Aller au contenu principal
Par Eudonet - Publié le 25 mars 2020 - 11:40 - Mise à jour le 25 mars 2020 - 11:59
Recevoir les news Tous les articles de l'acteur

RGPD : comment ça marche pour les organisations sans but lucratif ?

En cette période de confinement pour lutter contre le Covid-19, le travail des fundraisers ne s’est pas arrêté et l’activité continue depuis son domicile. Cela implique la notion de la sécurité du traitement des données à caractère personnel. Il est donc apparu essentiel de réaborder le sujet du RGPD, mis en application il y a bientôt deux ans. Entre éléments essentiels de son fondement et partage de bonnes pratiques, revenons sur cette loi et ses implications pour les associations caritatives, culturelles et les fondations.

RGPD : comment ça marche pour les organisations sans but lucratif ? Les conseils d'Eudonet

Si le RGPD est souvent vulgarisé par la possibilité de gérer ses préférences de traitement de ses données, sachez que cela va bien plus loin. Par la quantité et la variété des données dont disposent les organisations, elles ont toute une importante responsabilité vis-à-vis du traitement et de la sécurité de celles-ci.

Qui est concerné par le RGPD ?

Le RGPD s’applique aux 27 pays de l’UE pour harmoniser les règles et le cadre juridique du traitement des données à caractère personnel, et permettre de développer les activités professionnelles numériques. Ce contexte juridique n’est pas gravé dans le marbre puisqu’il s’adapte pour suivre les évolutions des technologies et des usages du numérique de nos sociétés, se fondant ainsi sur la confiance des utilisateurs.

Le Règlement Général pour la Protection des Données concerne toute entreprise ou organisation privée ou publique, quelle que soit son activité tant qu’elle est établie sur le territoire de l’Union Européenne ou que son activité cible des résidents européens. Ainsi, les organismes implantés dans des pays autres que ceux de l’UE se voient également concernés par ces dispositions légales.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée personnelle se qualifie par toute information se rapportant à une personne physique identifiée ou identifiable, à partir d’une seule donnée ou à partir d’un croisement de plusieurs. Il peut s’agir :

  • de données directes : nom, prénom, photo, numéro de sécurité sociale, empreinte digitale 
  • de données indirectes : numéro de client, numéro de téléphone, adresse, date de naissance 
  • de données sensibles : RIB d’un donateur, ethnie, conviction religieuse, opinion politique, etc.

Dans le cadre des associations, fondations et ONG, ces données sont nombreuses et indispensables si vous souhaitez pouvoir ne serait-ce que pouvoir attribuer un score RFM à vos donateurs, exemple parfait dans le cadre du traitement et du croisement des données.

Mais attention : les données à caractère personnel ne se trouvent pas uniquement dans vos bases de données dématérialisées. Les documents papiers, même les archives, peuvent contenir des données à caractère personnel : CV, registre des adhérents, registre des bénévoles, devis et factures de vos prestataires, reçus fiscaux, dossier de suivi des bénéficiaires, etc. Toutes ces données entrent dans le cadre du RGPD et doivent être traitées de la même manière que des données numériques.

Qu’est-ce que le traitement d’une donnée ?

Traiter une donnée revient à effectuer une opération ou un ensemble d’opérations sur celle-ci, quel que soit le procédé utilisé : collecte de coordonnées via un questionnaire, mise à jour de fichiers fournisseurs, édition d’un reçu fiscal, création d’une carte d’adhérent, etc.

Le traitement d’une donnée à caractère personnel doit pouvoir être justifié : il doit avoir un objectif, être légal et être légitime. Dans le cadre de la relation avec un donateur, cela peut se traduire par :

  • la sollicitation du donateur pour une collecte de fonds (objectif)
  • le donateur a donné son consentement pour être sollicité avec « l’opt-in/opt-out*» (légal)
  • l’organisme souhaite accomplir une action (légitime).

