Le nouveau Règlement Général de Protection des Données

^{(29 mai 2018)}

Le 25 mai 2018 la directive européenne de protection des données à caractère personnel entrait en application. À partir de cette date, toute personne contactée un jour par Natagora pourrait -entre autres- demander à voir les informations en notre possession qui la concerne et/ou demander de les effacer ou de les rectifier. Focus sur la nouvelle réglementation et ses implications pour nos volontaires.

Comme l'indique le schéma ci-dessus, la collecte de Données à Caractère Personnel ("DCP" dans le jargon) se fait dans différents contextes que vous êtes potentiellement amenés à vivre en tant que volontaire.

Le Règlement Général de Protection des Données ("RGPD") impose des précautions à respecter dans le cadre de ces collectes. Nous avons donc travaillé pour vous proposer des outils adaptés aux différents cas et à nous-même nous mettre en ordre !

Tout d'abord, l'association a du se doter d'un document central : nos Conditions Générales d'Utilisation ("CGU"). Elles sont disponibles à l'adresse http://www.natagora.be/privacy. Une des règles principales du jeu est de les mentionner lors de toute future collecte de DCP (et bien sur de les appliquer!).

S'il est nécessaire de se mettre en ordre pour respecter la loi, il ne faut pas pour autant céder à la panique ou à l'excès de zèle. Dans beaucoup de cas des alternatives raisonnables permettent de respecter le traitement des DCP sans pour autant impacter vos façons actuelles de travailler à condition d'observer certains principes généraux.

Dans les chapitres qui suivent nous détaillons chaque flèche du schéma (un résumé vous est proposé ci-dessous).

Votre action intéresse un tas de personnes, c'est pourquoi vous avez tout intérêt à conserver un listing ou une base de données contenant les coordonnées de personnes pas forcément volontaires mais potentiellement intéressées à prendre part à vos activités/mobilisations. Ces personnes constituent ce que nous appellerons le public de votre groupe.

Là aussi le RGPD fournit un cadre législatif quant à l'utilisation de ces données qu'il vous faudra respecter. 

À terme nous devrons identifier un responsable par groupe qui s'engagera à faire respecter les bonnes pratiques au sein de son groupe, en attendant nous vous proposons quelques réflexes à adopter facilement.

Au moment de collecter leurs DCP pensez à utiliser le document ci-après. Il a le mérite de rendre visible une mention qui vous couvre au niveau législatif. En cas de problème vous pourrez vous y référer.

Merci d'en prendre connaissance, de vous en servir et de le partager au sein de votre groupe de volontaires.

Régionales et membres

Le cas des régionales est particulier puisque leur caractère territorial les amène à devoir disposer des DCP des membres du dit territoire. Précédemment notre cellule membership les fournissait automatiquement. Désormais nous fonctionnons sur demande : à chaque occasion la régionale doit formuler une demande à membre@natagora.be en expliquant tout simplement la raison d'obtenir ces informations.

S'il est nécessaire de se mettre en ordre pour respecter la loi, il ne faut pas pour autant céder à la panique ou à l'excès de zèle. Dans beaucoup de cas des alternatives raisonnables permettent de respecter le traitement des DCP sans pour autant impacter vos façons actuelles de travailler à condition d'observer certains principes généraux.

Le cas des newsletters

L'utilisation d'infolettres est une pratique assez classique au sein de nos groupes de volontaires. Voici deux principes à garder en tête : le premier principe à observer est de proposer aux destinataires la possibilité de se désinscrire à chaque envoi (souvent dans le pied de page), c'est d'ailleurs une obligation technique inscrite dans certains outils comme MailChimp. Le second principe vous impose d'inviter vos destinataires  à lire nos CGU (http://www.natagora.be/privacy) en leur donnant la possibilité de se désinscrire de vos envois. Nous avons du nous soumettre au même exercice envers vous au cas où vous cherchez de l'inspiration pour cette annonce unique (voir chapitre #C).

Si vous faites partie du comité restreint (anciennement appelé "bureau") d'un groupe de volontaires, vous êtes amenés à collecter leurs DCP une fois par an minimum, lors des assemblées annuelles.
Nous vous fournissons le document ci-joint pour que la collecte respecte les obligations du RGPD. Une fois le tableau rempli veuillez nous faire parvenir ce document scanné (à la fois pour son contenu et pour être en ordre au regard de la législation) à l'adresse volontariat@natagora.be.

En tant qu'équipe "Volontariat" du personnel Natagora, nous avons en toute logique besoin de collecter vos DCP pour vous tenir informés et remplir nos missions. Nous avons donc mis à jour nos procédures et outils de collecte pour nous conformer au RGPD. Désormais nous proposons à toute personne qui s'identifie comme volontaire de s'inscrire sur la page ad-hoc. Remarquez qu'en page de garde nous mentionnons l'existence des CGU et qu'ensuite, à la fin de l'inscription, un mail automatique est envoyé et vient compléter les informations déjà communiquées.

En plus de cette mesure, nous avons adressé à tous nos volontaires précédemment enregistrés dans nos listings une communication ("newsletter des volontaires" dédiée & "dépêche des organisateurs" dédiée). Une partie de notre base de données a aussi été nettoyée en conséquence.

Si vous faites partie du comité restreint (anciennement appelé "bureau") d'un groupe de volontaires, vous exprimez votre engagement lors de la signature de la convention qui lie Natagora à votre groupe.

Pour rappel, cette convention est signée par tout le comité en deux exemplaires. Le conseil d'administration de l'association contresigne ces documents. Un exemplaire reste dans le département Volontariat, l'autre retourne au groupe de volontaires. Ce document fait office de preuve que les données ont été collectées dans le contexte du volontariat.

Attention toutefois! Les droits des personnes ne se limitent pas à ces aspects : droit d'accès, droit de rectification, droit d'effacement, droit à la limitation, droit de refus... tout est détaillé dans nos CGU !

Nous sommes bien entendu à votre disposition pour répondre à vos questions éventuelles: volontariat@natagora.be et/ou  à dpo@natagora.be.

• Les conditions générales d'utilisations des données de Natagora
• Une infographie du Syndicat National français de la Communication Directe (approche marketing mais similaire sur plusieurs aspects)
• "RGPD : Pour mes données, il faut me demander" (vidéo explicative)
• L'avis de Kroll sur la question