diverses situations particulières, tel que :
- l’envoi répété de newsletters électroniques à des donateurs dont on a capté autrefois l’adresse email, peut-être sans même que cette adresse ait été volontairement transmise dans ce but par cette personne ;
- l’envoi répété, pendant plusieurs années, d’appels au don à des donateurs qui ne se sont manifestés qu’une seule fois par un don occasionnel, ou qui ne sont plus donateurs depuis plus de deux ans.
Le secteur de la collecte gagnerait en crédibilité en nuançant cette proposition, qui serait par exemple davantage défendable si on rappelait explicitement que le recours à l’intérêt légitime de l’organisation doit toujours être pondéré par un examen des attentes réalistes de l’usager.
A noter que le dernier paragraphe de l’art. 3 est en contradiction avec la recommandation concernant les nouveaux donateurs énoncée dans le premier paragraphe.
Le second paragraphe fait état d’un hypothétique « intérêt légitime » de l’usager, alors que la législation n’utilise pas l’adjectif ‘légitime’ concernant l’intérêt de l’usager.
En guise de conclusion :
L’article que le Code de Conduite consacrerait au fondement légal des traitements gagnerait à
⦁ Citer toutes les justifications légales qui peuvent concerner certains traitements propres au secteur de la collecte, donc également l’obligation contractuelle (gestion du don) et l’obligation légale (délivrance des attestations fiscales, obligations en termes de durée de conservation de certaines données, etc.)
⦁ Rappeler que l’intérêt légitime de l’organisation peut être invoqué pour justifier divers traitements relatifs à l’envoi d’information et d’appels au don, dès lors que (notamment) les trois conditions suivantes sont réunies
A clarifier: concernant l'envoi de communication électronique: obligation pour l’organisation d'avoir archivé la preuve du consentement explicite, dans le cas de donateurs mobilisés avant Mai 2018 ?
Art.4 - Data Protection Officer
On imagine mal, comme le suggère l’art. 4, que toutes les associations membres de l’AERF soient tenues de nommer un DPO.
Nombre d’experts conseillent avant tout de nommer une personne « en charge de la gestion RGPD », sauf dans les cas où le DPO est rendu obligatoire en fonction de critères que la RGPD et des aviss complémentaires précisent (nombreux traitements de données, caractère sensible des données traitées, niveau plus élevé de risque de pertes,…).
Ne pas sous-estimer les conséquences potentiellement « lourdes », pour chaque association concernée, qu’impliquerait la nomination d’un DPO !
Art. 4 - Droit à l’image des mineurs
Ce droit fondamental n’est-il pas (surtout) lié à d’autres législations que le GDPR ?
Comment l’interpréter au départ d’exemples concrets ?
Le Code obligera-t-il les ONG Nord-Sud membres de l’AERF d’apporter désormais la preuve de ce que les images de jeunes (y compris des pays du Sud) seront toujours assorties d’un accord signé de leurs parents ?
La documentation didactique commandée par un jeune au département ‘Sensibilisation scolaire’ d’une ONG nécessitera-t-elle l’accord explicite de ses parents, du fait de la conservation des coordonnées du jeune ?
Art.5 – Dénoncer ‘tout' manquement ?
La formulation actuelle oblige les membres de l’AERF à signaler aux autorités « tout manquement », ce qui va beaucoup plus loin que la réglementation RGPD. Celle-ci n’impose une obligation d’information de l’autorité de contrôle que dans certains cas de type « data breach ».
Il n’y a sans doute pas intérêt à imposer cette mesure extrême aux membres de l’AERF.
Art.6 – Interdiction de communication à des tiers
Cet article semble impraticable tel qu’il est rédigé, car des données personnelles sont nécessairement communiquées aux imprimeurs, routeurs etc, bien évidemment sans nécessité d’un consentement explicite des donateurs.
L’art. 6 du Code de Conduite donne à penser que l’AERF choisisse de ne pas interdire à ses membres la location des fichiers de donateurs (actifs ou inactifs), pour peu qu’ils aient donné leur consentement explicite.
