Economie sociale et solidaire
le 30/08/2022

La CNIL précise les modalités de transfert de fichiers de donateurs entre associations ou fondations

La transmission de fichiers de donateurs ou de contacts entre associations et fondations

La recherche de financement est un enjeu majeur de la pérennité des activités des associations et fondations qui ne produisent, en général, pas assez de revenus par elles-mêmes pour financer leurs œuvres caritatives.

La source principale de revenus de certains de ces organismes est parfois constituée de dons manuels reçus du public. La recherche de donateur est alors cruciale pour ces associations et fondations qui ont donc pour habitude de procéder à de la prospection caritative grâce à des listes de donateurs potentiels (prospects).

Ces listes de donateurs potentiels sont généralement obtenues auprès d’autres organismes ayant une activité caritative ou auprès de sociétés commerciales qui cèdent ou louent des fichiers de prospects à des associations ou fondations caritatives. Or, dès lors que ces listes font apparaître les données personnelles des prospects (a minima nom, prénom et coordonnées), les règles relatives à la protection des données à caractère personnel (et en particulier le RGPD) s’appliquent.

C’est pour cette raison que la CNIL a récemment rappelé les modalités de transfert de tels fichiers pour s’assurer de la conformité de ces transferts avec les règles de la protection des données personnelles, principalement au regard des règles relatives à l’information des personnes concernées (les donateurs).

Il est ainsi rappelé que les destinataires et futurs utilisateurs de telles listes doivent s’assurer, au moment de la transmission du fichier, que les personnes figurant sur la liste ont bien été :

  • informées de l’utilisation des données collectées à des fins de prospection caritative ;
  • informées de leur possible transmission à des partenaires du secteur caritatif à des fins de prospection caritative ;
  • mises en mesure de s’opposer préalablement à chacune de ces utilisations, de manière simple et gratuite, au moment de la collecte puis lors de chaque communication (concrètement il s’agit d’un lien de désinscription intégré dans l’email lorsque la communication est faite par email).

Ensuite, et dès la première communication de l’association ou de la fondation destinataire, elle doit informer la personne concernée sur le traitement qu’elle entend réaliser avec ses données personnelles et de la source par laquelle elle a obtenu lesdites données (conformément à l’article 14 du RGPD).

La personne concernée doit toujours être mise en mesure de s’opposer à ce traitement de manière simple et gratuite à chaque nouvelle sollicitation et donc notamment à cette occasion-là.

Ainsi, si les règles de protection des données n’empêchent pas les transferts de listes de donateurs, elles obligent à prendre certaines précautions de la part des associations et fondations qui entendent utiliser de telles listes obtenues auprès de tiers. Ces précautions conduiront par exemple à inclure une clause de garantie au sein du contrat de transfert de données par laquelle l’organisme tiers qui transfère le fichier déclare avoir dûment informé les personnes concernées et être autorisé, par ces dernières, à transférer les données.

En effet, en recevant un fichier contenant de telles données, l’association ou la fondation en devient responsable de traitement. Elle devient donc responsable de la licéité du traitement qu’elle réalise, ce qui l’oblige à s’assurer que les données ont été collectées et lui ont été transférées de manière licite.

A travers ces règles, l’objectif n’est donc pas d’interdire les collectes et transferts de listes de donateurs mais bien de permettre aux personnes concernées d’être informées de la trajectoire prévisible de leurs données personnelles et de disposer d’un certain niveau de maitrise sur cette trajectoire en leur permettant de s’opposer au traitement.