Revue de presse 'RGPD & secteur associatif'

Persoverzicht
'GDPR in de not-for-profit sector'

Legitimate interest and ePrivacy: non-profit GDPR advice

Beyond consent, Blackbaud’s new eBook of non-profit GDPR advice explains the six legal bases that organisations can use to process personal data.
Source: Charity Digital News (08/05/2018)

Why GDPR is good for charities

'Realistically, many charities' fundraising attemps in the last couple of years have been unethical, in terms of practices like putting targets on fundraising, cold calling, spamming and profiling data that theyv’e brought in through lists, where individuals haven’t realised that they gave away their data in the first place. And while that might work in terms of getting the money in, charities, like all organisations, should have a wider view of what they’re trying to achieve – part of that involves maintaining a positive relationship with the supporters they cherish so much.'
Source: Charity Digital News (17/05/2018)

GDPR is the wake-up call the sector needs

Matt Collins: ‘For far too long, charities have overseen bloated email lists and databases chock full of people with tenuous, outdated or completely unknown connections to their charities.
That’s thousands of people’s personal data just sitting on spreadsheets and gathering dust in a digital corner.
GDPR will slash the size of those lists massively, and that’s going to have a hugely positive impact on fundraising.’
Source: Third Sector  (15/05/2018)

United Kingdom - Charities reported 152 data security incidents in the year to March 2018

Charities reported 152 data security incidents to the Information Commissioner’s Office in the year to March 2018, with over a third being reported in the first three months of this year, according to the latest update from the data regulator.
This is in line with other sectors, which have also seen rises.
Source: Civil Society (24/05/2018)

Bisnode - RGPD: notre engagement

Obtenir des sources de données optimales est essentiel pour créer des solutions marketing axées sur les données. Comment faire en sorte qu’elle soient totalement en ligne avec le RGPD ?
Découvrez ce que nous avons accompli pour être conformes à la RGPD et laissez-vous inspirer par nos articles sur le sujet.
Lire : 'Notre engagement - Episodes 1 à 9'

Bisnode: dit doen wij op het vlak van de GDPR

Wij hebben onze voorbereidingen getroffen. Behoeften op het vlak van beveiliging en privacy moeten ernstig worden genomen. Bisnode gaat tot het uiterste om uw privacy te beschermen en u te helpen uw rechten uit te oefenen. Wij bewaren de gegevens voor een minimum aan doeleinden en beperken de toegang tot deze gegevens uitsluitend tot de personen die ze nodig hebben. GDPR zit in ons DNA.
Lees: 'Onze verbintenis: afleveringen 1 tot 9'

• GDPR-Belgium-Actu

La réglementation européenne RGPD impose un devoir de vigilance aux entreprises - et bien évidemment aux associations - concernant l’usage inapproprié, par des tiers, des données personnelles de leurs usagers.
Cette exigence peut inciter certaines associations à prendre leur distance par rapport à Facebook, et notamment à fermer le compte Facebook qu’elles avaient mis en ligne dans le cadre de leurs activités de sensibilisation ou de collecte de fonds.

‘Facebook verlaten dupeert goede doelen’

Pas moins de 30.000 néerlandais ont clôturé leur compte, dans le cadre de la campagne Bye Bye Facebook actuellement en cours aux Pays-Bas.
Mais pour Jacqueline Kronenburg, conseillère en communication auprès de diverses associations néerlandaises, le secteur associatif – et plus particulièrement les petites associations actives en levée de fonds – n’ont nullement intérêt à rejoindre ce mouvement.
Lire ‘Facebook verlaten dupeert goede doelen’ – Opinie, in Trouw (11/04/2018)

Elle rappelle qu’à l’heure ou la règlementation RGPD risque de restreindre les possibilités d’exploitation de fichiers d’adresse, les associations ne peuvent se payer le luxe de renoncer à exploiter les possibilités offertes par les réseaux sociaux en matière de sensibilisation et de prospection de nouveaux publics.
Le mouvement de désaffiliation de Facebook que certaines petites organisations sont tentées de rejoindre aurait pour principal effet de les affaiblir davantage, alors que les grands acteurs de la collecte continuent se renforcer.

