Les petites organisations caritatives risquent la faillite si elles ne se conforment pas au GDPR, mais elles mettent leurs clients en danger si elles le font

Vous aurez sans doute reçu vous-même les courriels : n’oubliez pas de vous inscrire, cliquez ici pour rester en contact, nous ne voulons pas vous perdre. Le règlement général sur la protection des données, ou GDPRLes organisations et les entreprises, grandes et petites, s’efforcent de faire en sorte que la manière dont elles collectent, stockent et utilisent les données personnelles de leurs clients soit conforme aux nouvelles normes, plus élevées, de cette nouvelle législation de l’Union européenne sur la protection de la vie privée.
La conformité avec le GDPR peut être coûteuse, ce qui oblige les organisations à analyser leur mode de fonctionnement, les données qu’elles utilisent, la manière dont elles sont traitées et sécurisées. Documenter la manière dont les données personnelles sont détenues et traitées est fastidieux et prend du temps, tout comme élaborer des procédures pour traiter les demandes des personnes qui souhaitent voir les données qui les concernent, les violations de la sécurité qui impliquent la perte de données, ou évaluer l’impact sur la vie privée de certains nouveaux produits ou services.
Aux autorités chargées de la protection des données dans l’Union européenne, telles que le Royaume-Uni Bureau du commissaire à l’information (ICO), il s’agit simplement d’une bonne pratique – le coût de faire des affaires dans un marché libre et ouvert. Mais que faire si votre entreprise est une organisation à but non lucratif ? Plusieurs organisations caritatives britanniques ont été condamnés à une amende pour avoir enfreint les lois existantes sur la protection des données. Beaucoup d’autres sont parfaitement conscients qu’une seule sanction pour non-respect des règles pourrait les conduire à la faillite.
L’OIC a produit orientations pour les organisations caritativeset en le lisant, vous pourriez penser que les défis auxquels les organisations caritatives sont confrontées sont les mêmes que ceux auxquels est confrontée toute petite entreprise. Toutes deux disposent de ressources, de temps et d’argent limités pour assurer la conformité. La perte ou l’utilisation abusive de données à caractère personnel entraîne une érosion de la confiance, que les personnes concernées soient des clients payants ou des donateurs. Mais si vous grattez sous la surface, vous pouvez voir comment le GDPR cause des problèmes uniques aux petites organisations caritatives, en particulier celles qui travaillent pour aider les plus vulnérables de la société.
Obligation de diligence
La nouvelle réglementation sur la vie privée demander que les données à caractère personnel sont « traitées de manière à assurer une sécurité appropriée des données à caractère personnel ». Tout expert en sécurité vous dira qu’une sécurité parfaite est impossible. Les entreprises peuvent donc répondre à cette exigence en investissant dans une sécurité considérée comme « suffisamment bonne » pour répondre au devoir de vigilance envers leurs clients et consommateurs.
Mais pour les organisations caritatives, le devoir de vigilance qu’elles ont envers leur clientèle vulnérable et leurs donateurs est si fort qu’une culture de la réduction des coûts s’est formée. Comme les organismes de bienfaisance n’ont pas l’expertise nécessaire pour comprendre les risques auxquels ils sont confrontés, ils peuvent croire à tort qu’ils évitent les risques, ou accepter des risques sans en comprendre les implications. En fin de compte, cela va à l’encontre de l’investissement des organisations caritatives dans la sécurité dont elles ont réellement besoin. A rapport commandé par le ministère britannique de la culture, des médias et des sports en 2017, a constaté que cette culture conduisait même certaines organisations caritatives à s’appuyer intentionnellement sur des solutions dépassées ou de faible technologie. Dans un cas, une organisation caritative était même prête à accepter le risque de pertes de données dommageables, dans l’espoir que ses donateurs seraient sympathiques et apprécieraient le fait que, pour eux, la cybersécurité est un luxe qu’ils ne peuvent pas se permettre.
À lire aussi :
Le PIBR a des dents – voici les gagnants et les perdants

perfectlab/Shutterstock
Tensions éthiques
La nouvelle réglementation en matière de protection de la vie privée s’articule autour du traitement équitable, mais elle ne tient pas compte non plus des tensions éthiques auxquelles sont confrontées les organisations caritatives. En vertu de la GDPR, les organisations ne peuvent collecter des données auprès de personnes que si elles ont une base juridique pour le faire, par exemple si la personne a donné son consentement (comme l’inscription à un bulletin d’information par courriel), ou si l’organisation doit le faire pour se conformer à une obligation légale (comme les informations bancaires requises pour satisfaire aux réglementations sur le blanchiment d’argent). Cependant, des complications surviennent car si une personne peut donner son consentement, elle peut aussi le retirer.
Imaginez, par exemple, que Bob souffre d’une dépendance à la drogue. Dans un moment de lucidité, il se rend dans un centre de désintoxication pour obtenir de l’aide et donne son accord pour que le centre recueille les données personnelles dont il a besoin. Mais Bob rechute par la suite, et – pour ne pas révéler ces informations à sa famille – retire son consentement et exerce son droit à l’oubli, en exigeant que le centre de désintoxication supprime les données le concernant qu’il détient.
Le GDPR prévoit une certaine discrétion pour le traitement des données personnelles en matière de vie et de mort, mais pas si Bob est capable de donner son consentement. Le centre de réhabilitation se trouve donc face à un dilemme : il peut affirmer que Bob n’en est pas capable, s’exposant ainsi au risque d’une amende s’il le signale à l’OIC. Sinon, il peut se conformer et exposer Bob à des risques futurs qui pourraient menacer sa santé ou sa vie, et réduire ou supprimer les informations qu’il connaît et qui pourraient un jour lui sauver la vie.
Les orientations des OIC pour les organisations à but non lucratif devraient répondre au type de questions régulièrement posées par les organisations caritatives. Mais au lieu de cela, il traite les petites organisations caritatives comme n’importe quelle autre petite entreprise. L’OIC prétend que ce sont les informations que les organisations caritatives veulent, mais ce ne sont pas les informations dont elles ont besoin. Si les orientations ne tiennent pas compte des risques encourus par les petites organisations caritatives, qu’est-ce qui les incite à investir du temps et de l’argent pour les suivre ?
Les organisations caritatives ont besoin de moins de platitudes sur ce qu’elles devraient faire – elles le savent déjà – et de plus de conseils sur la manière de le faire, compte tenu des défis très particuliers auxquels elles sont confrontées. Dans un discours prononcé devant les organisations caritatives présentes à la conférence de l Conférence sur le financement et la conformité réglementaire L’année dernière, la commissaire à l’information a déclaré qu’il était possible et nécessaire de protéger la vie privée et elle a expliqué comment y parvenir. Pourtant, à l’approche de l’échéance, les organisations caritatives attendent toujours de connaître le « comment ».