La révolution numérique fait évoluer les pratiques du marketing pour développer et pérenniser les ressources des ONG : don en ligne ou par SMS, don événementiel, “arrondi” sur salaire (microdon prélevé sur le net à payer du salarié), etc. Une autre tendance, la pétition en ligne : taper son adresse mail dans une case pour soutenir une cause est devenu un acte citoyen facile et rapide.
Les bases de données augmentent et se multiplient, et avec elles les questions de sécurité informatique et de protection des données personnelles des donateurs et sympathisants.

Une enquête Toluna/Havas Media d’août 2014 met en évidence les craintes des internautes français :

Pour pérenniser leur action et se développer, la plupart des ONG font appel à la générosité du public. Le recrutement et la fidélisation des donateurs sont indispensables.

Pour ce faire, ces organisations collectent et utilisent de nombreuses informations anonymes et personnelles concernant prospects et donateurs. À l’heure du numérique, le nombre de ces données explose, d’autant que “les associations et fondations françaises font beaucoup de locations et d’échanges de données dans le cadre d’opérations de marketing direct”, comme le souligne Antoine Martel, cofondateur de l’entreprise iRaiser (leader européen de la collecte en ligne du secteur non marchand).

Quelles sont les données rassemblées par les ONG, par quels moyens et à quelle fin ? Anne Marie Vonrufs, responsable de la collecte privée d’Aides (association de lutte contre le sida et les hépatites), nous aide à comprendre :

Un donateur a besoin d’être rassuré, de savoir que son argent ira à la cause qu’il soutient, que le règlement de son don est sécurisé, et qu’il ne sera pas sollicité par d’autres organisations avec lesquelles il ne serait pas entré en contact lui-même.

La collecte, le traitement et la conservation des données personnelles,  sont strictement encadrés par la loi Informatique et libertés. La Commission nationale de l’informatique et des libertés (Cnil) est chargée d’aider les organisations à respecter la loi, de les contrôler et de les sanctionner en cas d’abus. Bien que les règles qu’elle fixe s’appliquent de manière différente selon les types d’organisation ou d’information, la protection des données s’articule autour de grands principes.

À partir du 25 mai 2018, sera applicable le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’objectif de cette règlementation est de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel.

Heureusement, la plupart des ONG ont comme principe fondateur le respect de chaque individu et de ses droits. C’est la raison pour laquelle elles sont nombreuses à demander l’obtention du label Don en confiance. “Il doit y avoir une relation de confiance entre celui qui donne et celui — l’association — qui met en œuvre la cause”, explique Nathalie Blum, directrice générale du comité de la charte du Don en confiance. Ce label garantit les bonnes pratiques des associations et fondations en matière de gouvernance, de rigueur dans la gestion, d’éthique et de transparence. Un gage de qualité destiné à rassurer les donateurs particuliers et les entreprises, en effectuant un contrôle permanent et en accompagnant les associations pour qu’elles soient en conformité avec la loi. Le Don en confiance guide notamment les ONG en leur présentant le cadre de la loi qu’elles doivent respecter. Cette démarche volontaire est un premier pas, mais ne garantit pas une utilisation éthique et légale des données.

En matière de données personnelles et de respect de la vie privée, les règles sont aussi nombreuses que leurs interprétations — qui sont parfois illégales. Cela complique la tâche des ONG qui ne disposent pas, le plus souvent, des ressources nécessaires au strict respect de ces règles. De plus, ces organisations sont aujourd’hui dispensées de déclarer un certain nombre de leurs fichiers à la Cnil, ce qui ne facilite pas les contrôles. Enfin, la Cnil ne dispose pas des moyens nécessaires pour faire appliquer la loi, et les rares entreprises ou organisations condamnées ne le sont que très faiblement au regard du délit. Ainsi, le cadre institutionnel et juridique ne garantit pas toujours une utilisation éthique des données permettant aux donateurs et sympathisants d’ONG de faire valoir leurs droits.

“Il y a en effet une évolution où l’utilisateur reprend de plus en plus la main sur la propriété et l’exploitation de ses données par des tiers. Jusqu’à présent, on était globalement sur une propriété et une exploitation opt out [accord implicite et illimité]. On évolue vers une propriété et une exploitation exclusivement opt in [accord explicite et temporaire]”, note Antoine Martel.