Même son de cloche au Royaume-Uni.
Une récente contribution de Mike Buonaiuto, directeur de l’agence Shape History, relève que les associations auraient tort de prendre le risque de boycotter l’outil Facebook, malgré les questions éthiques qu’elles soulèvent fort légitimement, suite notamment au scandale Cambridge Analytica.
-> Lire ‘How the third sector should respond to Facebook’s data leak’, in Charity Digital News (05/04/2018)

Un point de vue comparable est proposé par Kisty Marrins, consultante en communication digitale et administrateur de la Small Charities Coalition.
-> Lire ‘How do you solve a problem like Facebook ?’ in Third Sector

Tous deux doutent de l’efficacité réelle des campagnes de désinscription lancées au Royaume-Uni (#DeleteFacebook et #BoycottFacebook).
Dès lors que Facebook est avant tout dépendant de ses revenus publicitaires, c’est davantage grâce au poids et à l’influence décisive des plus grands annonceurs – et par exemple de la fédération britannique des annonceurs (ISBA) – que la société de Marc Zuckerberg sera forcée de réviser son mode de fonctionnement.

‘Facebook is not a friend to charities’

Kisty Marrins note par ailleurs que le lancement de l’option gratuite ‘Facebook Donate’ ne relève pas d’un geste philanthropique dénué de toute visée commerciale.
Il est probable que la société de Marc Zuckerberg espère accélérer grâce à cette offre sa pénétration sur un marché des 1,5 million d’organisations caritatives, en vue d'atteindre leurs très nombreux donateurs et adhérents.
Mais l’option ‘Facebook Donate’ risque tôt ou tard de devenir payante.
Elle constate également que société de Marc Zuckerberg n’offre guère de publicité gratuite (« ad grants ») aux associations caritatives, au contraire de Google dont le programme « Google Adwords » offre des possibilités d'annonces gratuites aux organisations d'intérêt général.

-> Autres articles en lien avec l'actualité belge de la collecte de fonds.

Près de 700 professionnels, trois journées de formation

Experts du fundraising, mais aussi de la communication, du web ou du management, philanthropes, mécènes, personnalités de France et d’ailleurs seront présents au prochain séminaire de l'Association Française des Fundraisers.
Que vous soyez débutants ou experts en fundraising, vous trouverez forcément des sessions dédiées à votre niveau et à vos problématiques. Nous vous attendons nombreux pour vivre ensemble ces trois journées d’échanges, d’apprentissage et de réflexion qui ne manqueront pas, comme chaque année, de vous étonner et de vous inspirer !
La 17ème édition du séminaire dédié à la collecte de fonds et au mécénat aura lieu à Paris les 26, 27 et 28 juin 2018 !

Pour plus d'infos: Séminaire francophone de la collecte de fonds

Le Fundraisers Forum propose différents documents susceptibles de facilité la mise en conformité RGPD dans le cadre d'activités en collecte de fonds:

- un guide disponible en versions FR ou NL (confer sommaire ci-dessous)
- diverses annexes (confer sommaire ci-dessous) 
- une Newsletter mensuelle 'RGPD en collecte de fonds', (éditée de février à juillet 2018).

Prix et formulaire de commande

Le Toolkit (guide, annexes et Newsletter) vous sont proposés au prix de 45€, et transmis endéans les 48 heures après enregistrement de votre commande au travers de ce formulaire.