Il conviendrait dans cette hypothèse de rappeler au minimum les nouvelles exigences de la RGPD en cette matière, tel que : "pas de demande de consentement général ou imprécis, par exemple qui ne préciserait pas l’identité de l’organisation tierce à laquelle les données sont transférées".
Les questions liées à d'éventuelles location de fichiers sont également traitées en fin d'article : 'B5 - Location de fichiers provenant d’organisations tierces, commerciales ou associatives'.
Art.8 – Sous-traitants
Cet article semble curieusement exiger des sous-traitants qu’ils souscrivent à un Code de Conduite AERF, alors que ce Code est dans l’état actuel beaucoup moins complet que la RGPD que ces sous-traitants sont de toutes manières tenus de respecter.
Il ressort en outre de contacts récents avec diverses ONG que, indépendamment du Code AERF, il est dès à présent parfois impossible d’arracher à certains fournisseurs importants (notamment des sociétés extra-européennes gestionnaires de traitements de données personnelles sur le cloud, tel Dropbox etc) un engagement de conformité par rapport au GDPR. Il est donc à fortiori peu réaliste leur imposer de souscrire à un Code AERF.
Ne serait-il pas plus efficace que l’AERF produise un contrat-type qui corresponde aux principales exigences que ses associations membres sont en droit d’exiger de leurs sous-traitants (confidentialité, sécurisation, suppression des données au terme du job,…) ?
Art.9 - Activation d’une fonction d’évaluation au sein de chaque association
L’option proposée par l’art. 9 du Code – « faire effectuer deux fois par an des contrôles « sonde » au sein de chaque organisation - est attractive, mais fort ambitieuse.
Sa mise en œuvre nécessiterait notamment un sérieux travail de briefing des « contrôleurs » concernant le choix de critères de contrôle pertinents, tenant compte notamment de la taille de l’association, de la taille de ces fichiers, du nombre de données sensibles et du niveau de risque.
Cette proposition rejoint pour partie la suggestion de certaines ONG qui apprécieraient de pouvoir co-financer un DPO commun, susceptible de formuler des recommandations qui tiennent compte des spécificités du secteur de la collecte.
Art.10 - Données et finalités
Un Code de Conduite sectoriel doit, du point de vue de la Commission ‘Vie privée’, spécifier et « préciser l’application du nouveau règlement »: confer supra ‘Que doit contenir le code de conduite?'
De ce point de vue, à l’inverse par exemple du Code britannique proposé par l’Institute of Fundraising, le projet de Code belge comprend nombre de formulations générales et imprécises, tel l’art. 10 dont la liste des données à caractère personnel fait l’impasse sur diverses données ‘sensibles’ (orientation sexuelle, les informations médicales ou les options philosophiques ou religieuses des personnes concernées).
Art.11 Droits des usagers
La formulation actuelle de cet article adopte une tonalité défensive dans le cas d’une demande d’information, en énumérant diverses conditions qu’on est peut-être en droit d’imposer.
Cette tonalité est d’autant plus malvenue que le Code n’insiste pas vraiment sur un ensemble de mesures imposées par la RGPD en vue
- d’informer les usagers quant à leurs divers droits (via une ‘Privacy Notice’ aisément compréhensible grâce à des bullet-points, etc)
- de leur faciliter l’exercice de leurs droits (grâce à des formulaires en ligne aisément accessibles, etc).
Art 12 - Conflits d'ntérêts ?
Concernant la proposition ‘Ne pas détenir d’intérêt financier’, il est difficile pour le lecteur de comprendre quels cas concrets concernant le GDPR seraient visés par cette interdiction.
L’invocation « … que soit signalé toute fraude ou abus » est imprécise : est-il question de dénoncer à la direction de l’organisation, à l’AERF, à la Commission Vie Privée ?
Article par ailleurs redondant par rapport à l’art. 5 (‘dénoncer tout manquement auprès des autorités').
