Analyse critique du ‘Code de Conduite RGPD’
proposé par l’AERF
Mardi 27 mars 2018 - Le présent article propose un commentaire critique du projet de Code de Conduite GDPR qu'un groupe de travail de l'AERF a courageusement mis en chantier.
Le document de l'AERF devrait être profondément amendé dans les prochaines semaines, à la demande de l'Assemblée générale de cette organisation (lien).
Avant-propos
Code de Conduite ou Charte de valeurs ?
L’AERF (Association pour une Ethique dans la Collecte de Fonds), seule plateforme représentative des organisations actives en collecte de fonds, a pris l’initiative de rédiger un ‘Code de Conduite GDPR’ qui a été transmis début mars à ses 110 membres. Ce document sera discuté lors de l’Assemblée générale du 22 mars prochain. Il avait été initialement prévu qu’il soit soumis à l’approbation de la Commission Vie Privée, au titre de Code de conduite sectoriel des acteurs de la collecte.
On comprend tout l’intérêt que peut représenter pareil Code dans les pays où il réussit, avec l’aval de l’autorité nationale compétente, à reformuler de manière plus concrète les principales exigences de la RGPD au départ des activités spécifiques aux organisations qui font appel à la générosité publique.
L’aval de l’autorité nationale nécessite toutefois le respect d’une série de conditions que la Commission ‘Vie privée’ résume comme suit sur son site :
Que doit contenir le code de conduite ?
« Afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite, la rédaction de lignes directrices par le Groupe de Travail - Article 29 est actuellement en cours.
La Commission vie privée estime utile de d’ores et déjà préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :
⦁ être conforme au nouveau règlement et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au nouveau règlement ;
⦁ avoir pour objet de spécifier et préciser l’application du nouveau règlement ;
⦁ apporter une valeur ajoutée par rapport aux dispositions du nouveau règlement permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
⦁ disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ;
⦁ avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés
⦁ désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer. »
Source : Commission Vie Privée
Plusieurs codes de conduite 'RGPD - Collecte de fonds' en chantier, peu de résultats aboutis
L’Union européenne compte diverses plateformes nationales représentatives d’organisations qui font appel à la générosité publique.
Plusieurs d’entre elles (Austrian Fundraising Verband, France Générosités, Institute of Fundraising) ont mis en chantier l’élaboration d’un Code de Conduite national ‘RGPD-Fundraising’. Mais à l’exception de l’initiative britannique, on ne connait guère à l’heure actuelle de document qui ait été finalisé, et qui bénéficierait en outre de l’aval de l’autorité nationale compétente en matière de protection des données personnelles.
Un code commun pour des associations de tailles fort diverses ?
L’initiative de l’AERF est bienvenue, mais également particulièrement difficile à mener à bien. Car la RGPD comprend nombre d’exigences dont l’obligation de mise en œuvre dépend pour une large part de l’importance et du type d’initiatives en matière de collecte : nombre d’usagers repris dans divers fichiers, fréquence des traitements, présence de données sensibles, niveau de risque, etc.
L’AERF compte 35 membres qui collectent plus d’un million d’euro sur base annuelle, et une trentaine d’associations dont les contributions issues du public sont inférieures à 50.000 €. Difficile dans pareil contexte de rédiger un Code qui liste les principales obligations qui s’imposent à toutes les organisations sans omettre par ailleurs d’autres exigences qui concernent plus spécifiquement les grands acteurs de la collecte.
Code contraignant, ou charte de valeurs ?
Il parait peu probable que la formulation actuelle, à la fois incomplète et imprécise, du document de l’AERF, puisse dans l’état bénéficier d’un éventuel aval de la Commission ‘Vie Privée’.
D’autant que la dernière exigence énoncée ci-dessus par l’autorité de contrôle – ‘désigner l’organisme qui dispose d'un niveau d'expertise approprié’ nécessiterait – si l’AERF ambitionnait de remplir ce rôle – de mobiliser de nouvelles ressources et compétences.
Il se pourrait donc que les membres de l’AERF se donnent en définitive pour objectif de ne rédiger qu’une ‘Charte de valeurs communes’, sans plus chercher à bénéficier d’un aval formel de l’autorité de contrôle.
Rappelons que l’Institute of Fundraising, et plus récemment France Générosités, se sont donné pour ambition de produire un Code de Conduite certifié conforme aux exigences de l’autorité nationale compétente.
