Chères associations alumni, nous le savons, vous frissonnez dès que vous y pensez. Vous avez des sueurs dès que vous entendez son nom. Ca tombe bien car l’objectif de cet article est de désacraliser le redouté RGPD, Règlement Général Européen de la Protection des Données (ou en anglais GDPR – General Data Protection Regulation). Pour tout vous dire, j’ai vécu mon propre lundi noir il y a un an lorsqu’un beau matin on m’a dit “Hey Clem, tu vois un peu ce que c’est le rôle du DPO de l’entreprise ? Parce qu’on a réfléchi et on pense que tu devrais prendre cette fonction” (Délégué à la Protection des Données).
Le RGPD… C’est comme le sport : on a du mal à se motiver pourtant on est toujours content une fois qu’on l’a fait !
Après de nombreuses recherches et une bonne formation proposée par le CNAM, je peux maintenant vous décrypter un certain nombre de concepts. Ils nous aideront dans cette suite d’article dédiée au respect du RGPD pour les association alumni.
Le coin des définitions
Nom | Acronyme | Définition |
Règlement Général Européen de la Protection des Données | RGPD | Législation européenne du 2 juin 2018 qui vient compléter la loi française “Informatique et libertés” du 6 janvier 1978. |
Le Responsable de Traitement | RT | Il va déterminer les finalités et les procédés d’un traitement. Je reviens sur ce point plus bas. |
Délégué à la Protection des Données | DPO | C’est la personne en charge d’appliquer le RGPD au sein d’une organisation. Il peut être internalisé ou externalisé et est obligatoire dans plusieurs cas. Celui qui peut vous concerner en tant qu’association alumni est le suivant : “Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle” (https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees) |
Sous-traitant | ST | Il travaille pour le compte du RT et a pour obligation de documenter sa conformité au RGPD (sécurité des données, transparence, traçabilité). |
Si on met de côté les documents obligatoires à la conformité de votre association alumni, en fin de compte, le RGPD c’est du bon sens.
Les données personnelles
Tout d’abord rappelons que le RGPD ne s’applique qu’aux données à caractère personnel. C’est à dire tous les éléments qui peuvent permettre d’identifier une personne (nom, prénom, email par exemple). La limite de l’identification, c’est surtout une affaire de bon sens. Pour vérifier, il faut se faire des scénarios : “Promo 2019, Cursus EDEN, école IAE de Lyon, lieu de résidence de l’individu : Thônes”. Dans cet exemple, nous avons assez d’information pour deviner qu’il ne s’agit peut s’agir que de moi, Clémentine Pollet. Par contre si j’enlève “Thônes” (patelin reculé en Haute Savoie) et que ma promo regroupe non pas 25 étudiants, mais 300, alors votre association alumni sort du cadre RGPD, car ces informations ne permettent plus de m’identifier. L’objectif pour votre association sera donc de sortir un maximum de ce cadre, en “brouillant” l’identification.
Anonymisation = pas concerné par le RGPD
Les deux grands principes du RGPD
En tant qu’association alumni, est-ce que je peux contacter les alumni de mon école ? Est-ce que je peux faire des statistiques sur leur insertion professionnelle ? Pour résoudre ce casse-tête, nous pouvons nous appuyer sur deux grands principes. En oubliant tous les termes techniques et textes officiels on pourrait les résumer comme suit :
- Consentement : s’il y a des données personnelles en jeu, alors il faut le consentement du sujet pour les récolter, les détenir, les exploiter ou les partager.
- Finalité & moyens : pour quelle fin le sujet a-t-il donné son consentement ? Est-ce pour l’extraction de statistiques ? Pour créer des opportunités d’emploi ? Pour favoriser le partage de connaissance ? Par quels moyens vais-je arriver à ces finalités ?
Concrètement, si vous avez l’accord des alumni pour la finalité “favoriser l’insertion professionnelle et les changements de carrière”, alors vous pouvez les contacter pour tout ce qui est offre d’emploi ou promotion d’un événement autour du thème de l’emploi. Pour ce qui est des statistiques, ne vous posez pas trop de questions, anonymiser-les et on en parle plus !
En résumé, il faut que votre association alumni ou votre école obtienne un consentement par finalité.