“Une indisponibilité ou un piratage peuvent avoir des conséquences catastrophiques pour nos clients”, déclare Antoine Martel. Sa société, iRaiser (éditrice de logiciels dédiés aux organisations qui collectent des fonds auprès des particuliers), est très attentive aux questions de sécurité. Et pour cause : iRaiser gère les données bancaires des donateurs en ligne de “350 organisations en Europe, dont 40 des 50 plus grosses associations françaises”. De plus, 74,3 % des Français craignent une utilisation frauduleuse de leurs données, ce qui amène les ONG à faire confiance à des entreprises spécialisées pour les protéger. Audits externes et tests de pénétration sont les principaux instruments utilisés par iRaiser pour renforcer leur sécurité.

Le cofondateur d’iRaiser assure que, même s’il est “délicat de dévoiler l’exhaustivité des mesures mises en place”, la sécurité des données est “un sujet permanent et quotidien” pour son entreprise.

Les données personnelles autres que celles qui concernent des transactions bancaires paraissent plus vulnérables. C’est ce que nous rapporte Fabrice Epelboin, enseignant à Sciences po-Paris en géopolitique du cyberespace et cofondateur de la société Yogosha, spécialisée dans la recherche en sécurité.

Fabrice Epelboin, cofondateur de Yogosha

“La cyberattaque de grande ampleur qui s’est déroulée à la mi-mai [2017] a clairement montré la réalité du terrain : au vu d’une menace sans cesse grandissante, personne ou presque n’est suffisamment sécurisé. C’est particulièrement vrai pour les ONG, qui ont rarement investi des sommes importantes en matière de cybersécurité. On estime qu’un budget cybersécurité raisonnable représente entre 5 % et 10 % du budget IT [technologies de l’information] d’une organisation, et rares sont les organisations à réserver un tel budget à la sécurité informatique. Résultat : elles se retrouvent avec un passif très lourd, qui s’est accumulé durant des années de négligence, à une époque où les conséquences étaient bien moindres.”

Le cofondateur de Yogosha relativise l’importance des données que les ONG souhaitent protéger pour se mettre en conformité avec leurs obligations légales. Selon lui, pour la plupart des ONG, “les données personnelles les plus critiques [sont celles des] personnels en poste, notamment ceux qui interviennent sur des théâtres d’opération potentiellement dangereux, et plus encore les données des individus auxquels elles portent secours, qui peuvent se révéler autrement plus critiques ; une fuite de telles données, qui sont la cible de nombreux services de renseignements, peut avoir des conséquences catastrophiques”.

Fabrice Epelboin soulève un autre problème concernant les services cloud utilisés pour stocker les données, malgré une sécurité plutôt élevée des fournisseurs de ce type de service. Toutes les données stockées dans le cloud, sur des serveurs accessibles à partir d’Internet, sont généralement hébergées à l’étranger. Or “le cloud étant le plus souvent américain, il convient de prendre en compte la législation de ce pays, et en particulier le Patriot Act, qui contraint toute entreprise américaine à fournir les données qu’elle traite — où qu’elle soit localisée — au gouvernement américain”. Pour les ONG qui “interviennent sur des territoires où les États-Unis sont présents et qui ne souhaitent pas partager leurs données avec le gouvernement américain, c’est un problème à examiner de près, et qui peut conduire à adopter des solutions comme le chiffrement de certaines données”.
Comme nous le rappelle Antoine Martel, directeur d’iRaiser, “le risque zéro n’existe pas” en matière de sécurité informatique. Les ONG tentent néanmoins d’élever leurs standards dans ce domaine malgré un budget et des compétences limités.

Une tendance à la transparence et au respect des droits des personnes se développe. Le donateur n’est pas un client. Comme le souligne Antoine Martel, “les organisations doivent impérativement s’impliquer sur ces sujets et anticiper [les évolutions de la réglementation], à la fois d’un point de vue juridique, marketing et technique.” C’est notamment le cas de la sécurisation des données personnelles que les ONG ont accumulées depuis des dizaines d’années. L’enjeu principal : la crédibilité des organisations et la confiance que les donateurs leur accordent.

Cette confiance est essentielle à la relation avec les donateurs. Les associations n’ont d’autre choix que de la conserver pour assurer leur pérennité. Pour y parvenir, elles doivent associer les bons usages des technologies ou du marketing digital à une sécurisation accrue du système d’information, dans un cadre réglementaire contraignant.

Sources :
– Identification et surveillance des individus. Quels enjeux pour la démocratie ?, ouvrage collectif, éditions de la Bibliothèque publique d’information, “Paroles en réseau”, 2010, Paris, 96 p.
– “Données personnelles : Facebook condamné par la CNIL à 150 000 euros d’amende”, Lemonde.fr, 16 mai 2017.