RGPD: dispositif inchangé
6/6/2019 - Le Fundraising Regulator a publié la version légèrement remaniée du 'Code of Fundraising Practice' qui entrera en vigueur en octobre 2019.
Ce Code comprend un ensemble de règles relatives aux traitements autorisés en matière de collecte de fonds.
Le dispositif concernant la protection des données personnels des donateurs est inchangé.
Le code rappelle deux exigences de base:
- 3.3.1 You must not share personal data with any other organization unless you have a lawful basis to share it and can prove that you meet the processing requirements in section 3.1
- 3.1.4 When processing personal data (including information that is available to the public) for any purpose, you must only process personal data in ways that the person whose data it is would reasonably expect’.
Des règles distinctes sont d'application en fonction de quatre types de cession de données personnelles à un tiers:
- Entre entités juridiques distinctes d'une même organisation, tel que par exemples entre une section locale de la Croix-Rouge et la Croix-Rouge nationale (confer ci-dessous 3.3.2).
- Entre une organisation d'intérêt général et l'un ou l'autre sous-traitant, dans le cadre d'une finalité de gestion des données.
Il s'agit dans cette seconde hypothèse par exemple de traitements opérés par un sous-traitant imprimeur ou chargé de la gestion informatique (voir ci-dessous 3.3.2). - Partage entre une organisation d'intérêt général et une autre structure qui les utiliserait dans le cadre de ses activités de marketing (voir ci-dessous 3.3.3):
- Vente de données personnelles à une autre organisation (confer ci-dessous 3.3.4):
Nous reproduisons ci-dessous l'essentiel du dispositif en application en fonction de ces quatre cas d'espèce.
Rappelons que depuis la mise en place de la précédente version de ce Code plus aucune organisation britannique n'échange ni ne loue ou vend les données personnelles de ses donateurs à des tiers.
3.1. General requirements for personal data
In this section, ‘you’ means a charitable institution or third-party fundraiser who processes personal data.
Part 1 – Standards which apply to all fundraising
3.3. Sharing and selling personal data
3.3.2 If personal data is shared between organisations:
• within a federated structure (in other words, where one organisation controls the other or where both are controlled by the same parent organisation); or
• under a data-processing arrangement (where one organisation acts on behalf of another organisation under a written contract, such as professional fundraisers, data
management companies or printing houses);
the organisational structure or arrangement and the reason for processing the data must be clear in the privacy information you give to the person in order to
meet their right to be informed.
Or, if the organisation receiving the data needs the person’s consent (permission) to hold and use their data, the organisation or category of organisation receiving the information must be named in the request for consent, and the organisation sending the request for consent must receive the person’s specific consent for their data to be shared.
3.3.3 You must not share a person’s personal data with any other organisation for that organisation’s marketing purposes unless you are allowed to do so by law, either because you have the person’s consent to do so or through the exceptions in 3.3.2.
3.3.4 You must not sell a person’s personal data to any other organisation, unless you can show that you have that person’s freely given, specific, informed and unambiguous consent to sell their data.
Un Code lisible et intelligible pour tous
On notera que la refonte du Code a été opérée dans le principal souci de le rendre intelligible par tous, c'est-à-dire également par les donateurs: "The other audience for the code is the public."
Sources:
- Le Code of Conduct est téléchargeable sur le site du Fundraising Regulator au départ du lien suivant.
- Civil Society (6/6/2019) - 'Fundraising Regulator launches revised Code of Fundraising Practice'