La gestion des renseignements personnels est devenue une préoccupation pour les organismes qui exercent des activités commerciales. La collecte de données auprès des donateurs demande une rigueur en interne pour assurer une sécurité optimale et respecter les droits des personnes concernées. Après la mise en place du règlement général sur la protection des données (RGPD) par l’Union Européenne, le 25 mai 2018, nous avons tous subi la déferlante de courriels nous précisant que l’émetteur avait mis à jour sa politique de confidentialité et qu’il nous était, maintenant, possible de contrôler nos informations personnelles. Depuis, chacun a fait son petit bout de chemin pour développer une politique de confidentialité et rassurer sa base de contacts.
En tant qu’organisme de bienfaisance, êtes-vous au point sur la gestion des renseignements personnels issus de vos donateurs ? Qu’en est-il des lois applicables par le fédéral et le provincial ? Savez-vous quelles sont vos obligations ? Nous vous proposons une mise à jour des lois en vigueur pour gérer efficacement votre base de données de donateurs.
Votre organisme exerce des activités commerciales au Québec et en dehors de la province ?
Contrairement aux organisations privées, les organismes de bienfaisance ne sont pas forcément assujettis à la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
En effet, si votre organisme exerce des activités commerciales qui nécessitent la collecte et l’utilisation de renseignements personnels, vous devez obligatoirement appliquer la LPRPDE. Il est donc important de déterminer si votre organisme est à caractère commercial pour respecter les obligations de confidentialité envers vos donateurs. Ainsi, la vente, le troc, la location de listes de donateurs ou bien la collecte de fonds relèvent des activités commerciales qui sont touchées par la LPRPDE.
Vous êtes concerné par la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ? Voici les 8 choses à savoir :
- Votre organisme doit se soumettre à la loi dès qu’il exerce des activités commerciales ;
- Il est utile et important de vous munir d’une politique de confidentialité et d’une procédure de gestion des renseignements personnels comme la Fondation Santé Gatineau ;
- Vous devez obtenir le consentement du donateur pour recueillir ses données personnelles et lui préciser les fins d’utilisation ;
- Votre donateur peut demander l’accès à tous ses renseignements personnels détenus ;
- Vos employés peuvent aussi vous demander l’accès à leurs données personnelles ;
- Si votre organisme est en lien avec les municipalités, les universités, les écoles ou les hôpitaux, vous êtes certainement assujettis aux lois provinciales ;
- La LPRPDE ne s’applique pas à votre organisme si vos activités interviennent exclusivement en Alberta, en Colombie-Britannique ou au Québec ;
- Si votre organisme exerce des activités en dehors des frontières provinciales ou nationales, il est assujetti à cette loi.
Votre organisme exerce des activités commerciales exclusivement au Québec ?
Le Gouvernement du Canada a déterminé que la loi du Québec régissant la protection des renseignements personnels était sensiblement similaire à la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Cependant, le gouvernement du Québec invite les organismes exerçant des activités commerciales à prendre connaissance de leurs obligations lorsqu’ils recueillent, utilisent et communiquent à des tiers des renseignements personnels.
8 choses sont à retenir pour la loi du Québec :
- Vous devez avoir une nécessité de récolter des renseignements personnels tout en employant des moyens licites ;
- Vous devez obtenir le consentement avant de collecter, utiliser ou communiquer des renseignements personnels ;
- Vous devez être transparent envers la personne concernée en lui précisant les fins d’utilisation de ses renseignements personnels ;
- Vous devez assurer la sécurité et la protection des données personnelles collectées ;
- Vous devez obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli ;
- Vous devez obtenir le consentement de la personne concernée pour communiquer et partager des renseignements avec autrui ;
- Vous devez vous assurer de l’exactitude des données collectées lorsqu’elles sont utilisées ;
- Vous devez rendre accessible les renseignements personnels de la personne concernée lorsqu’elle souhaite y avoir accès et effectuer des rectifications.
Que faire en cas de plaintes ?
Desjardins, Facebook, Uber, Yahoo… Les cas de fuite ou de piratage de données ont fait scandale ces dernières années. Les organismes de bienfaisance ne sont pas à l’abri de telles situations. Ils peuvent être ciblés par des cyberattaques en raison de la nature particulièrement privilégiée des informations qu’ils collectent, ou de leurs ressources limitées pour protéger leurs systèmes d’information.
Peu importe si vos données sont sauvegardées sur un serveur informatique ou dans une filière, les risques pour votre organisme concernent généralement la gestion des informations des donateurs soit la sauvegarde, les accès, les fins et le moment d’utilisation.
Plusieurs questions s’imposent. Devez-vous conservez les informations de carte de crédit d’un donateur qui a fait un don pluriannuel ? Quelles mesures devez-vous prendre lorsque des listes de donateurs doivent être manipulées par une tierce partie, comme par exemple l’agence d’événements qui organise votre prochain gala-bénéfice ? Est-ce que les employés ou les bénévoles sont autorisés à utiliser leur propre ordinateur ou téléphone cellulaire lorsqu’ils contribuent aux projets de votre organisme ? Comment s’opère le transfert d’informations entre les responsables de la collecte de fonds de votre organisme et le département des finances ?
Le commissariat à la protection de la vie privée du Canada vous propose 10 conseils percutants pour gérer au mieux les données personnelles recueillies et éviter les plaintes :
- Diffuser les coordonnées de la personne responsable de la protection de la vie privée sur votre site internet. Vous assurez d’avoir des mesures en place en cas de plainte ou de fraude : qui sera la personne-ressource au sein de votre équipe ? Quand et comment allez-vous informer les personnes touchées par la plainte ou la fraude ainsi que vos autres donateurs, bénéficiaires et même clients ? ;
- Former et informer vos employés et vos bénévoles concernés sur la protection de la vie privée ;
- Renforcer les politiques à l’interne pour éviter les erreurs de vos employés ;
- Collecter seulement les renseignements personnels nécessaires. Maintenir vos classements et vos systèmes d’information à jour. Au niveau informatique, il existe plusieurs logiciels et correctifs de sécurité gratuits mais investir dans les services d’informaticiens professionnels pourrait vous épargner bien des tracas en cas de panne ou de plainte ;
- Éviter de demander le numéro d’assurance sociale ;
- Éviter de photocopier un permis de conduire pour valider l’identité d’une personne ;
- Informer les personnes concernées si vous utilisez la vidéo ou la surveillance vidéo ;
- Protéger efficacement les renseignements personnels recueillis. Contracter une assurance cyber-risque pour vous permettre de faire un examen pointu de vos procédures, d’identifier des zones de risques et de les minimiser/éliminer afin d’être admissible à la couverture ;
- Rendre disponible les demandes d’accès aux renseignements personnels ;
- Expliquer clairement la nécessité de recueillir des renseignements personnels.
Recueillir des informations personnelles sur vos donateurs représente une nécessité pour les activités de votre organisme. À cet effet, nous vous recommandons de mettre en place une politique de confidentialité et de gestion de données rigoureuse pour éviter tout problème avec vos donateurs. L’Association of Fundraising Professionals donne, d’ailleurs, accès à la charte des droits du donateur sur son site internet. Le respect de la confidentialité des renseignements collectés ainsi que votre volonté à assurer une sécurité optimale sont de véritables arguments pour votre image et votre réputation.
Sources :
Commissariat à la protection de la vie privée du Canada