Le consentement, principal fondement légal des traitements ?
15 mars 2018 - Nombre d’associations actives en levée de fonds s'efforcent de se mettre progressivement en conformité par rapport aux exigences de la RGPD (Règlement Général européen sur la Protection des Données), qui entre en vigueur le 25 Mai prochain.
La nouvelle législation les oblige notamment à justifier sur quelle base légale elles justifient leurs traitements, et notamment les mailings et autres communications adressés aux donateurs.
Différentes instances se sont prononcées dans un premier temps en faveur d’un recours assez systématique au ‘consentement explicite des usagers’ comme fondement légal des traitements de données personnelles.
Cela signifie toutefois dans pareil cas que l’envoi de mailings est toujours subordonné au consentement explicite des donateurs.
Or la RGPD permet également de recourir dans bon nombre de cas à une justification sur base de ‘l’intérêt légitime de l’association’, qui n’exige pas que le consentement des donateurs ait été préalablement enregistré.
Plusieurs arguments plaident en faveur d'un recours assez systématique au consentement explicite des usagers:
- Ce système correspond à ce qu’une majorité de donateurs souhaiteraient probablement, comme l'ont confirmé divers sondages britanniques.
- Nombre de juristes rappellent que cette option présente l’avantage d’être légalement inattaquable, alors que la justification basée sur l’intérêt légitime de l’organisation ne peut s’appliquer en toutes circonstances.
Demander un consentement explicite aux donateurs déjà fidélisés ?
Au Royaume-Uni l’Institute of Fundraising (IoF) semblait dans un premier temps suggérer à ses membres d’accorder si possible leur préférence à l’option ‘consentement explicite’.
Plusieurs organisations britanniques, au nombre desquelles la RNLI (Royal National Lifeboat Institution), Cancer Research UK et Rethink Mental Illness ont à cette époque même choisi d’interrompre leur communication aux donateurs, tant actifs qu'inactifs, qui ne confirmeraient pas leur accord explicite concernant le maintien des appels au don et d'autres supports d'information.
Ce choix radical obligea ces associations à mettre en place de coûteuses campagnes de promotion de l’opt-in, notamment au travers de clips-vidéo.
Cela entraina une diminution significative des recettes de la RNLI.
L'association se disait cependant satisfaite d’avoir obtenu, au terme d'une campagne 'opt-in' qui s'échelonna sur 13 mois, d'avoir enregistré une réaction positive de plus de 500.000 de leurs donateurs.
D'autres organisations, telle la Croix-Rouge britannique, ont choisi de ne demander l'accord explicite de leurs donateurs que dans le cas de certains traitements, tel que la prise de contacts par télémarketing.
Consent, a “rubbish’ basis for wider fundraising purposes
De nombreux experts britanniques prennent à présent leurs distances par rapport au principe d’un recours généralisé au consentement explicite des usagers.
Ils préfèrent le limiter à un nombre restreint de traitements pour lesquels la RGPD exige indiscutablement l’accord préalable des personnes concernées.
Ce revirement se reflète notamment dans les témoignages recueillis par Hugh Radojev, et dont il rend compte dans le dossier ‘Countdown to GDPR’ du Fundraising Magazine (March 2018, pages 10-13):
« According to David Fluskey, who has become the IoF’s data protection expert over recent months, both the Fundraisers Regulator and the Information Commissioner’s Office have been quite clear in saying that consent isn’t better than legitimate interest, or vice-versa, in the law.
Both are an equally lawful basis for contacting people through direct marketing.
It’s about charities making a decision about which to use, and doing that on the basis of what is going to ensure the best relationship with their supporters and held them raise the most amount of money.
Serena Tierney, partner and data protection expert with law firm VWF, warns charities against relying solely on consent when it comes to processing data.
She says that under the current Privacy and e-Commerce Regulations (PECR), charities already have to get consent from supporters to contact them either through email or SMS, but that consent is a “rubbish” basis on which to process data for wider marketing and fundraising purposes”.
En Belgique
En dehors du secteur non-marchand, BPost et nombre d'entreprises commerciales actives en direct marketing justifient autant que possible le fondement de leurs mailings sur base de l'intérêt légitime de l'organisation.
Nombre d'associations actives en collecte de fonds choisiront probablement cette même justification légale, du moins pour ce qui concerne l'ensemble des donateurs actifs qui sont déjà répertoriés dans leur base de données avant le 25 Mai prochain, date de mise en application effective de la RGPD.