Déclaration relative à la protection de la vie privée
Conformément à l’article 40 du Règlement relatif à la protection des personnes physiques dans le cadre du traitement des données à caractère personnel et de la libre circulation de ces données, dénommé le G.D.P.R. Règlement (UE) 2016/679 du 27 avril 2016;
Date d’entrée en vigueur: le 25 mai 2018
Article 1.
Proma s’engage vis-à-vis du public, de ses donateurs et de ses sympathisants, à appliquer le GDPR de manière loyale et transparente.
Article 2.
En ce qui concerne le passé, Proma considère qu’il est et était de l’intérêt légitime des deux parties –d’une part Proma et d’autre part les donateurs/sympathisants dont les données furent enregistrées avant le 25 mai 2018 dans sa banque de données – de rester en contact. L’enjeu étant de tenir les donateurs et sympathisants informés de la destination de leurs dons et des besoins futurs et complémentaires des projets soutenus. Ceci est d’autant plus important qu’une grande partie des données est enregistrée avant d’être transférées dans une nouvelle banque de données (~logiciel plus performant), dans certains cas résultant dans une perte de l’historique sur l’émergence de la relation entre donateur/sympathisant et Proma.
Pour le traitement des données à caractère personnel après la date d’entrée en vigueur du GDPR, Proma estime qu’il y a un intérêt légitime à enregistrer et à traiter les données des nouveaux donateurs, afin de les tenir informés de l’évolution des projets soutenus, des besoins financiers ; de les remercier ; et d’assurer leur fidélité à la bonne cause et aux buts statutaires de Proma. En outre, ce traitement est dans l’intérêt du donateur, qui a le droit d’être informé de la bonne utilisation des moyens mis à la disposition de Proma et – dans la plupart des cas – a également droit à une attestation fiscale.
A l’avenir, et conformément aux règles et attentes du GDPR, Proma s’engage à obtenir un consentement explicite, clair et formel (le fameux ‘opt-in’) des nouveaux sympathisants, avant de les contacter systématiquement au sujet du fonctionnement de Proma, des besoins financiers des projets soutenus, et de l’aide financière qu’ils peuvent leur apporter.
Article 3.
Proma s’engage à recueillir et à conserver les données personnelles de ses donateurs et ses sympathisants en conformité avec le GDPR.
Proma s’engage à être, en traitant des données liées à des enfants mineurs résidant dans l’UE, particulièrement attentif à la défense de leurs droits. Toute utilisation des données de mineurs, à des fins informatives ou de récolte de fonds, devra faire l’objet d’un consentement préalable des parents ou de leur représentant légal.
Proma s’engage à demander et à conserver en Belgique un minimum de données de mineurs résidant à l’extérieur de l’UE mais impliqués dans les projets soutenus ; ceci afin de protéger au maximum la vie privée de ces enfants et de leurs familles ; et d’éviter de violer des réglementations étrangères sur la protection de la vie privée des personnes physiques.
Article 4. Droits spécifiques des personnes dont Proma traite des données
Proma s’engage à répondre dans un délai de 30 jours à toute demande d’information ou de modification qui concerne les données à caractère personnel qu’elle recevra.
De manière générale, tout citoyen de l’UE a le droit de s’opposer au traitement de ses données personnelles. Dès lors, conformément à l’article 17 du GDPR, Proma s’engage à désactiver dans la base de données toute personne qui en ferait la demande.
Néanmoins, en cas de doute sur l’identité de la personne qui s’oppose au traitement, Proma se réserve le droit de demander à la personne qui a introduit la demande de prouver qu’il ou elle est bien la personne dont l’effacement des données est demandé, ou une personne mandatée pour introduire une telle demande au nom de la personne concernée.
Proma s’engage à traiter les demandes d’effacement ou de radiation de la base de données dans les 30 jours de la réception de la demande.
Proma s’engage à utiliser à bon escient les cookies ou tout autre traçage sur nos sites web et sur les réseaux sociaux. Bon à savoir : aujourd’hui, Proma ne rassemble pas ce type de données afin de les lier au ‘profil’ des donateurs et sympathisants qui figurent dans notre base de données.
Article 5. Éventuelle découverte d’un manquement ou violation des règles GDPR
Proma s’engage à enregistrer dans un ‘journal d’incidents’ toute discussion sur ou incident à propos d’un traitement de données jugé inapproprié au regard des règles GDPR.
Proma s’engage à évaluer – et adapter si nécessaire – au moins une fois par an sa politique sur la protection de la vie privée et les données personnelles en fonction des incidents enregistrés.
Proma s’engage solennellement à dénoncer auprès des autorités de contrôle toute violation grave, plus spécifiquement un ‘hack’ de sa base de données qu’elle gère, et ce dans les 72 heures de la découverte. Il en sera de même en cas de soupçons sérieux de « hack ». En étroite concertation avec cette autorité de contrôle, Proma prendra toute mesure nécessaire ou imposée pour limiter l’impact de cette violation grave des données.
