Comme indiqué dans l'extrait reproduit ci-dessous, Monsieur Wim Debeuckelaere - Président de la nouvelle Autorité de Protection des Données (APD) a rappelé lors du récent Congrès de l’Association pour une Ethique en collecte de fonds (Bruxelles, 29 novembre 2018) que pratiquement toute cession de données personnelles de donateurs à des tiers et à des fins de marketing direct nécessite l’accord préalable et explicite (« opt-in ») des personnes concernées.
Le Président de l'APD précise qu'une cession au profit d'une structure tierce et sans autorisation préalable des usagers concernés ne pourrait se concevoir que dans de rares hypothèses, par exemple dans le cadre d'une collaboration entre deux organisations aux finalités tout-à-fait comparables. Et de citer à titre d'exemple hypothétique le cas d'une organisation, telle que Amnesty Belgique, qui pourrait justifier son intérêt légitime, sans 'opt-in préalable' mais à condition d'en avertir les usagers, à échanger des données personnelles avec la structure internationale du réseau Amnesty dont l'ONG belge est membre.
Autre intervenant invité par l'AERF, Maître Bart Vandenbrande (avocat et expert RGPD du bureau d'avocats Sirius Legal) a confirmé dans les grandes lignes les propos de Monsieur Wim Debeuckelaere.
Cette stricte interprétation de la RGPD s'inscrit dans la droite ligne des prises de position d'autres instances nationales, notamment au Royaume-Uni (ICO et Institute of Fundraising).
La European Fundraisers Association réunit un ensemble de plateformes nationales de fundraisers. Ses membres confirment également que les autorités publiques en charge de l'application de la RGPD dans leurs pays respectifs n'envisagent guère d'autoriser la location ou l'échange de fichiers de donateurs sans accord préalable et explicite des usagers concernés.
La prise de position du Président de l'Autorité de Protection des Données, que nous reproduisons ci-dessous dans son intégralité, est également résumée dans le compte-rendu du Congrès de l'AERF, dont les versions française et néerlandaise sont téléchargeables sur le site de l'organisation:
- Congrès AERF: "Six mois de RGPD : une première évaluation"
- Congres VEF: "Een half jaar GDPR : een eerste evaluatie"
Echanges d'adresses - Prise de position du Président de l'Autorité de Protection des données personnelles
(Congrès AERF, 29/11/2018):
Moderator:
"Wat is het advies van de GDPR rond het delen van 'postadressen' tussen vzw’s voor de prospectie van nieuwe schenkers (dat is eigenlijk ‘direct marketing’) ?
Wat is het standpunt van de Gegevensbeschermingsautoriteit ?"
Antwoord van de heer Willem Debeuckelaere, voorzitter Gegevensbeschermingsautoriteit:
"Ik denk dat dat eerlijk gezegd zeer eenvoudig is: het mag niet gedeeld worden.
Kijk, men gaat er vanuit dat wanneer persoonsgegevens worden verstrekt, dat dat gebeurt voor een bepaalde finaliteit en voor een bepaalde ontvanger (een vzw) , en voor een bepaald termijn. Soms is dat een heel specifiek project – een donatie - soms kan dat gelijklopend zijn op lange termijn.
Er is ook een groot verschil als dat een eenmalig iets is, of wanneer men een lid is van een vereniging. Wanneer men lid is van een vereniging dan gaan wij ervan uit dat er een soort van contractuele band is, waardoor er uiteraard een wederzijdse uitwisseling is van gegevens. Maar ook daar stelt men voorop dat de persoonsgegevens enkel en alleen maar mogen worden verwerkt in het kader van de werking van die vereniging.
Ik kan mij inbeelden dat wanneer een vzw heel belangrijke banden heeft met een andere vereniging – bijvoorbeeld van Amnesty Vlaanderen met Amnesty International - dat het vrij evident is dat uit de normale geplogenheid behoort, al is dan dat een andere instelling as such en ook al is dat een andere rechtspersoon, dat dat verder gedeeld wordt.
Op dat vlak denk ik dat er toch een transparantieverplichting is weggelegd voor die vereniging.
Maar wat eigenlijk niet kan, tenzij dit zeer uitdrukkelijk aanvaard is door die persoon in kwestie - en die aanvaarding is dan een toestemming zoals het nu wordt begrepen in de GDPR, en die GDPR toestemming is dus een actieve toestemming, en dus geen opt-out of ‘qui ne dit mot consent’, dat geld niet.
Het moet wel een effectieve toestemming zijn.
Dus denk ik, om samen te vatten: de regel is ‘Neen’.
Het kan niet, tenzij het gaat om een vereniging die zeer nauw aansluit, waarbij als het ware het tot de normale verwachting behoort van de persoon in kwestie dat die gegevens worden doorgegeven: het kan <bijvoorbeeld> gaan om Amnesty, of om Artsen zonder Grenzen. Daarbuiten moet men de expliciete actieve toestemming krijgen.
U moet ook weten dat de GDPR ervan uit gaat dat gans het systeem verzekerd is tussen de landen van de EU en de landen van de Europese Economische Associatie.
Daar geldt overal hetzelfde beschermingsniveau.
Gaat daar men daarbuiten dan staat men met een ander set van regels die moet toegepast worden: dan in er een gans hoofdstuk van de GDPR die ook moet worden toegepast."
-> Lire par ailleurs: 'RGPD et collecte de fonds: interprétations divergentes'
-> Autres articles sur le même thème: Archives RGPD - Archief GDPR
-
-
-
-
-
