Afin de mettre en place une campagne de collecte de fonds, les associations et fondations peuvent se transmettre entre elles leurs fichiers de donateurs ou de contacts.
Mais attention, ces fichiers, qui comportent des données personnelles (nom, prénom, numéro de téléphone, adresse courriel, adresse postale…), sont soumis aux règles édictées par le règlement général sur la protection des données (RGPD).
Dans une communication récente, la Commission nationale de l’informatique et des libertés (Cnil) attire l’attention des associations et fondations sur ce sujet .
L’association transmet les fichiers
Ainsi, les associations et fondations qui transmettent leurs fichiers de donateurs ou de contacts à d’autres associations et fondations ou bien à des sociétés commerciales dans un but de collecte de fonds (prospection par voie postale, appels téléphoniques, SMS, courriels…) doivent avoir informé les personnes dont elles ont recueilli les données personnelles :
– de l’utilisation de celles-ci à des fins de prospection caritative ;
– de la possible transmission de leurs données à des partenaires du secteur caritatif à des fins de prospection caritative.
En outre, ces personnes doivent avoir pu « s’opposer préalablement à chacune de ces utilisations, de manière simple et gratuite, par exemple en cochant une case mise à leur disposition lorsque les données sont collectées, puis à tout moment notamment lors de chaque contact ».
À ce titre, la CNIL propose aux organismes deux modèles d’information avec case à cocher :
– « Je m’oppose à ce que mes coordonnées postales et/ou mon adresse électronique soient transmises aux partenaires [lien vers la liste des partenaires] de l’association [nom de l’association] à des fins de prospection caritative par courrier postal et/ou par courrier électronique » ;
– « Je m’oppose à recevoir des sollicitations à des fins caritatives de partenaires de l’association [nom de l’association] par courrier postal ou courrier électronique ».
L’association reçoit les fichiers
Les associations et fondations qui reçoivent des fichiers de donateurs ou de contacts en deviennent responsables et doivent donc respecter le RGPD.
Ainsi, elles doivent, au plus tard lors de leur première communication avec elles, informer les personnes concernées de cette transmission et de l’organisme qui l’a effectuée.
Elles doivent également leur transmettre certaines informations (identité et coordonnées du responsable du traitement, finalité du traitement, durée de conservation de leurs données…).
Enfin, à chaque sollicitation, la personne concernée devra pouvoir facilement s’opposer au fait d’être recontactée.