Les organisations à but non lucratif qui collectent des dons et obtiennent des données personnelles via les canaux de médias sociaux et les sites web doivent déjà respecter diverses règles de protection des données. En Suisse, la protection des données sera bientôt renforcée.

Dans le cadre de la journée européenne de la protection des données du 28 janvier 2020, les protecteurs de données de la Confédération et des cantons ont plaidé pour une meilleure protection de la sphère privée. Et ils ont fait pression sur le Parlement fédéral : la révision de la loi suisse sur la protection des données, en cours depuis 2017, doit enfin passer la rampe lors de la prochaine session de mars.

Se rapprocher du règlement général de l'UE sur la protection des données est une obligation
En vertu d'obligations de droit international, la Suisse doit Convention du Conseil de l'Europe sur la protection des données de l'entreprise. Elle nécessite une orientation Règlement général sur la protection des données de l'UE (RGPD DE L'UE). Il est important de rapprocher la protection des données suisse afin que l'Union européenne continue de reconnaître la Suisse comme un pays tiers disposant d'un niveau de protection des données adéquat. Ce n'est qu'ainsi que les transferts de données transfrontaliers resteront possibles sans précautions supplémentaires. La loi révisée sur la protection des données de la Suisse s'inspirera donc fortement du RGPD européen et de ses principes. La protection de l'individu ne sera toutefois probablement pas aussi complète en Suisse.

Sanctions contre les responsables jusqu'à 250 000 francs suisses
Certaines infractions en matière de protection des données doivent désormais pouvoir être sanctionnées en Suisse par des amendes pouvant aller jusqu'à 250'000 francs. Celles-ci sont personnelles, c'est-à-dire que ce sont les personnes responsables au sein des organisations qui sont amendées et non les organisations comme sous le RGPD. Dans le cas des associations, il s'agit en général du comité directeur de l'association ou, dans le cas des fondations, du conseil de fondation. Dans la mesure où une organisation suisse s'oriente vers l'espace EEE, il peut être judicieux de suivre, en plus du règlement suisse sur la protection des données, les règles plus strictes et plus étendues de l'UE.

Des responsabilités et des cahiers des charges clairs sont essentiels
Important : les responsabilités en matière de protection des données doivent être clairement définies, avec des cahiers des charges correspondants. Les ressources internes et externes pour la protection des données doivent être budgétisées. Il convient en outre de prendre des mesures de protection adéquates, de faire régulièrement rapport sur la protection des données et de mettre en œuvre les recommandations. Les violations de la sécurité des données doivent être signalées le plus rapidement possible à l'autorité de protection des données. PFPDT de signaler toute violation. Les demandes de renseignements et d'effacement doivent en général être traitées dans un délai d'un mois. Les collaborateurs doivent être régulièrement formés à la protection des données. L'expérience montre que même les petites organisations qui ont une vue d'ensemble ne pourront pas se passer du nouvel inventaire prescrit des traitements de données. En outre, l'obligation d'informer les personnes concernées est nettement renforcée.

Respecter la protection des données également sur les réseaux en ligne
Les réseaux en ligne comme Linkedin, Facebook, Instagram, mais aussi les sites web, enregistrent généralement chaque clic qu'un utilisateur effectue. Cela signifie que ces réseaux ou organisations savent qui s'intéresse à quoi. Ils vendent en partie ces informations à des entreprises publicitaires. Les collecteurs de fonds qui utilisent une plate-forme de médias sociaux doivent être conscients qu'ils peuvent être coresponsables des données collectées par un appel aux dons sur ces plates-formes. Selon David Rosenthal, juriste suisse spécialisé dans les technologies de l'information et expert en protection des données, l'un des points les plus importants est que, selon la nouvelle loi suisse sur la protection des données, les utilisateurs doivent être informés si, sur la base de leurs informations et de leurs activités sur les médias sociaux, des profils sont créés à leur sujet, par qui et comment, afin qu'ils puissent décider s'ils le souhaitent.

Réticence d'Amnesty International Suisse
Beat Gerber d'Amnesty International Suisse critique la protection des données sur les plateformes de médias sociaux : "Pour des raisons de protection des données, nous sommes, à Amnesty International Suisse, très réservés en matière de marketing social et de collecte de fonds en général et n'utilisons pas pleinement les possibilités correspondantes. Ainsi, nous n'utilisons par exemple pas de Pixel de suivi et nous analyserons soigneusement les nouvelles fonctionnalités de don avant d'envisager leur utilisation".

Fixer des limites au suivi du comportement des utilisateurs
Le site Préposée fédérale à la protection des données et à la transparence affirme que certaines limites doivent être respectées dans le monitoring des médias sociaux et que tout ce qui est techniquement possible ne doit pas être mis en œuvre. Il convient de se limiter à l'analyse des opinions et des commentaires publics afin de pouvoir détecter les tendances et les évolutions. Il convient de renoncer à l'analyse ou à l'enregistrement de données à caractère personnel.

Auteur : Bernhard Bircher-Suits, FundCom

Conseils pour la protection des données sur les sites web et les plateformes de médias sociaux

• Les organisations ont tout intérêt à s'aligner non seulement sur le règlement général sur la protection des données en Suisse, mais aussi sur celui de l'UE.
• Toutes les procédures contenant des données personnelles devraient être connues et documentées dans les grandes lignes au sein d'une organisation.
• Lors de la saisie d'informations par le biais du monitoring des médias sociaux, il y a inévitablement un traitement de données personnelles. Celui-ci doit toutefois être limité au minimum nécessaire aux fins d'évaluation et être effacé ou anonymisé le plus rapidement possible.
• Les résultats du monitoring ne doivent plus permettre de tirer des conclusions sur des personnes individuelles.
• Les données non publiques provenant de groupes d'utilisateurs fermés ou de cercles d'amis ne doivent pas être incluses.
• Les membres des plateformes de médias sociaux doivent être informés que des outils de surveillance sont utilisés ou que des données sont collectées à leur sujet, comment et par qui.
• n'utiliser les possibilités de surveillance que s'il est prouvé qu'elles sont conformes au RGPD.
• Les collecteurs de fonds sur les plateformes de médias sociaux ont une part de responsabilité dans le respect du règlement sur la protection des données ou dans les données des utilisateurs collectées par les plateformes en ligne.
• Les politiques de protection des données de l'organisation doivent être mises en lien sur les sites de médias sociaux.
• En cas d'utilisation de cookies qui ne sont pas absolument nécessaires (par ex. à des fins de suivi), il convient de vérifier si le consentement de l'utilisateur est nécessaire ; l'information doit être fournie dans tous les cas, y compris des indications sur la durée de vie du cookie et, le cas échéant, sur l'origine de celui-ci.
• Sur swissfundraising.org, les membres de Swissfundraising trouveront un manuel pratique sur le thème "Protection des données dans le fundraising".

Publié dans Protection des données