Cybersécurité et données : des enjeux cruciaux de la gestion d’une association

Pourtant, le dernier rapport « Non-profit Pulse » montre que les organisations européennes accusent encore un retard dans le respect des exigences relatives à la gestion sécurisée des données de leurs parties prenantes. Le rapport de cette année a été réalisé par Salesforce en partenariat avec l’European Fundraising Association (EFA) et le Chartered Institute of Fundraising (CIOF) du Royaume-Uni. Les données sont composées des réponses de 751 organisations à but non lucratif réparties dans quatre pays européens : le Royaume-Uni (300), la France (183), l’Allemagne (194) et les Pays-Bas (74). 

Les approches « digital-first » redéfinissent les exigences en matière de sécurité pour les associations 

Afin de s'adapter à nos modes de vie de plus en plus numériques, les organisations à but non lucratif ont investi dans des solutions digitales, notamment en ce qui concerne les stratégies de collecte de fonds. Notre tendance à demander conseil à ChatGPT et notre utilisation privilégiée du smartphone influencent fortement les comportements en matière de dons. 

Près de neuf organisations à but non lucratif sur dix (87 %) utilisent désormais des canaux numériques pour leurs actions de collecte et d'engagement avec leurs soutiens, tandis que deux tiers (67 %) continuent d'utiliser les canaux non numériques. Pays par pays, la tendance « digital first » est par endroits encore plus marquée. Aux Pays-Bas, 97 % des organisations à but non lucratif se sont pleinement emparées des canaux numériques de collecte, suivis par le Royaume-Uni avec 90 %. 22 % des organisations à but non lucratif interrogées accordent une plus grande importance aux options de paiement en ligne et sur mobile et ont investi dans le développement de ces outils ; elles n’étaient que 15 % en 2024. 

Cette transition accélérée vers le numérique ouvre la voie à des stratégies plus poussées, en particulier dans le domaine de la gestion ​des relations donateurs et des relations bénévoles avec l’appui de l'IA, offrant aux organisations à but non lucratif de nouvelles opportunités pour renouveler leurs liens avec leurs parties prenantes et démultiplier leur impact. 

De nouveaux cadres émergent et complexifient les enjeux numériques 

Une association sur cinq évoque les contraintes liées à la sécurité des données et à la conformité. Cependant, les investissements dans des outils de gestion des données ou des formations destinés aux équipes de ces organisations ont été sporadiques et ne devraient pas augmenter de manière significative au cours de l'année à venir. Seules 35 % des associations interrogées ont mis en place (ou prévoient de mettre en place) des mesures pour traiter les informations sensibles. Seules 38 % ont mis en place (ou prévoient de mettre en place) des outils logiciels conformes au RGPD. Les enjeux de cybersécurité restent un angle mort pour beaucoup de structures associatives. 

Traitement des données 

Bien que la question soit d'actualité depuis près d'une décennie, suite à l'adoption en 2016 du premier texte du Règlement général sur la protection des données (RGPD) européen, de nombreuses organisations à but non lucratif ont des pratiques de gestion insuffisantes en matière de traitement des données. La plupart des organisations à but non lucratif en Europe ont désormais intégré certains outils de cybersécurité et de traitement des données ; les taux les plus élevés étant enregistrés aux Pays-Bas et les plus bas en France. 

Cependant, si l'on examine de plus près les mesures spécifiques prises en termes de protection des données, la situation a peu évolué par rapport aux chiffres du précédent Non-profit Pulse Report. Seul un peu plus d'un tiers des structures interrogées déclarent que leur organisation dispose, ou prévoit de mettre en place, une politique de traitement des données, des logiciels conformes au RGPD ou des mesures de gestion des informations personnelles. Cela ne représente qu'une légère augmentation par rapport à l'année précédente. Une proportion plus faible, environ un quart, déclare disposer ou prévoir d'utiliser des outils spécifiquement conçus pour protéger les données, tels que des logiciels de confidentialité et de sécurité. Même si ce chiffre a légèrement augmenté par rapport aux 19 % de l'année dernière, il reste très bas. 

Cybersécurité 

Le passage à une approche priorisant le numérique signifie également que les cyberattaques sont de plus en plus graves, fréquentes, et que les organisations à but non lucratif sont de plus en plus souvent prises pour cible. Pourtant, bon nombre d’entre elles n’ont toujours pas mis en place certaines des mesures de protection essentielles dont elles ont besoin pour se défendre et protéger leurs données. Si elles sont plus nombreuses que l'année dernière à avoir mis en place des formations en cybersécurité (42 % contre 33 %), ainsi que des stratégies et des logiciels de cybersécurité (37 % contre 24 %), cela représente tout de même moins de la moitié d'entre elles. Un peu plus d'un quart d'entre elles disposent d'un plan d'intervention en cas d’incident lié à la cybersécurité, ce qui représente une augmentation minime par rapport aux 23 % du rapport précédent. 

« La confiance dans la collecte de fonds dépend désormais autant de la sécurité numérique que de l'éthique ou de la transparence ; la cybersécurité et la protection des données devraient donc figurer en tête des priorités de toute organisation à but non lucratif. Cependant, bien que des progrès évidents aient été réalisés – la plupart des organisations utilisant désormais des outils de cybersécurité ou de gestion des données –, rares sont celles qui disposent de l'ensemble des mesures nécessaires pour protéger les informations sensibles. Cela les rend vulnérables face à des cybermenaces de plus en plus fréquentes et sophistiquées.

En Europe centrale et orientale, le défi pour de nombreuses ONG réside dans leurs capacités. Les petites équipes n'ont tout simplement pas les ressources nécessaires pour se conformer aux nouvelles normes ; la mise en place d'outils partagés et d'un soutien entre pairs sera donc essentielle pour garantir à la fois la sécurité et la crédibilité de notre secteur. » 

- Eduard Marček, directeur exécutif de l'EFA et président du Centre slovaque de collecte de fonds 

L'essor de l'IA 

Un nouveau paramètre ne manquera pas d'introduire des variables supplémentaires dans cette équation : l'IA, tant générative que prédictive, s'est fermement implantée dans le secteur à but non lucratif, dans toutes ses activités de gestion ou d’accompagnement des publics et auprès de structures de toutes tailles. Elle oriente les opérations vers davantage d'automatisation, la recherche d’une plus grande efficacité et de nouvelles formes d'engagement. 

Près de la moitié (48 %) des organisations à but non lucratif utilisent désormais l'IA, ce qui représente une hausse non négligeable par rapport aux 13 % lors de la précédente enquête. De plus, 56 % se disent prêtes à l'adopter. Toutefois, son utilisation n'est pas entièrement maîtrisée. Près de la moitié des organisations interrogées s'inquiètent des risques liés à la confidentialité et à la sécurité des données, et une sur cinq souligne des problèmes liés à la précision ou à l'éthique. Face à ces enjeux de taille, les associations ne vont plus pouvoir repousser leurs investissements dans leur infrastructure numérique et l’acculturation de leurs équipes à ces outils.