Il ressort de diverses déclarations de la Commission ‘Vie Privée’ que les organisations concernées par la RGPD sont en tout état de cause tenues, dans un premier temps et au plus tard avant le 25 Mai, d’activer un nombre limité de procédures prioritaires qui apporteront si nécessaire la preuve qu’elles sont engagées de manière significative dans le processus de « mise en conformité GDPR ».
Citons, au nombre de ces exigences, d’une part un double effort significatif de documentation (points B1 et B2 ci-dessous), d’autre-part un double effort d’information des usagers (points B3 et B4 ci-dessous):
Il est difficile d’imaginer que ces différentes obligations, et en particulier celles qui concernant les droits à l’information des usagers (points B3 et B4), ne soient pas davantage explicités dans le Code de Conduite.
B5 - Location de fichiers provenant d’organisations tierces, commerciales ou associatives
Dès lors qu’en Belgique cette pratique est de temps à autre à l’origine de plaintes de donateurs, on ne peut imaginer que le Code de Conduite s’abstienne de toute recommandation ou obligation commune concernant ce sujet.
Il serait par exemple utile que l’art. 6 du Code rappelle aux organisations qui exploitent en prospection des fichiers transmis par des organisations tierces qu’il est indispensable de s’assurer que le fondement légal que ces dernières invoquent soit juridiquement incontestable.
Il est en effet probable que les associations membres de l’AERF auront toujours l’opportunité, après Mai 2018 et à l’initiative de telle ou telle agence commerciale, de prospecter sur des fichiers constitués sur base de donateurs qui n’ont pas activé un ‘opt-out’, alors que la RGPD devrait probablement avoir pour effet d’exclure de ces fichiers les donateurs qui n’ont pas activé un ‘opt-in’.
B6 - Exigences de la RGPD concernant principalement mais pas exclusivement certains grands acteurs de la collecte
Certains grands acteurs de la collecte, ou du moins les organisations qui traitent des données personnelles en grand nombre et/ou de caractère sensible, sont dans certains cas tenues de se mettre en conformité par rapport à diverses exigences spécifiques imposées par la RGPD: sécurisation, minimisation, durée maximale de conservation, anonymisation ou enrichissement de données, logiciels avec conformité ‘data protection by design and by default’, analyse d’impact (DPIA), profilage.
Le projet de Code de Conduite proposé par l’AERF gagnerait en crédibilité s’il prenait la peine d’au minimum rappeler l’existence des principales exigences spécifiques qui peuvent concerner certains grands acteurs de la collecte, en insistant sur la double obligation de documentation des procédures arrêtées en cette matière, et le cas échéant de mise en application effective de ces mesures.
B7 - Principes de proportionnalité et de granularité
Au titre de remarque finale, clôturons cette brève analyse en insistant sur l’intérêt qu’il y aurait à rappeler deux principes utiles concernant les conditions de mise en œuvre de la RGPD :
------------
Merci de nous communiquer vos réactions ou commentaires par email.
Gelieve ons uw vragen of kommentaar per email door te sturen.
Hugues d’Ydewalle – Fundraisers Forum - info@fundraisers.be
Télécharger ce rapport en format PDF - Download dit verslag in PDF formaat: Analyse du Code de conduite RGPD de l'AERF
Omwille van de beperkte werkingsmiddelen van het Fundraisers Forum zijn wij spijtig genoeg niet in staat om een Nederlandse versie van deze tekst te bezorgen.
1 Le guide 'Implémentation de la RGPD en collecte de fonds' (32 p.) + Annexes (48 p.) proposent une présentation générale de la RGPD ainsi qu'un 'focus' sur ses effets en collecte de fonds. Ils vous sont transmis endéans les deux jours suivant votre inscription.
2 La newsletter 'GDPR for fundraisers' suit l'actualité de la RGPD en collecte de fonds, de février à juillet 2018.
3 Le workshop francophone 'GDPR for fundraisers skillshare' du mardi 24 avril 2018 (9h30-12h30), privilégiera l'échange d'exemples de bonnes pratiques entre fundraisers.