L’importance du Responsable des Traitements (RT) dans le RGPD
Le Responsable de Traitements (RT) est la personne morale qui va déterminer les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser (Voir plus). Pourquoi c’est important de déterminer le RT ? Car c’est lui qui a la charge d’obtenir le consentement et de veiller à la confidentialité, à la sécurité des données personnelles et aux droits des sujets (droit d’information, de modification et de suppression).
Qui est le RT de vos traitements de données ? Votre association ou bien l’école à laquelle elle est rattachée ? Si l’école est le principal financeur de l’association, alors elle sera le RT ou le Co-RT avec l’association. Si l’association s’autofinance par les cotisations, l’événementiel ou les dons, alors elle est le RT. Ce dernier est en charge d’obtenir le consentement par finalité et de vérifier que les sous-traitants sont conformes. Bref, que vous le soyez ou non, dans tous les cas votre association alumni devra appliquer le RGPD.
J’attire également votre attention sur le principe de proportionnalité en RGPD pour votre association alumni. Le RT doit s’assurer que seules les données nécessaires à la réalisation de ses missions sont traitées. Concrètement, on va demander aux alumni leur profession et non leurs loisirs si on est dans le cas d’une finalité “pro” et inversement si on se trouve dans une association de loisirs ou de rencontres. Encore une fois, c’est du bon sens !
Les fournisseurs et parties prenantes au RT
Est-ce votre association peut faire sous traiter la mise en place d’une plateforme alumni ? Est-ce vous pouvez donner un annuaire aux entreprises partenaires pour le recrutement ? Selon la logique, précédemment énoncée : le consentement se donne par finalité (et les moyens pour y arriver). Si vous êtes RT et que vos alumni ont donné leur accord pour arriver à des finalités clairement décrites, alors vous pouvez externaliser les moyens pour les atteindre (par exemple sous traiter la réalisation de vos statistiques d’insertion professionnelle ou bien externaliser l’animation de votre communauté). Vous n’avez pas à redemander leur autorisation, ils vous l’ont déjà donné !
Est-ce vous pouvez hériter d’une liste alumni de la part de l’école ? Si c’est l’école qui a recueilli les consentements (qui est donc RT), alors votre association pourrait hériter de la liste alumni de sa part. En fait, votre association se place alors en qualité de sous traitant de l’école pour que cette dernière puisse atteindre les finalités qu’elle a “promis” à ses alumni.
Vous avez une sorte de “devoir” vis-à-vis de vos alumni “consentants”. Ils vous donnent de la ressource (leurs données) et le droit de l’exploiter pour atteindre certaines finalités (améliorer votre accompagnement, moderniser l’offre de formation, accompagner l’insertion professionnelle, etc). Le minimum c’est de mettre en place les actions nécessaires pour y arriver ! Personnellement, j’ai partagé mes données à l’association alumni et j’ai consenti à ce qu’ils les exploitent dans le but de me créer un réseau professionnel. Ils ont dû passer par un prestataire, qui a mes données, pour mettre sur pied une plateforme alumni et m’offrir un service complémentaire à ma sortie d’études.
Comment obtenir le GRAAL : le consentement ?
Vous voulez obtenir le consentement de vos alumni pour plusieurs finalités dont l’autorisation de les contacter dans le cadre de ces dernières. Mais en fait, vous n’avez pas le consentement pour les contacter pour leur demander ! C’est le serpent qui se mord la queue… Donc si on décortique le problème : vous ne pouvez pas utiliser leurs données de contact pour obtenir le consentement.
A défaut d’aller chercher l’alumni, on peut imaginer plein de tactiques pour le faire venir à soi afin de reprendre contacte et qu’il dise nous autorise à communiquer avec lui ! Les marketeux, ça devrait vous faire penser à l’inbound marketing 😉 C’est le cas en partageant le lien de votre plateforme alumni (sur votre site internet, vos réseaux sociaux ou lors d’événements physiques). Les anciens s’inscrivent d’eux-mêmes sur la plateforme, tout en acceptant la politique de confidentialité des données. Ce document est ni plus ni moins le récapitulatif de la gestion de leur données : finalités, moyens, sécurité, confidentialité, droits des sujets,… Vous aurez ainsi recueilli leur consentement et réintégré – en toute légalité – un ancien à la communauté de votre école ! Pour aller plus loin, vous pouvez consulter mon nouvel article qui vous donne toutes les clés pour obtenir le consentement de vos alumni.
Alors qu’est ce qu’on attend ?