Une première version incomplète, et plusieurs options contestables
Principaux manquements
La version actuelle du Code de conduite semble à plusieurs égards relativement incomplète:
⦁ Elle passe sous silence plusieurs obligations importantes dont les autorités de contrôle ont indiqué qu’elles devraient être respectées par toutes les organisations qui traitent des données personnelles (confer infra : B1 à B4)
⦁ Elle est au mieux fort imprécise concernant les questions relatives à la location de fichiers utilisés en prospection, alors que nombre de donateurs se disent irrités par certaines pratiques en cours dans le secteur de la collecte et sont demandeurs de règles plus strictes en cette matière (confer infra : B5)
⦁ Elle ne mentionne pas davantage plusieurs exigences importantes qu’à tout le moins la plupart des plus grands acteurs de la collecte ne pourraient se permettre d’ignorer (confer infra : B6)
Options stratégiques contestables
La version actuelle du Code envisage par ailleurs d’obliger les membres de l’AERF à adhérer à des options stratégiques dont les rédacteurs n’ont probablement pas mesuré les conséquences potentiellement dommageables pour tout ou partie des associations concernées :
⦁ Obligation d’un recours apparemment généralisé au ‘consentement explicite’ comme fondement légal des traitements concernant les nouveaux donateurs (confer infra :article 3)
⦁ généralisation de la nomination d’un DPO dans toutes les associations actives en collecte (confer infra: article 4)
Nous listons ci-dessous les principales remarques inspirées par une première lecture de ce document, d’abord sur base d’une analyse des différents articles (partie A), puis en rappelant diverses obligations de la RGPD auxquels à tout le moins nombre de grands acteurs de la collecte devraient être tenus de se conformer (partie B).
A - Remarques concernant différents articles du Code de Conduite
Article 3 - Intérêt légitime de l'organisation ou consentement explicite de l'usager ?
L’article 3 indique dans son premier paragraphe que tous les membres de l’AERF seraient tenus d’obtenir un opt-in explicite de leurs nouveaux donateurs pour un nombre (non-précisé) de traitements.
Il faut être conscient de ce que cette option a été jugée démesurément exigeante par nombre d’acteurs de la collecte. Elle entrainerait inévitablement - hors street fundraising - une diminution significative des recettes, du fait que de nombreux nouveaux donateurs omettront de confirmer leur ‘opt-in’ et ne pourront dès lors plus être contactés.
Rappelons ici que la réglementation GDPR permet mais n’impose pas nécessairement le choix de ce fondement légal.
Le second paragraphe de l’article 3 suggère à l’inverse, concernant cette fois concernant les donateurs recrutés avant Mai 2018, que tous les membres de l’AERF prendraient collectivement l’engagement de justifier tous ces traitements sur base de l’intérêt légitime de l’organisation.
Exprimée de manière à ce point générale, cette option pourrait être déclarée non-conforme par la RGPD dans diverses situations particulières, tel que :
- l’envoi répété de newsletters électroniques à des donateurs dont on a capté autrefois l’adresse email, peut-être sans même que cette adresse ait été volontairement transmise dans ce but par cette personne ;
- l’envoi répété, pendant plusieurs années, d’appels au don à des donateurs qui ne se sont manifestés qu’une seule fois par un don occasionnel, ou qui ne sont plus donateurs depuis plus de deux ans.
Le secteur de la collecte gagnerait en crédibilité en nuançant cette proposition, qui serait par exemple davantage défendable si on rappelait explicitement que le recours à l’intérêt légitime de l’organisation doit toujours être pondéré par un examen des attentes réalistes de l’usager.
A noter que le dernier paragraphe de l’art. 3 est en contradiction avec la recommandation concernant les nouveaux donateurs énoncée dans le premier paragraphe.
Le second paragraphe fait état d’un hypothétique « intérêt légitime » de l’usager, alors que la législation n’utilise pas l’adjectif ‘légitime’ concernant l’intérêt de l’usager.
En guise de conclusion :
L’article que le Code de Conduite consacrerait au fondement légal des traitements gagnerait à
⦁ Citer toutes les justifications légales qui peuvent concerner certains traitements propres au secteur de la collecte, donc également l’obligation contractuelle (gestion du don) et l’obligation légale (délivrance des attestations fiscales, obligations en termes de durée de conservation de certaines données, etc.)