-> Infos et formulaire d'inscription: page d'accueil du site www.fundraisers.be
1 De handleiding 'GDPR voor fondsenwervervende verenigingen' (32 blz.) + Engelse bijlage (48 blz.) biedt u een uitgebreide basisdocumentatie over GDPR voor fondsenwervende verenigingen te raadplegen
2 Maandelijkse ‘GDPR for fundraisers’ newsletter, van februari tot juli 2018 (redactie: Frans/Engels)
3 De Nederlandstalige workshop 'GDPR for fundraisers skillshare': de Nederlandstalige editie van deze ervaringsuitwisseling tussen fondsenwervers gaat door op dinsdag 24 April 2018.
-> Info en overschrijvingsformulier op de homepage van www.fundraisers.be
15 juillet 2017 – Le quotidien Het Laatste Nieuws du 14 juillet consacre un dossier à la récente décision des autorités communales de la ville d’Ostende qui ont retiré aux associations l'autorisation de mener des opérations de recrutement de donateurs dans les rues commerçantes de la ville.
La plupart des médias néerlandophones se sont fait l’écho de cette décision, qui concerne plusieurs associations telles que NICEF, le WWF, Greenpeace ainsi que la Croix-Rouge.
Pour Johan Vande Lanotte (SP.A.), bourgmestre d’Ostende, nombre de passants se plaindraient d’être exagérément sollicités (“aangeklampt”) tandis que les commerçants de la ville estiment perdre des clients du fait de la présence de recruteurs aux alentours de leurs établissements.
Le Laatste Nieuws rapporte que le S.N.I. (Syndicat National des Indépendants) s’était également fait l’écho de récriminations émanant de certains de ses commerçants affiliés.
Le bourgmestre d’Ostende propose que les ONG se tourner davantage vers d'autres modes de recrutement, tel qu'Internet et les réseaux sociaux.
Pour Philippe Henon - porte-parole d’UNICEF - ainsi que Koen Stuyck (WWF) le street fundraising est une technique de recrutement de sympathisants nettement plus efficace que les appels à la générosité par mailings ou au travers d’annonces en presse écrite et radio-télévisée.
Le recrutement sur la voie publique a ainsi permis à l’UNICEF de mobiliser plus de 75.000 nouveaux donateurs en 2016, qui acceptent de verser de 9 à 10 euros par mois.
Il semble donc incontestable qu'une diminution de la collecte au moyen du street fundraising ne pourrait être compensée par le recours accru à d'autres techniques de prospection.
Les associations sont toutefois conscientes du risque d’irritation que peut provoquer l’approche quelque peu intrusive du street fundraising, qui débute par une interpellation directe du passant, et se prolonge en fin de dialogue par une proposition qui privilégie toujours la souscription à un engagement de don mensuel.
L’article du Laatste Nieuws cite Maarten Boudry, philosophe et moraliste de l’Université de Gand, lequel observe que les recruteurs évitent d'offrir aux personnes contactées l’opportunité de repartir avec un dépliant leur permettant de réfléchir à l'aise, chez eux, à l’opportunité d’un don.
Le street fundraising n’a à ce jour que rarement fait l’objet de contestations en Belgique, si ce n’est à l’occasion d’une interdiction similaire prononcée en 2011 à l’initiative de Louis Tobback (SP.A.), bourgmestre de Leuven (lien).
Ce mode de prospection a bien fait l’objet de critiques aux Pays-Bas, où son rendement serait plus faible qu'en Belgique (lien).
Les médias britanniques se sont par contre souvent mobilisés contre le comportement jugé agressif de certaines équipes de recruteurs, désignés par leurs détracteurs sous la dénomination péjorative de « chuggers ».
Les autorités britanniques ont dès lors mis en place une structure de régulation, appelée Public Fundraising Regulatory Association (PFRA), chargée de réglementer de manière contraignante les opérations de recrutement de donateurs sur la voie publique.
