Dans un contexte où la société française prend de plus en plus conscience de son empreinte numérique, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et l'Agence de la transition écologique (ADEME) viennent de franchir un pas décisif. Ces deux institutions ont annoncé ce jeudi 12 décembre la création d'un observatoire des impacts environnementaux du numérique, une initiative qui promet de révolutionner notre compréhension des enjeux écologiques liés aux technologies de l'information. Cette plateforme, fruit d'une collaboration initiée en 2020 à la demande des ministères de la Transition écologique et de l'Économie, vise à devenir une référence incontournable en matière de données fiables sur l'empreinte environnementale du numérique. "L'observatoire a vocation à constituer une plateforme de référence en matière de données fiables et sourcées sur les impacts environnementaux du numériqu...
Par Claire Boyer, Responsable de comptes NFP et PSO chez Unit4
Bien que certaines ONG aient déjà adopté des procédures et processus conformes aux directives RGPD en matière de respect de la vie privée, nombreuses sont celles pour lesquelles le chemin n'a pas encore débuté. Pourtant, les risques sont importants et ne se limitent pas aux amendes imposées par la CNIL. Les actions d'une ONG dépendent directement du soutien financier de leurs contributeurs et toute indication que des atteintes à la vie privée pourraient se produire – ou se sont déjà produites – entraîne généralement une baisse immédiate et précipitée des dons. Il est donc impératif de se pencher sur le sujet.
ONG : quelles données, quels besoins ?
Les ONG sont fières de leur capacité à recueillir et à analyser des données qui illustrent leur impact social et qui confirment leurs résultats. Cependant, élaborer de tels rapports les oblige à réunir de grandes quantités d'informations sensibles concernant les donateurs et les bénéficiaires, relatives par exemple à leurs finances ou la santé. Afin de recevoir de l'aide, les bénéficiaires sont prêts à fournir leurs dates de naissance et leurs numéros de sécurité sociale, ainsi que d'autres informations personnelles qui pourraient, si elles tombaient dans de mauvaises mains, donner lieu à de la fraude, ou à du vol d'identité.
Quant aux donateurs, ceux-ci sont de plus en plus attentifs à la transparence dans la gestion des fonds, à la sécurité des données personnelles et à l'efficience des structures subventionnées. Aujourd'hui, face à une concurrence accrue dans le secteur des ONG, la professionnalisation devient nécessaire pour gagner la confiance de ses donateurs et maintenir la régularité de leurs dotations.
Enfin, les évolutions technologiques récentes se traduisent par une amélioration, depuis 2-3 années seulement, de l'accès aux moyens de communication dans les lieux les plus reculés du monde. Cette évolution donne une chance inédite aux ONG de répondre aux besoins des donateurs en matière de traçabilité des fonds et de suivi d'actions programmées. Elle fluidifie également le travail des équipes sur place, en leur permettant par exemple de saisir les données directement sur le terrain pour les transmettre ensuite rapidement via des outils adaptés, améliorant ainsi la fiabilité des données et permettant aux équipes de se focaliser sur les tâches à forte valeur ajoutée.
En dépit du caractère sensible des données personnelles qu'elles stockent, de nombreuses organisations à but non lucratif n'ont toujours pas de politique stricte en matière de protection des données. Parfois, elles manquent tout simplement de ressources nécessaires pour gérer et protéger les informations avec des systèmes et des outils technologiques avancés. Dans ce contexte, ces organisations courent un réel risque à l'approche du RGPD. Il apparaît critique qu'elles inscrivent la gestion de la sécurité des données dans leurs priorités.
RGPD, un défi mondial
Amener les ONG à se conformer aux exigences du RGPD est un processus complexe : le RGPD étant un règlement de l'Union Européenne, il est clair qu'il s'applique aux situations nécessitant la gestion et le traitement de données au sein de l'UE. Toutefois, il n'est pas certain que ces règles s'appliquent lorsqu'une succursale européenne d'une ONGI recueille des données sur des bénéficiaires hors de l'UE. La question devient encore plus sensible quand les données sont recueillies par une branche non-européenne d'une ONGI.
Le consensus général parmi les dirigeants et les conseillers des ONGI est que toutes les données recueillies par une ONGI présente dans l'UE doivent être soumises au RGPD pour trois raisons :
- 1. Cette pratique prévient tout risque juridique lié à la non-conformité, d'autant plus que ses conséquences, à la fois en termes d'amendes et de perte de soutien des donateurs, peuvent être très coûteuses.
- 2. De nombreux dirigeants et conseillers d'ONGI trouvent que les opérations sont gérées de manière plus simple et plus efficace si l'ONGI dispose d'une politique unique à l'échelle de l'organisation en matière de confidentialité et de sécurité des données. En d'autres termes, si une partie de l'organisation doit se conformer au RGPD, alors l'organisation tout entière doit adopter les politiques et pratiques qui conviennent pour être pleinement conforme.
- 3. Les dirigeants des organisations comprennent que le RGPD et la protection de la confidentialité des données en général constituent une obligation morale pour les ONG. Protéger les données personnelles sensibles des donateurs, des bénéficiaires et des salariés est tout simplement ce qu'il convient de faire.
Ainsi, l'application du RGPD au niveau mondial dans les organisations non gouvernementales est pour ces dernières une nécessité urgente. Quelle que soit leur motivation, éviter des amendes exorbitantes ou rassurer et fidéliser leurs donateurs et équipes, la sécurité des données personnelles doit être implémentée et, si possible, alignée au RGPD au niveau mondial.
L'enjeu est de taille et une perte de confiance en cas de faille pourrait avoir des conséquences catastrophiques sur leur business modèle. L'urgence est bien là, allons de l'avant pour faire du RGPD une opportunité de mettre enfin en place des systèmes de gestion efficaces et sécurisés.