⦁ Rappeler que l’intérêt légitime de l’organisation peut être invoqué pour justifier divers traitements relatifs à l’envoi d’information et d’appels au don, dès lors que (notamment) les trois conditions suivantes sont réunies
- Cette activité est indispensable à la réalisation de l’objet social de l’organisation : c’est ainsi que la collecte de fonds est généralement indispensable au financement des projets conformes à l’objet social de l’organisation
- La justification de l’intérêt légitime tient également compte (« est pondérée par ») les attentes raisonnables des personnes concernées : l’organisation peut apporter la preuve de ce qu’elle a documenté les procédures qu’elle a, si nécessaire, mises en place à cet effet, notamment en termes de fréquence diminuée ou d’interruption des envois à certaines catégories de donateurs devenus durablement inactifs.
- La justification sur base de l’intérêt légitime n’est pas invoquée pour des traitements – communication électronique, envoi de sms, etc - que la RGPD ou d’autres législations n’autorisent que sur base d’un consentement libre et explicite des personnes concernées.
A clarifier: concernant l'envoi de communication électronique: obligation pour l’organisation d'avoir archivé la preuve du consentement explicite, dans le cas de donateurs mobilisés avant Mai 2018 ?
Art.4 - Data Protection Officer
On imagine mal, comme le suggère l’art. 4, que toutes les associations membres de l’AERF soient tenues de nommer un DPO.
Nombre d’experts conseillent avant tout de nommer une personne « en charge de la gestion RGPD », sauf dans les cas où le DPO est rendu obligatoire en fonction de critères que la RGPD et des aviss complémentaires précisent (nombreux traitements de données, caractère sensible des données traitées, niveau plus élevé de risque de pertes,…).
Ne pas sous-estimer les conséquences potentiellement « lourdes », pour chaque association concernée, qu’impliquerait la nomination d’un DPO !
Art. 4 - Droit à l’image des mineurs
Ce droit fondamental n’est-il pas (surtout) lié à d’autres législations que le GDPR ?
Comment l’interpréter au départ d’exemples concrets ?
Le Code obligera-t-il les ONG Nord-Sud membres de l’AERF d’apporter désormais la preuve de ce que les images de jeunes (y compris des pays du Sud) seront toujours assorties d’un accord signé de leurs parents ?
La documentation didactique commandée par un jeune au département ‘Sensibilisation scolaire’ d’une ONG nécessitera-t-elle l’accord explicite de ses parents, du fait de la conservation des coordonnées du jeune ?
Art.5 – Dénoncer ‘tout' manquement ?
La formulation actuelle oblige les membres de l’AERF à signaler aux autorités « tout manquement », ce qui va beaucoup plus loin que la réglementation RGPD. Celle-ci n’impose une obligation d’information de l’autorité de contrôle que dans certains cas de type « data breach ».
Il n’y a sans doute pas intérêt à imposer cette mesure extrême aux membres de l’AERF.
Art.6 – Interdiction de communication à des tiers
Cet article semble impraticable tel qu’il est rédigé, car des données personnelles sont nécessairement communiquées aux imprimeurs, routeurs etc, bien évidemment sans nécessité d’un consentement explicite des donateurs.
L’art. 6 du Code de Conduite donne à penser que l’AERF choisisse de ne pas interdire à ses membres la location des fichiers de donateurs (actifs ou inactifs), pour peu qu’ils aient donné leur consentement explicite.
Il conviendrait dans cette hypothèse de rappeler au minimum les nouvelles exigences de la RGPD en cette matière, tel que : "pas de demande de consentement général ou imprécis, par exemple qui ne préciserait pas l’identité de l’organisation tierce à laquelle les données sont transférées".
Les questions liées à d'éventuelles location de fichiers sont également traitées en fin d'article : 'B5 - Location de fichiers provenant d’organisations tierces, commerciales ou associatives'.
Art.8 – Sous-traitants
Cet article semble curieusement exiger des sous-traitants qu’ils souscrivent à un Code de Conduite AERF, alors que ce Code est dans l’état actuel beaucoup moins complet que la RGPD que ces sous-traitants sont de toutes manières tenus de respecter.
Il ressort en outre de contacts récents avec diverses ONG que, indépendamment du Code AERF, il est dès à présent parfois impossible d’arracher à certains fournisseurs importants (notamment des sociétés extra-européennes gestionnaires de traitements de données personnelles sur le cloud, tel Dropbox etc) un engagement de conformité par rapport au GDPR. Il est donc à fortiori peu réaliste leur imposer de souscrire à un Code AERF.
Ne serait-il pas plus efficace que l’AERF produise un contrat-type qui corresponde aux principales exigences que ses associations membres sont en droit d’exiger de leurs sous-traitants (confidentialité, sécurisation, suppression des données au terme du job,…) ?
