28 Jan ONG : protégez les données personnelles et sensibles des programmes !
Le 28 janvier est marqué comme Data Privacy Day, ou Journée mondiale de la protection des données personnelles. Êtes-vous certains que votre ONG ou structure de l’économie sociale et solidaire est conforme aux lois, aux règlements, aux normes et autres directives applicables en matière de protection des données personnelles ?
Se conformer à la RGPD
Votre organisation a l’obligation de se conformer à la législation, telle que la RGPD si vous êtes dans l’Union Européenne, pour garantir que les données et les informations de vos parties prenantes (donateurs privés, utilisateurs, bailleurs de fonds, bénévoles, spécialistes des services, salariés, etc.) sont bien protégées, non seulement dans le respect de la conformité mais surtout, de la confiance que vos utilisateurs, collaborateurs et partenaires vous accordent.
Par essence, les associations et entreprises de services sociaux sont centrées sur l’utilisateur (user-centric). Pour développer leurs projets, elles ont besoin de collecter et stocker de grandes quantités de données personnelles allant de l’identification des utilisateurs, la gestion des programmes, aux informations de suivi et évaluation. Aujourd’hui, la numérisation des services permet d’augmenter la quantité d’informations captées grâce aux nouvelles technologies (géolocalisation, biométrie, usages d’outils grands publics comme WhatsApp, etc.). Cette accélération, plus ou moins maîtrisée, comporte un risque lié à la réglementation sur la conformité des données personnelles, à laquelle certaines structures ne sont peut-être pas familières.
En tant qu’entreprise sociale de services numériques, IT4LIFE accompagne les ONG et entreprises de l’ESS dans le déploiement raisonné de solutions, et dans la compréhension de l’importance et des implications de la protection des données personnelles.
Protéger les données sensibles !
“Certaines organisations disposent de ressources limitées, ou alors peuvent se trouver dépassées par la complexité derrière l’apparente simplicité d’outils de collecte de données programmatiques. témoigne Sébastien KUSZNIER, PDG d’IT4LIFE. “Nous sensibilisons au fait que, dans certains cas, les données personnelles qu’elles collectent peuvent donner automatiquement accès aux données dites sensibles. Par exemple la combinaison [Nom-Prénom] de personnes d’origines sénégalaises permet souvent de déterminer leur origine ethnique (wolof, peul…) ou leur obédience religieuse (musulman, catholique…). Du coup, nous insistons sur l’anonymisation et la protection de ces données, qui est essentielle, mais cela nécessite souvent des budgets et des compétences particulières.”
Dans ce contexte, il est fortement recommandé aux dirigeants d’ONG ou de structures de l’ESS de se former et de consacrer des ressources pour soutenir leur personnel dans la mise en œuvre et la conception de pratiques conformes au RGPD.
Vous êtes responsable ou chargé d’un projet qui collecte beaucoup d’informations ? Avez vous intégré la conformité à la réglementation de protection des données dans l’évaluation des risques pour vos utilisateurs ou votre organisation ?
Législation disparate en Afrique
“On constate que, progressivement, les organisations avec lesquelles nous travaillons mettent en place des outils pratiques, et prennent aussi l’habitude de consulter leur législation nationale ou de reprendre les conseils des autorités de réglementation” souligne Sébastien KUSZNIER. “Nos clients avec un siège en Europe sont maintenant bien sensibilisés à la RGPD, mais ça se complique pour les opérations en Afrique parce que ce n’est pas harmonisé entre les pays. Les risques pour les usagers et les organisations sont plus élevés du fait de cette disparité.”
Il n’y a pas d’approche unifiée de la protection des données personnelles à travers le continent africain. Dans certains pays, une législation complète sur la protection des données personnelles est en place (avec les instances et agences idoines), alors que dans d’autres pays il n’existe ni législation ni cadre de protection constitutionnelle.
Quelques conseils pour toutes les structures
Il existe un ensemble de guides pratiques et autres ressources pour orienter les organisations dans leur exercice de la protection des données personnelles. Nombre de structures faîtières ont œuvré pour accompagner leurs membres dans la mise à jour de leurs pratiques. Nous reprenons ici quelques conseils, issus de la publication “Civil Society Organizations and General Data Protection Regulation Compliance Challenges, Opportunities, and Best Practices” de l’Open Society Foundations.
Des principes fondamentaux de la mise en oeuvre de la protection des données :
- Disposer d’une base légale pour chaque activité de traitement
- Collecter, conserver et traiter uniquement les données qui sont manifestement nécessaires
- Chaque activité de traitement doit avoir un objectif et les données que vous traitez doivent être liées à cet objectif (ne traiter que les données que vous pouvez justifier d’avoir, et si vous ne pouvez pas justifier pourquoi vous les avez, il est recommandé de les supprimer)
- Assurer la sécurité des données, à la fois sur le plan technique, avec des défenses numériques appropriées, et sur le plan organisationnel, grâce à des politiques et procédures opérationnelles qui soutiennent la protection des données
- Tout transfert de données doit être sécurisé et soutenu par un accord ou un autre mécanisme de transfert si nécessaire
- Être transparent avec les personnes concernées par la collecte de données (politiques de confidentialité, notices d’information, etc.)
Et puis, on rappelle qu’il faut se conformer au RGPD et se familiariser avec la loi nationale sur la protection des données dans le pays où vous opérez et vérifier comment elle s’applique exactement à votre organisation. Pour les ONG, par exemple, il est possible que certaines exceptions soient disponibles en fonction de la nature des programmes mis en place.
Vous avez des questions ou besoin de conseils ?
L’équipe d’IT4LIFE accompagne votre organisation pour y répondre et structurer efficacement, en conformité et sécurité, les outils de collectes, de stockage et d’analyses de ses données personnelles et programmatiques.
Liens utiles
- Définition de la donnée personnelle (CNIL) https://www.cnil.fr/fr/definition/donnee-personnelle
- Une donnée sensible, c’est quoi ? (CNIL) https://www.cnil.fr/fr/cnil-direct/question/une-donnee-sensible-cest-quoi
- Mettre en place un registre des activités de traitement des données personnelles (article 30 du RGPD) https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
- Sénégal : Commission de Protection des Données Personnelles (CDP) https://www.cdp.sn/
- Afrique : Paysage réglementaire de la protection des données personnelles en Afrique, voir le rapport “Privacy is Paramount Personal Data Protection in Africa” (Deloitte, 2017) https://www2.deloitte.com/content/dam/Deloitte/za/Documents/risk/za_Privacy_is_Paramount-Personal_Data_Protection_in_Africa.pdf
No Comments