1 - Guide 'Implémentation de la RGPD en collecte de fonds'

1a - Principales exigences de la RGPD

• 1.1 RGPD: contexte, acteurs, échéances (p.7)
• 1.18 Terminologie (p.8)
• 1.19 Responsable du traitement et sous-traitant : quelles obligations ? (p.9)
• 1.20 Obligation de documenter vos activités de traitement : registre des traitements (p.10)
• 1.21 Obligation de documenter le fondement légal des différentes catégories de traitements (p.12)
• 1.21a Obligation de documentation (p.12)
• 121b Six bases légales (p.12)
• 1.21c Marketing direct : justification du fondement légal sur base soit de votre intérêt légitime soit du consentement des usagers (p.13)
• 1.21d Fondement légal sur base de l’intérêt légitime de l’organisation: conditions à respecter (p.13)
• 1.21e Fondement légal sur base du consentement explicite des usagers: conditions à respecter (p.14)
• 1.21f Soft opt-in : justification en cas de communication électronique avec vos donateurs et autres contacts actifs (p.15)
• 1.21g Autres fondements légaux concernant le traitement de données personnelles hors marketing direct ou collecte de fonds (p.17)
• 1.22 Respect des droits des personnes dont nous traitons des données personnelles (p.18)
• 1.22a Droit à l’oubli (p.18)
• 1.22b Droit à l’information (p.18)
• 1.22c Droit de rectification (p.19)
• 1.22d Droit d’accès (p.19)
• 1.22e Droit d’opposition (p.19)
• 1.22f Informer concrètement vos usagers quant à leurs droits (p.20)
• 1.23 Faciliter l’accès aux données (p.21)
• 1.24 Rédiger et publier votre ‘Déclaration de confidentialité’ (p.21)
• 1.25 Appliquer les principes de ‘minimisation des données’ et de ‘durée de conservation limitée’ (p.23)
• 1.26 Sécurisation des données & procédures en cas de fuite de données (p.23)
• 1.26a Procédures administratives en vue d’éviter les pertes de données (p.23)
• 1.26b Procédures informatiques en vue d’éviter les pertes de données (p.23)
• 1.26c Procédures concernant vos sous-traitants (p.24)
• 1.26d Mise en place préventive d’un dispositif activable  en cas de violation des données (p.24)
• 1.27 Décision individuelle automatisée et profilage : effets en collecte de fonds ? (p.25)
• 1.28 Mise en conformité des contrats avec des sous-traitants (p.26)
• 1.29 Désignation d’une personne responsable du respect des règles de protection des données personnelles (p.26)

1b - Autres exigences de la RGPD 

Cette seconde section présente diverses obligations qui ne concernent le plus souvent que les plus grands acteurs de la collecte.

• 1.31 Principe de finalité déterminée (p.27)
• 1.32 Portabilité des données (p.27)
• 1.33 Données sensibles (p.27)
• 1.34 Données concernant les enfants (p.28)
• 1.35 Protection dès la conception et protection des données à défaut (p.28)
• 1.36 Data Protection Impact Assesment (DPIA) (p.29)
• 1.37 Data Protection Officer (D.P.O.): designation, missions (p.29)
• 1.38 Transferts de données vers les pays tiers (p.30)
• 1.4 Implémentation de la RGPD en collecte de fonds : autres conseils pratiques
• 1.41 Première étape : sensibiliser les personnes et équipes concernées (p.31)
• 1.42 Etapes suivantes (p.31)
• 1.49 ‘GDPR for fundraising charities : tips and tricks’ (p.32)

2 - Annexes

2a- Appendix 1 – ‘GDPR: the essentials for fundraising organisations’

Edited by the Institute of Fundraising (IoF) – (extracts)