Art.9 - Activation d’une fonction d’évaluation au sein de chaque association
L’option proposée par l’art. 9 du Code – « faire effectuer deux fois par an des contrôles « sonde » au sein de chaque organisation - est attractive, mais fort ambitieuse.
Sa mise en œuvre nécessiterait notamment un sérieux travail de briefing des « contrôleurs » concernant le choix de critères de contrôle pertinents, tenant compte notamment de la taille de l’association, de la taille de ces fichiers, du nombre de données sensibles et du niveau de risque.
Cette proposition rejoint pour partie la suggestion de certaines ONG qui apprécieraient de pouvoir co-financer un DPO commun, susceptible de formuler des recommandations qui tiennent compte des spécificités du secteur de la collecte.
Art.10 - Données et finalités
Un Code de Conduite sectoriel doit, du point de vue de la Commission ‘Vie privée’, spécifier et « préciser l’application du nouveau règlement »: confer supra ‘Que doit contenir le code de conduite?'
De ce point de vue, à l’inverse par exemple du Code britannique proposé par l’Institute of Fundraising, le projet de Code belge comprend nombre de formulations générales et imprécises, tel l’art. 10 dont la liste des données à caractère personnel fait l’impasse sur diverses données ‘sensibles’ (orientation sexuelle, les informations médicales ou les options philosophiques ou religieuses des personnes concernées).
Art.11 Droits des usagers
La formulation actuelle de cet article adopte une tonalité défensive dans le cas d’une demande d’information, en énumérant diverses conditions qu’on est peut-être en droit d’imposer.
Cette tonalité est d’autant plus malvenue que le Code n’insiste pas vraiment sur un ensemble de mesures imposées par la RGPD en vue
- d’informer les usagers quant à leurs divers droits (via une ‘Privacy Notice’ aisément compréhensible grâce à des bullet-points, etc)
- de leur faciliter l’exercice de leurs droits (grâce à des formulaires en ligne aisément accessibles, etc).
Art 12 - Conflits d'ntérêts ?
Concernant la proposition ‘Ne pas détenir d’intérêt financier’, il est difficile pour le lecteur de comprendre quels cas concrets concernant le GDPR seraient visés par cette interdiction.
L’invocation « … que soit signalé toute fraude ou abus » est imprécise : est-il question de dénoncer à la direction de l’organisation, à l’AERF, à la Commission Vie Privée ?
Article par ailleurs redondant par rapport à l’art. 5 (‘dénoncer tout manquement auprès des autorités').
B – Obligations importantes non-mentionnées dans le Code AERF
Il ressort de diverses déclarations de la Commission ‘Vie Privée’ que les organisations concernées par la RGPD sont en tout état de cause tenues, dans un premier temps et au plus tard avant le 25 Mai, d’activer un nombre limité de procédures prioritaires qui apporteront si nécessaire la preuve qu’elles sont engagées de manière significative dans le processus de « mise en conformité GDPR ».
Citons, au nombre de ces exigences, d’une part un double effort significatif de documentation (points B1 et B2 ci-dessous), d’autre-part un double effort d’information des usagers (points B3 et B4 ci-dessous):
- B1 - Obligation de constitution du registre des traitements personnels, fut-ce dans une version allégée dans le cas d’associations dont le niveau des activités de collecte serait modeste.
- B2 - Documentation de la justification du fondement légal de chaque catégorie de traitement ou d’activité, ainsi que des mesures concrètes mises en place concernant notamment l’information des usagers ou encore la sensibilisation/formation du personnel aux exigences RGPD, cette dernière question étant jugée prioritaire par plusieurs ONG, notamment concernant la sécurisation des données.
- B3 - Publication d’une Privacy Notice conforme aux exigences nouvelles de la RGPD, qui doit notamment mentionner les différentes catégories de traitements personnels, leur justification légale et les droits des usagers.
- B4 - Mise en place obligatoire d’un dispositif aisément accessible (notamment via des formulaires en ligne, etc) qui permette aux personnes concernées (et notamment aux donateurs) d’exercer leurs droits (à l’information, à l’effacement ou opt-out, etc).
Il est difficile d’imaginer que ces différentes obligations, et en particulier celles qui concernant les droits à l’information des usagers (points B3 et B4), ne soient pas davantage explicités dans le Code de Conduite.
B5 - Location de fichiers provenant d’organisations tierces, commerciales ou associatives
Dès lors qu’en Belgique cette pratique est de temps à autre à l’origine de plaintes de donateurs, on ne peut imaginer que le Code de Conduite s’abstienne de toute recommandation ou obligation commune concernant ce sujet.