Article 6. Échange des données avec des tiers
Proma s’engage de manière générale à assurer la sécurité des données à caractère personnel : l’enregistrement et le traitement de ces données ne peuvent pas avoir comme conséquence que les personnes concernées soient contactées par des tiers, des entreprises ou d’autres organisations récoltant des fonds. Ainsi, Proma s’engage à ce que les données enregistrées ne soient utilisées par des ‘tiers’ pour des raisons commerciales ni pour des actions de récolte de fonds. Dans le passé, Proma n’a pas demandé à ses donateurs la permission de commercialiser sa base de données. Nous n’avons pas l’intention de changer notre politique sur ce point.
Néanmoins, Proma se réserve le droit d’échanger des données dans les cas où cela serait imposé par la loi et ceux dans lesquels il y aurait un intérêt légitime à le faire.
Proma est en effet contraint d’échanger des données avec l’administration fiscale belge dans le cadre de l’agrément nous permettant de délivrer des attestations fiscales. Pour la même raison, Proma se voit obligé de conserver certaines informations, ce qui peut aboutir à un conflit avec une demande explicite d’un donateur d’effacer toutes ses données. Le cas échéant, l’obligation légale de conserver des données recevra priorité sur la demande d’effacer toutes les données ; de sorte qu’à la demande du donateur Proma ne fera que désactiver les données, c’est-à-dire qu’on ne les utilisera plus pour informer le donateur de nos activités et projets, ni pour l’inviter à faire un don ou un legs. Ses données seront par conséquent conservées dans une base de données ‘passive’ enfin de pouvoir respecter l’obligation légale de conserver certaines données pendant quelques années.
De même, il y a un intérêt légitime à échanger des données avec des sous-traitants comme une imprimerie ou un expéditeur, enfin de faire parvenir nos outils de communication (envoi des mailings ; attestations fiscales, ProMagazine, etc.) à nos donateurs et sympathisants.
Par rapport à la collaboration entre Proma et les projets particuliers affiliés, les responsables des projets particuliers en Asie, en Afrique et en Amérique Latine et les personnes de contact de ces projets – chacun pour son propre projet – ne sont pas considérés comme des tiers. La responsabilité d’initier des actions de récolte de fonds relève principalement de la compétence des ‘collaborateurs bénévoles’ de chaque projet particulier.
Proma croit qu’il y a un intérêt légitime à échanger les données des donateurs – uniquement celles relatives à leur propre projet bien évidemment – avec ces collaborateurs bénévoles, afin de leur permettre de remercier leurs donateurs et/ou de les informer par leurs propres moyens de communication des réalisations de leur projet, des besoins financiers ; et donc de les fidéliser et de créer un lien encore plus étroit entre le donateur et le projet.
D’autre part, Proma n’a jamais loué ou acheté des données personnelles auprès d’une organisation tierce en vue de solliciter financièrement ces personnes n’ayant pas montré eux-mêmes en direct leur sympathie pour les activités de Proma et/ou pour les projets soutenus. Cette politique de respect de la confidentialité des données personnelles restera inchangée à l’avenir. Proma ne sollicitera pas des personnes à base de données commercialisées par des parties tierces.
Article 7.
Proma s’engage à assurer le mieux possible la sécurité des données à caractère personnel de ses donateurs et sympathisants. Proma prend toute mesure raisonnablement concevable d’une organisation de notre taille au niveau de l’accès, de la gestion du traitement, du stockage des données ainsi qu’au niveau du matériel informatique – logiciel et matériel physique – et d’application de mesures de sécurité (cryptage, etc.).
Proma traite les données d’un nombre relativement limité de personnes, nous n’avons pas la taille des grandes ONG’s qui traitent plus d’une centaine de milliers de données personnelles. En plus, Proma ne traite qu’un nombre limité de données par personne enregistrée dans notre banque de données, la plupart de celles-ci étant exigées – au du moins utiles – dans le cadre de l’agrément nous permettant de délivrer des attestations fiscales et des obligations qui en découlent. Proma ne traite pas des informations ‘sensibles’, comme des données sur la santé, l’orientation sexuelle, la situation patrimoniale, la conviction religieuse, etc. En conséquence, Proma ne se croit pas contraint de désigner un DPO (data protection officer) externe à l’organisation.
Article 8.
Proma s’engage à prendre les mesures nécessaires et à donner les conseils utiles à toute personne impliquée dans le traitement des données à caractère personnel de nos donateurs, nos sympathisants, nos collaborateurs (bénévoles), afin de garantir le respect de la confidentialité des données enregistrées.
Proma s’engage à contraindre ses fournisseurs et ses sous-traitants à souscrire et à respecter une déclaration précise en vue de la protection de la vie privée des donateurs et sympathisants, dans laquelle ils s’engagent à ne rien entreprendre qui mènerait au non-respect des règles GDPR, et à sauvegarder la confidentialité des données traitées et/ou échangées.
Proma s’engage à ne conserver les données qu’aussi longtemps que cela est justifié par la réalisation des buts statutaires de l’organisation.
Bon à savoir :
Cette déclaration est inspirée du modèle de Code de Conduite, présenté à l’Assemblée Générale du 22.03.2018 de l’AERF (Association pour l’éthique dans la récolte de fonds) et le résultat des discussions lors de deux réunions d’un groupe de travail au sein de l’AERF après cette date.