*opt-in/opt-out : option d’accord / option de retrait

 

Les 5 grands principes du RGPD

Finalité : l’enregistrement et l’usage des données sur une personne physique doit se faire dans un but précis, légal et légitime.

Proportionnalité et pertinence : les données récoltées doivent se limiter à leur pertinence au regard de la finalité du fichier.

Durée de conservation : une limite de conservation doit être fixée, en fonction du type de donnée et de la finalité du fichier.

Confidentialité : les données doivent être sécurisées et n’être accessibles et utilisées que par les personnes autorisées.

Droit des personnes : les propriétaires des données ont un droit d’accès, de rectification et de consentement de l’usage de celles-ci.

Ces principes peuvent venir étoffer la charte informatique de votre organisation. Vous renforcerez ainsi votre combat pour l’éthique du traitement des données. Un point bien rassurant pour vos différents contacts, surtout les donateurs qui vous transmettent leurs informations bancaires.

Focus « Sécurité » : quelles mesures prendre ?

De nombreux risques existent dans le cadre du traitement et de la manipulation des données. Nous vous proposons ci-dessous 10 mesures que votre organisation peut prendre pour se protéger et en assurer la sécurité. 

  1. Avec une charte informatique, vous sensibilisez vos contacts (adhérents, donateurs, partenaires, prestataires) au fait que les données qu’ils vous transmettent peuvent faire l’objet d’un traitement spécifique. 

  2. Grâce à une stratégie de mot de passe, si vous possédez un site permettant une connexion à un espace personnel (un extranet par exemple), offrez à vos utilisateurs (permanents, adhérents, bénévoles) la possibilité de pouvoir s’identifier en toute sécurité et programmez le changement de mot de passe régulièrement.

  3. Le chiffrement du disque dur est une excellente manière de sécuriser les postes de travail de vos permanents. Même les OSBL ne sont pas à l’abri d’une perte ou du vol d’un ordinateur, particulièrement si ce sont des portables.

  4. En cas de télétravail ou de travail sur un site extérieur, un accès VPN est la meilleure solution pour protéger le réseau interne de votre organisation. Cela permet également de ne pas avoir à traiter des données en local et vient renforcer la sécurité du point précédent.

  5. Vous pouvez également sécuriser votre serveur grâce aux restrictions d’accès et ne permettre qu’aux personnes habilitées à accéder à vos serveurs.

  6. Dans la continuité du point précédent, la gestion des habilitations de vos permanents vous permet d’assurer la confidentialité des informations et de ne permettre qu’aux personnes concernées de modifier et de traiter les données à caractère personnel.

  7. Cela peut paraître comme une évidence, mais créer de multiples sauvegardes permet d’assurer la continuité de service en cas de problème technique.

  8. Au-delà de protéger les infrastructures numériques et le matériel informatique, protéger les locaux avec un accès par badge peut limiter le risque de vol si vous travaillez notamment dans un bâtiment accueillant d’autres associations ou structures et où la fréquentation est importante.

  9. Parce que vous êtes dans un domaine où la collaboration est reine, pouvoir sécuriser vos échanges est primordial. Pour cela, le transfert FTPS / SFTP est recommandé pour chiffrer vos communications et le transfert de vos fichiers sensibles.

Enfin, vous pouvez aussi sécuriser vos sites web grâce à un accès SSL. Ce sigle, qui peut paraître incompréhensible, correspond à un protocole spécifique créant un canal sécurisé entre deux machines communiquant sur internet ou via un réseau interne.

Vous voulez en savoir plus sur le sujet du RGPD ?

Téléchargez nos guides qui traitent du sujet :

Eudonet CRM est votre partenaire RGPD. Grâce à ses fonctionnalités de traitement des données, vous restez facilement aux normes du Règlement Général pour la Protection des Données.  

 

Fermer

Inscription à la newsletter

Cliquez pour vous inscrire à nos Newsletters

La quotidienne
L'hebdo entreprise, fondation, partenaire
L'hebdo association
L'hebdo grand public

Fermer