Il serait par exemple utile que l’art. 6 du Code rappelle aux organisations qui exploitent en prospection des fichiers transmis par des organisations tierces qu’il est indispensable de s’assurer que le fondement légal que ces dernières invoquent soit juridiquement incontestable.
Il est en effet probable que les associations membres de l’AERF auront toujours l’opportunité, après Mai 2018 et à l’initiative de telle ou telle agence commerciale, de prospecter sur des fichiers constitués sur base de donateurs qui n’ont pas activé un ‘opt-out’, alors que la RGPD devrait probablement avoir pour effet d’exclure de ces fichiers les donateurs qui n’ont pas activé un ‘opt-in’.
B6 - Exigences de la RGPD concernant principalement mais pas exclusivement certains grands acteurs de la collecte
Certains grands acteurs de la collecte, ou du moins les organisations qui traitent des données personnelles en grand nombre et/ou de caractère sensible, sont dans certains cas tenues de se mettre en conformité par rapport à diverses exigences spécifiques imposées par la RGPD: sécurisation, minimisation, durée maximale de conservation, anonymisation ou enrichissement de données, logiciels avec conformité ‘data protection by design and by default’, analyse d’impact (DPIA), profilage.
Le projet de Code de Conduite proposé par l’AERF gagnerait en crédibilité s’il prenait la peine d’au minimum rappeler l’existence des principales exigences spécifiques qui peuvent concerner certains grands acteurs de la collecte, en insistant sur la double obligation de documentation des procédures arrêtées en cette matière, et le cas échéant de mise en application effective de ces mesures.
B7 - Principes de proportionnalité et de granularité
Au titre de remarque finale, clôturons cette brève analyse en insistant sur l’intérêt qu’il y aurait à rappeler deux principes utiles concernant les conditions de mise en œuvre de la RGPD :
- Principe de proportionnalité: les organisations sont tenues d’affecter, en matière de mise en conformité RGPD, des ressources et des procédures de mises en conformité qui soient proportionnelles aux moyens d’action dont elles disposent, ou au nombre et au niveau de sensibilité des données personnelles qu’elles traitent.
- Principe de granularité: diverses options, tel le recours aux deux fondements légaux ‘intérêt légitime’ et ‘consentement explicite’, doivent pouvoir être mis en application de manière nuancée (différenciée), et s’inspirant d’arguments qui privilégient ‘le bon sens’.
------------
Vos réactions ou commentaires – Uw vragen of kommentaar
Merci de nous communiquer vos réactions ou commentaires par email.
Gelieve ons uw vragen of kommentaar per email door te sturen.
Hugues d’Ydewalle – Fundraisers Forum -
Télécharger ce rapport en format PDF - Download dit verslag in PDF formaat: Analyse du Code de conduite RGPD de l'AERF
Sorry, geen Nederlandstalige versie van deze tekst
Omwille van de beperkte werkingsmiddelen van het Fundraisers Forum zijn wij spijtig genoeg niet in staat om een Nederlandse versie van deze tekst te bezorgen.
Notre offre: documentation & skillshare FR (24/4) 'GDPR for fundraisers'
1 Le guide 'Implémentation de la RGPD en collecte de fonds' (32 p.) + Annexes (48 p.) proposent une présentation générale de la RGPD ainsi qu'un 'focus' sur ses effets en collecte de fonds. Ils vous sont transmis endéans les deux jours suivant votre inscription.
2 La newsletter 'GDPR for fundraisers' suit l'actualité de la RGPD en collecte de fonds, de février à juillet 2018.
3 Le workshop francophone 'GDPR for fundraisers skillshare' du mardi 24 avril 2018 (9h30-12h30), privilégiera l'échange d'exemples de bonnes pratiques entre fundraisers.
-> Infos et formulaire d'inscription: page d'accueil du site www.fundraisers.be
Ons aanbod 'GDPR toolkit voor fundraisers' (documentatie en NL skillshare op 24/4)
1 De handleiding 'GDPR voor fondsenwervervende verenigingen' (32 blz.) + Engelse bijlage (48 blz.) biedt u een uitgebreide basisdocumentatie over GDPR voor fondsenwervende verenigingen te raadplegen
2 Maandelijkse ‘GDPR for fundraisers’ newsletter, van februari tot juli 2018 (redactie: Frans/Engels)
3 De Nederlandstalige workshop 'GDPR for fundraisers skillshare': de Nederlandstalige editie van deze ervaringsuitwisseling tussen fondsenwervers gaat door op dinsdag 24 April 2018.
-> Info en overschrijvingsformulier op de homepage van www.fundraisers.be
