Afin de mettre en place une campagne de collecte de fonds, les associations et fondations peuvent se transmettre entre elles leurs fichiers de donateurs ou de contacts.
Mais attention, ces fichiers, qui comportent des données personnelles (nom, prénom, numéro de téléphone, adresse courriel, adresse postale…), sont soumis aux règles édictées par le règlement général sur la protection des données (RGPD).
Dans une communication récente, la Commission nationale de l’informatique et des libertés (Cnil) attire l’attention des associations et fondations sur ce
L’association transmet les fichiers
Ainsi, les associations et fondations qui transmettent leurs fichiers de donateurs ou de contacts à d’autres associations et fondations ou bien à des sociétés commerciales dans un but de collecte de fonds (prospection par voie postale, appels téléphoniques, SMS, courriels…) doivent avoir informé les personnes dont elles ont recueilli les données personnelles :
En outre, ces personnes doivent avoir pu « s’opposer préalablement à chacune de ces utilisations, de manière simple et gratuite, par exemple en cochant une case mise à leur disposition lorsque les données sont collectées, puis à tout moment notamment lors de chaque contact ».
À ce titre, la CNIL propose aux organismes deux modèles d’information avec case à cocher :
Attention : les règles sont plus strictes pour les associations ou fondations qui souhaitent transmettre leurs fichiers de donateurs ou de contacts pour de la prospection commerciale. Les personnes concernées doivent alors obligatoirement avoir donné leur consentement explicite avant cette transmission. Une simple opposition ne suffit pas dans cette situation.
L’association reçoit les fichiers
Les associations et fondations qui reçoivent des fichiers de donateurs ou de contacts en deviennent responsables et doivent donc respecter le RGPD.
Ainsi, elles doivent, au plus tard lors de leur première communication avec elles, informer les personnes concernées de cette transmission et de l’organisme qui l’a effectuée.
Elles doivent également leur transmettre certaines informations (identité et coordonnées du responsable du traitement, finalité du traitement, durée de conservation de leurs données…).
Enfin, à chaque sollicitation, la personne concernée devra pouvoir facilement s’opposer au fait d’être recontactée.