Un article du Daily Telegraph révélait en avril 2016 que le PFRA avait délivré en trois ans des amendes à hauteur de £ 165.000 pour non-respect des règles en matière de street fundraising (lien).
Le PFRA a été dissous en 2016 lorsque divers organismes de régulation du marché de la collecte ont été transférés au sein du Fundraising Regulator.
Cette nouvelle instance a édité un Rule Book 'Street Fundraising' dont les dispositions sont également relativement strictes.
-> Lire 'Street fundraising: auto-régulation sévère, amélioration incontestable' (lien)
L'Institute of Fundraising a mené au cours des derniers mois une importante enquête de type 'mystery shopping', destinée vérifier le comportement de neuf cents recruteurs.
Le nombre d'infractions constatées s'est avéré être en forte baisse en comparaison aux années précédentes (lien1 et lien2).
Dans plusieurs pays d’Europe le street fundraising, et dans une certaine mesure le marketing téléphonique, ont contribué de manière décisive au maintien d’une croissance lente mais persistante de la générosité publique au profit des grandes associations à forte notoriété.
Celles-ci entendent éviter que ce mode de recrutement soit perçu comme trop invasif, au risque d’entamer la confiance du public et d'inciter les autorités communales à prononcer des mesures d’interdiction.
La plupart des associations belges concernées par cette problématique ont dès lors pris l'engagement de respecter une Charte du Dialogue Direct dont les grandes lignes ont été définies dans le cadre d’une concertation coordonnée par l’Association pour une Ethique en Collecte de Fonds (AERF).
Un plan de répartition des équipes de prospection a été mis en place de manière à éviter une concentration trop importante de recruteurs sur certaines artères.
Le public est cependant de plus en plus souvent sollicité sur la voie publique, notamment du fait d’un nombre croissant d’équipes de recruteurs mobilisés par les diverses agences commerciales qui sous-traitent ces opérations de prospection pour le compte de plusieurs associations.
Citons, parmi les principales agences commerciales actives en street fundraising sur le marché belge: Activate, APPCO, Direct Result, ONG Conseil et Pepperminds.
Plusieurs d'entre elles appartiennent à des structures internationales spécialisées en collecte de fonds.
L'accroissement du nombre d'équipes de recruteurs a entrainé une diminution des rendements des opérations menées dans les artères commerçantes des grandes villes.
Ce constat a amené certaines agences commerciales à diversifier les lieux de prospection.
Certaines sont dès lors également présentes à la sortie de grands établissements commerciaux, tel IKEA pour le compte d’UNICEF et le réseau des magasins Delhaize pour le compte de diverses associations, dont WWF et la Rode Kruis Vlaanderen.
D'autres associations, tel Child Focus, ont préféré s'orienter vers le démarchage en porte-à-porte, cette fois encore en recourant aux services d'une agence commerciale spécialisée.
La pression accrue consécutive à l'accroissement du nombre de recruteurs a peut-être contribué à accélérer dans certains pays l'érosion du capital de confiance dont le secteur associatif bénéficiait précédemment.
Si pareille évolution a sans nul doute été observée au Royaume-Uni, aucune enquête n'a pu confirmer dans quelle mesure la fréquence accrue des campagnes de street fundraising provoque également en Belgique un sentiment de lassitude ou d'irritation au niveau des personnes sollicitées.
Concernant la suite à donner à l'actuel contentieux avec la ville d'Ostende, il se pourrait que diverses villes et communes belges puissent s'inspirer des conventions signées au Royaume-Uni entre l'Institute of Fundraising et plus de 125 municipalités locales.
La plus récente convention date d'avril 2017 et concerne la ville de Birmingham (lien1 et lien2).
Sources:
- Het Laatste Nieuws (14/07/2017 - 'Bedelverbod voor goede doelen' (lien)
- Association pour l'Ethique en Collecte de fonds (AERF) - Charte du Dialogue Direct (lien)
- Fundraising Regulator - 'Rulebook for Face-to-Face Fundraising' (lien)
