RGPD et collecte de fonds: interprétations divergentes ?

La RGPD n'est-elle déjà plus une priorité ?

La European Fundraising Association regroupe les plateformes nationales de collecte de fonds d’une quinzaine de pays.
Il ressort de la dernière rencontre annuelle (Paris, 22 & 23/11/2018) qu’après avoir mobilisé jusqu’en mai dernier d’importantes ressources sur la mise en conformité RGPD, les acteurs de la collecte de différents pays européens souhaitent désormais tourner la page et s’intéresser à d’autres thématiques prioritaires.
Il est vrai que, au contraire de la Belgique, la RGPD n’a introduit qu'un nombre limité de changements dans nombre de pays dont la législation nationale en matière de protection des données personnelles était déjà fort exigeante.
C’est ce que nous confirment des fundraisers à l'oeuvre en Suède, Autriche, Allemagne, aux Pays-Bas ainsi qu'en Italie, etc.

Code de conduite rigoureux au Royaume-Uni, recommandations imprécises ailleurs

De nombreuses nouvelles exigences ont été imposées aux organisations caritatives britanniques, désormais tenues de respecter un Code de conduite ‘RGPD – Collecte de fonds’ relativement détaillé, placé sous l’autorité du Fundraising Regulator.
Quelques plateformes nationales d’acteurs de la collecte finalisent actuellement la formulation de Recommandations, dont les dispositions moins coercitives font l'objet d'une concertation avec l’Autorité nationale en charge de la protection des données personnelles.
C’est le cas en France, où la cellule juridique de France Générosités  finalise une série de 'Recommandations' définies en concertation avec la CNIL, ainsi qu’en Autriche.

Location, vente ou échange de fichiers: une pratique très largement rejetée

La Belgique compte un petit nombre d’associations dont la Déclaration de confidentialité maintient explicitement, malgré la RGPD, la possibilité de céder l'exploitation des données des donateurs à des tiers, sauf refus (« opt-out ») exprimé par les personnes concernées.
On sait que cette interprétation particulière est également préconisée par l’agence de fundraising Direct Social Communication.
-> Lire ‘Vente de fichiers de donateurs: on continue ?'

Il ressort de récents contacts pris avec les représentants de différentes plateformes nationales d’acteurs de la collecte – ASSIF (Italie), France Générosités, Fundraising Verband Austria, Goede Doelen Nederland, Institute of Fundraising, Swedish Fundraising Council - qu’un large consensus européen se dégage au contraire en faveur d’une interdiction des cessions de fichiers de donateurs dans le cadre du RGPD, sauf accord explicite (« opt-in ») des usagers concernés.
On notera cependant que France Générosités préconise surtout une interdiction de cession de données personnelles à des agences commerciales actives en fundraising.
Les associations caritatives autrichiennes étaient soumises, avant l'introduction de la RGPD, à une législation qui interdisait toute cession directe de fichiers entre organisations d’intérêt général, sauf si cette pratique était organisée par l'intermédiaire d'un partenaire commercial.
Les autorités autrichiennes ne se sont pas encore prononcées sur de nouvelles 'Recommandations RGPD' relatives aux activités de collecte de fonds.

La protection des intérêts légitimes des donateurs variera-t-elle d'un pays à l'autre ?

Faut-il craindre que les acteurs de la collecte belges, français ou britanniques soient tôt ou tard confrontés à des dispositions qui varieront d'un pays à l'autre, selon qu'elles soient liées au 'Code de conduite' britannique précis et coercitif, ou aux ‘Recommandations’ pour partie divergentes édictées sous forme de 'soft law' dans tel ou tel pays, avec l'approbation de l'autorité de tutelle ? 
Il semble dès à présent que différentes règles pratiques - tel le délai de conservation des données privées émanant des donateurs, et le cas échéant de testataires potentiels - donnent lieu à des recommandations qui varient d'un pays à l'autre.
On a peine à comprendre qu’une même réglementation européenne puisse ainsi se décliner dans un second temps au travers de dispositions concrètes qui varient sensiblement de pays en pays, avec l’assentiment d’Autorités nationales qui siègent pourtant toutes dans un même groupe de travail européen.

Le Congrès que l'AERF (Association pour une Ethique en Récolte de Fonds) consacrera ce jeudi 29/11 à la thématique RGPD permettra sans nul doute de clarifier certaines questions.

-> Autres articles sur le même thème:

• Le RGPD mettra-t-il fin à la sur-sollicitation des donateurs ?
• 'Vente de fichiers 'donateurs': on continue ?'