La collecte de dons est une activite essentielle pour de nombreuses associations et fondations. Qu’il s’agisse de dons ponctuels, de prelevements automatiques ou de legs, chaque transaction implique le traitement de donnees personnelles des donateurs. Le RGPD impose des obligations specifiques pour proteger ces informations, souvent sensibles car elles revelent les convictions et engagements des personnes.
Les donnees collectees lors d’un don
Un don, meme modeste, genere la collecte de nombreuses donnees personnelles : identite complete du donateur (nom, prenom, adresse), coordonnees de contact (email, telephone), informations financieres (coordonnees bancaires pour les prelevements, montant du don), et donnees fiscales (adresse fiscale pour l’emission du recu). Dans certains cas, le simple fait de donner a une cause revele des informations sur les opinions, les convictions religieuses ou l’etat de sante du donateur.
Base legale et finalites du traitement
Le traitement des donnees des donateurs repose principalement sur deux bases legales. L’execution du contrat (le don) justifie la collecte des informations necessaires a la transaction et a l’emission du recu fiscal. L’interet legitime de l’association peut justifier la prospection aupres des anciens donateurs pour solliciter de nouveaux dons, sous reserve de respecter le droit d’opposition.
En revanche, la transmission des coordonnees des donateurs a des partenaires ou d’autres associations necessite le consentement prealable et explicite du donateur. Cette pratique, encore courante dans le secteur caritatif, est strictement encadree par le RGPD.
Information et transparence envers les donateurs
Chaque formulaire de don, qu’il soit papier ou en ligne, doit comporter des mentions d’information RGPD. Le donateur doit savoir qui collecte ses donnees, pourquoi, combien de temps elles seront conservees et comment exercer ses droits. Pour les formulaires en ligne, une politique de confidentialite complete doit etre accessible en un clic.
La transparence est particulierement importante dans le secteur caritatif, ou la confiance est le fondement de la relation donateur. Une communication claire sur la protection des donnees renforce cette confiance et peut meme encourager la generosite.
Durees de conservation des donnees des donateurs
Les durees de conservation varient selon la nature des donnees :
- Donnees de transaction : conservation pendant la duree de la relation, puis archivage intermediaire
- Reçus fiscaux et justificatifs : 6 ans a compter de l’emission (obligation fiscale)
- Coordonnees bancaires : suppression des que le prelevement est termine, sauf si le donateur a autorise un prelevement recurrent
- Donnees de prospection : 3 ans maximum apres le dernier don pour solliciter a nouveau le donateur
Passe ces delais, les donnees doivent etre supprimees ou anonymisees. L’association peut conserver des statistiques anonymes sur les dons sans limitation de duree.
Securite des donnees financieres
Les coordonnees bancaires des donateurs exigent un niveau de securite eleve. Les formulaires de don en ligne doivent utiliser le protocole HTTPS et s’appuyer sur des prestataires de paiement certifies (PCI DSS). Les coordonnees bancaires ne doivent jamais etre stockees en clair dans les bases de donnees de l’association.
Pour les dons par courrier contenant des cheques ou des RIB, les documents doivent etre conserves dans un endroit securise a acces restreint, puis detruits de maniere securisee apres traitement. Les fichiers de donateurs ne doivent jamais circuler par email non chiffre.
Prospection et sollicitation des donateurs
La sollicitation d’anciens donateurs pour de nouveaux dons est une pratique courante et legitime, mais elle doit respecter certaines regles. Chaque communication doit inclure un moyen simple de se desinscrire. Le donateur qui exerce son droit d’opposition doit etre retire des listes de sollicitation dans les meilleurs delais.
L’echange ou la location de fichiers de donateurs entre associations, autrefois courant, est desormais tres encadre. Cette pratique necessite le consentement prealable des personnes concernees et doit etre clairement mentionnee dans les mentions d’information au moment du don.
Plateformes de dons en ligne et sous-traitance
De nombreuses associations utilisent des plateformes de collecte en ligne (HelloAsso, GoFundMe, Leetchi, iRaiser). Ces prestataires sont des sous-traitants au sens du RGPD. L’association doit verifier que la plateforme offre des garanties suffisantes : hebergement des donnees en Europe, conformite RGPD documentee, chiffrement des transactions, politique de confidentialite claire.
Un contrat de sous-traitance (ou des clauses equivalentes dans les conditions generales) doit encadrer la relation. L’association reste responsable de la conformite du traitement, meme si elle delegue la collecte a un prestataire.
Droits des donateurs et gestion des demandes
Tout donateur peut exercer ses droits RGPD : acces a ses donnees, rectification, effacement (sous reserve des obligations fiscales), opposition a la prospection, portabilite. L’association doit mettre en place une procedure simple pour traiter ces demandes dans un delai d’un mois maximum.
En pratique, la demande la plus frequente est l’opposition a la sollicitation. L’association doit etre en mesure de retirer rapidement un donateur de ses listes de prospection tout en conservant les informations necessaires a l’emission des reçus fiscaux.