• Note 1 - How do the legal rules and GDPRwork with the Fundraising Regulator and the Code of Fundraising Practice ? (page 3)
• Note 2 - Getting ready: top tips (page 3)
• Note 3 - We do fundraising, is that the same thing as ‘direct marketing’ ? (page 4)
• Note 4 - Can I send direct marketing by post, email, sms, telephone, automated telephone calls ? (page 4)
• Note 5 - GDPR and consent – the ‘opt in’ approach (page 5)
• Note 6 - ‘Legitimate interest’ as legal condition for direct marketing (page 6)
• Note 7 - Legitimate interest becomes a balancing exercise (page 7)
• Note 8 - Legitimate interest or consent: what do the British Authorities and the Institute of Fundraising recommend ? (page 9)
• Note 9 - Can we use both legitimate interest and consent ?
  Or do we have to choose just one and stick with it? (page 11)
• Note 10 - How long can we keep sending direct marketing to supporters ?
  Is there a limit to how long consent lasts ? (page 11)
• Note 11 - People might have different expectations of what’s reasonable, how do we decide ? (page 12)
• Note 12 - It hasn’t been recorded whether some people on our database have given us their consent or not. What should we do regarding email or postal marketing ? (page 12)
• Note 13 - Make sure that on communications that you send them that you’re giving them easy and simple ways to change their preferences (page 13)
• Note 14 - What about ‘wealth screening’, researching, and profiling supporters ? (page 13
  British publications recommended by the Institute of Fundraising (page 14)

Appendix 2 – Fundraising and Data Protection ‘A survival guide for the uninitiated’

Author: Tim Turner (extracts)
Summary of the Notes

• Note n° 15 – EU legislations - Role of the British Authority (ICO) (page 17)
• Note n°16 - Ten essential things you need to know about data protection (page 18)
• Note n° 17 – How should you write your purposes down ? (page 19)
• Note n° 18 - Appending, in order to keep your data accurate and up to date, is OK (page 20)
• Note n° 19 – Should your Privacy notice be transparent on profiling, research, data sharing? (page 20)
• Note n° 20 – Do we have to tell them at all? The concept of ‘reasonable expectations’ (page 22)
• Note n° 21 – Privacy notices: the ICO suggests a layered approach & ‘just-in-time’ notices (page 22)
• Note n° 22 – Example: a Privacy notice ‘vague to the point of being unfair’ (page 22)
• Note n° 23 – Do we provide a privacy notice, or make available on our website? (page 23)
• Note n° 24 – Definition of Consent (page 23)
• Note n° 25 – Can consent be opt-out or does it have to be opt-in? (page 24)
• Note n° 26 – What about implied consent? (page 26)
• Note n° 27 – How long does consent last? (page 26)
• Note n° 28 - Are we able to ask for lifetime consent rather than asking every couple of years? (page 26)
• Note n° 29 - Bundled consent (page 27)
• Note n° 30 - Can you email donors to ask for a consent ? (page 27)
• Note n° 31 - What happens if you don’t have good records of consent, i.e. the person is on your database, but you cannot be certain that they opted into marketing? (page 27)
• Note n° 32 - ‘Legitimate interests’ is OK if you make a compelling case that your data processing is necessary (page 27)
• Note n° 33 - The legitimate interests condition is a balancing act (page 28)
• Note n° 34 - Legitimate interests for profiling donors and potential donors, and for wealth screening ? (page 28)
• Note n° 35 - Sensitive personal data (GDPR special categories) (page 29)
• Note n° 36 - Obtaining data from third parties (page 30)
• Note n° 37 - Why should you keep and update a suppression list ? (page 30)
• Note n° 38 - The Right to Be Forgotten does not mean you should have no suppression list (page 31)
• Note n° 39 - GDPR rules regarding profiling or ranking donors with scoring systems (page 31)
• Note n° 40 - PECR rules for consent over electronic direct marketing (automated calls, live calls, emails and texts) (page 31)
• Note n° 41 - The ‘existing customer’ exemption (an opt-out approach for email and text in certain limited circumstances) (page 32)
• Note n° 42 - Identifying a legal ground for your personal data processing is only the first of eight important RGPD principles (page 34)

Appendix 3 – Privacy Notice (examples)

Appendix 4 – Opt-in forms & preference forms (examples)

Appendix 5 – Recording your processing activities: examples