Votre besoin de développement étant similaire à celui des entreprises, vous pouvez être amenées à envoyer des courriels de sollicitation dans le but d'attirer de nouveaux adhérents, bénéficiaires ou donateurs.
Ces actions ont un nom, celui de la prospection caritative.
Mais connaissez-vous le régime qui lui est applicable ? Nous vous proposons d'en découvrir ci-dessous les grandes lignes !
1. Recueil de consentement préalable : mythe ou réalité ?
Si vous pouvez avoir pour réflexe de vous dire que lorsqu'il y a envoi de mailing, il y a obligation préalable de recueillir le consentement de la personne concernée, cela n'est en réalité pas applicable dans le cadre de la prospection caritative !
En effet, si ce principe est applicable à la prospection commerciale en BtB, celui-ci ne l'est pas dans le cadre de la prospection non-commerciale, dont la prospection caritative fait partie.
Plutôt une bonne nouvelle, n'est ce pas ?!
Mais dans ce cas, quelles sont les règles qui vous sont applicables ?
2. Les règles à respecter afin d'assurer la conformité de vos actions de prospection caritative
Voici un aperçu des règles principales à respecter en matière de prospection caritative afin d'assurer votre conformité au RGPD :
| Catégorie dans laquelle vous vous trouvez | Règles à suivre |
| Vous envoyez du mailing à des personnes dont vous avez collecté les données en direct (via un formulaire par exemple) | Si vous ne devez pas recueillir leur consentement préalable, vous vous devez toutefois, au moment de la collecte de leurs données personnelles (par exemple, via un formulaire de contact ) : - d’informer les personnes concernées que leurs données personnelles pourront être utilisées à des fins de prospection caritative. Nous vous recommandons de réaliser cette information au moyen d’une mention d’information sous le formulaire de contact (si c’est ce moyen de collecte que vous utilisez) et d’une mention expresse au sein de la Politique de Confidentialité du site web de votre association ; - de donner la possibilité aux personnes concernées de s’opposer à l’utilisation de leurs données pour des fins de prospection caritative, par exemple au moyen d’une case à cocher accompagnée d’un message du type : « Je refuse que mes données personnelles soit utilisées par l’Association ABCD pour m’envoyer de la prospection caritative par courriel ». En outre, vous vous devrez de toujours inclure au sein des courriels, une possibilité pour la personne concernée de se désinscrire de votre liste de prospection, et ce à tout moment et de conserver les données de la personne concernée pendant une durée maximale de 3 ans à partir de son dernier contact avec votre association. |
| Vous envoyez du mailing à des personnes dont vous avez collecté les données sur internet ou dont les données vous ont été transférées par un partenaire | Si vous utilisez des données accessibles publiquement sur internet ou qui vous ont été transmises par une autre entité, votre association devient responsable de traitement et va donc devoir informer les personnes concernées des modalités de traitement de leurs données. Cette information devra être réalisée dans le cadre de la première communication envoyée aux personnes concernées (par exemple, via le premier courriel de contact) et devra notamment contenir : l'identité de votre structure, la provenance des données personnelles (par exemple, Linkedin), la finalité du traitement que vous réalisez, c’est à dire de la prospection caritative, ou encore les destinataires ou les catégories de destinataires des données personnelles (par exemple, le département Marketing de votre association ou encore votre prestataire de logiciel CRM). Cette information devra être réalisée sous un délai maximum d’un mois à compter de la réception des données par votre association. En outre, vous vous devrez de vérifier la légalité du transfert des données si la base provient d'un tiers, de toujours inclure au sein des courriels, une possibilité pour la personne concernée de se désinscrire de votre liste de prospection, et ce à tout moment et de conserver les données de la personne concernée pendant une durée maximale de 3 ans à partir de son dernier contact avec votre association. |
| Vous envoyez du mailing contenant l'actualité ou les offres de partenaires | - D’informer les personnes concernées que leurs données personnelles pourront être utilisées pour leur envoyer du mailing portant sur l’actualité et les offres des partenaires de votre association, en fournissant un lien vers la liste exhaustive de ces partenaires (par exemple, un lien renvoyant vers un fichier pdf que vous mettrez à jour régulièrement) ; - De donner la possibilité aux personnes concernées de s’opposer à la réception de ces mailings en particulier, par exemple au moyen d’une seconde case à cocher accompagnée d’un message du type : « Je refuse que mes données personnelles soit utilisées par l’Association ABCD pour m’envoyer des courriels portant sur l’actualité et/ou les offres de ses partenaires (avec un lien de renvoi vers la liste des partenaires)». En outre, vous vous devrez de toujours inclure au sein des courriels, une possibilité pour la personne concernée de se désinscrire de votre liste de prospection, et ce à tout moment et de conserver les données de la personne concernée pendant une durée maximale de 3 ans à partir de son dernier contact avec votre association. |
| Vous utilisez un logiciel CRM | Dans ce cas, attention à bien choisir une solution conforme au RGPD en vérifiant notamment : - Les données collectées et les paramétrages proposés, - Les mesures de sécurité appliquées, - La localisation des serveurs et des back-ups – qui devront être basés, de préférence, au sein de l’EEE, - Les sous-traitants ultérieurs utilisés ainsi que la localisation de leurs sièges sociaux, - Les transferts de données hors EEE pouvant être réalisés – sur ce point, attention aux solutions affiliées à des sociétés américaines qui peuvent être amenées à transférer des données vers les US et vers les services de renseignements américain à leur demande. La conformité RGPD est donc actuellement pratiquement impossible en cas de recours à des solutions américaines, - La conformité du contrat de sous-traitance aux dispositions de l’Article 28 du RGPD. |
Pour aller plus loin, nous vous recommandons la lecture de la page de la CNIL dédiée aux transferts de fichiers de donateurs ou de contacts entre associations et fondations ainsi que la page dédiée aux mentions d'information des personnes concernées.
