Les organisations à but non lucratif sont soumises à diverses lois, dont certaines exigent une politique de confidentialité précise et actualisée.
Si certaines lois sur la confidentialité des données s'appliquent directement aux organisations à but non lucratif qui atteignent les seuils légaux, d'autres les concernent si elles sont sous contrat avec des entités tierces en tant que responsables du traitement des données.
Ci-dessous, je vous explique ce que vous devez savoir sur l'élaboration d'une politique de protection de la vie privée pour une organisation à but non lucratif, y compris ce qu'elle doit contenir, les lois à prendre en compte, et plus encore.
- Création d'une politique de confidentialité pour les organisations à but non lucratif
- Les organisations à but non lucratif ont-elles besoin d'une politique de confidentialité ?
- Lois ayant un impact sur les politiques de confidentialité des organisations à but non lucratif
- Informations à inclure dans une politique de confidentialité pour les organisations à but non lucratif
- Où afficher la politique de confidentialité de votre association
- Résumé
Création d'une politique de confidentialité pour les organisations à but non lucratif
Vous pouvez élaborer une politique de confidentialité pour votre association à l'aide d'une solution automatisée, d'un modèle ou en la rédigeant vous-même.
Solution gérée
Le moyen le plus simple d'élaborer une politique de confidentialité est d'utiliser une solution gérée, comme Générateur de politique de confidentialité de Termly .
L'utilisation d'un générateur permet de ne pas se demander ce qui doit figurer dans votre politique de confidentialité, car il inclut automatiquement ces informations sur la base de vos réponses à des questions de base.
La politique est mise à jour automatiquement lorsque vous effectuez des modifications via le tableau de bord Termly .
Toutefois, les organisations à but non lucratif sont soumises à des lois supplémentaires qui n'ont pas nécessairement d'incidence sur les entreprises à but lucratif. Des lois et réglementations spécifiques au secteur peuvent également s'appliquer.
Les organisations à but non lucratif devraient envisager de consulter un avocat ou un spécialiste de la protection de la vie privée pour obtenir des conseils supplémentaires sur la conformité juridique.
Modèle
Les organisations à but non lucratif peuvent également utiliser un modèle de politique de confidentialité pour les aider à démarrer la création de leur politique.
Les modèles sont déjà correctement formatés pour vous et comprennent des clauses courantes.
Il suffit de remplir manuellement les sections vides avec des informations sur votre organisation, de supprimer les clauses inutiles et d'ajouter les informations nécessaires pour garantir la conformité.
Voir à quoi cela ressemble ci-dessous.
Veillez à ne rien oublier et n'oubliez pas de le mettre à jour manuellement lorsque vos activités de traitement des données changent, afin qu'il reste précis et honnête.
Écrivez vous-même
Vous pouvez rédiger votre propre politique de confidentialité pour une organisation à but non lucratif, mais cela nécessite des connaissances juridiques approfondies.
Si vous omettez quelque chose, les lois sur la protection de la vie privée peuvent vous tenir pour responsable, soyez donc prudent.
Pour vous faciliter la tâche, je vous propose quelques conseils et bonnes pratiques à suivre si vous décidez de rédiger votre police d'assurance :
- Conseil 1 : Assurez-vous de connaître toutes les lois qui s'appliquent à votre association et ce qu'elles exigent de votre politique de protection de la vie privée.
- Conseil n° 2 : présentez votre politique en utilisant des clauses clairement identifiées et une table des matières afin que les utilisateurs puissent trouver les informations nécessaires au fur et à mesure de leurs besoins.
- Conseil 3 : Rédigez en utilisant un langage simple et évitez le jargon juridique ou inutile afin que l'information soit accessible à tous les utilisateurs pour être lue et comprise.
- Conseil n° 4 : utilisez des listes à puces ou des tableaux pour présenter des informations complexes à vos utilisateurs de manière plus simple, par exemple une liste de toutes les données que vous collectez et l'objectif de cette collecte.
- Conseil n° 5 : prévoyez de revoir régulièrement votre politique de protection de la vie privée et de la mettre à jour, le cas échéant, lorsque la législation ou vos activités de traitement changent.
- Conseil n° 6 : demandez à un avocat ou à un expert en protection de la vie privée d'examiner votre politique de protection de la vie privée pour s'assurer qu'elle est conforme à toutes les lois applicables.
Les organisations à but non lucratif ont-elles besoin d'une politique de confidentialité ?
Certaines organisations à but non lucratif ont besoin d'une politique de protection de la vie privée, mais toutes ne sont pas tenues d'en avoir une.
Par exemple, les organisations à but non lucratif qui collectent des informations personnelles et tombent sous le coup de lois spécifiques ont besoin de politiques de protection de la vie privée conformes.
Dans le cas contraire, vous risquez de vous voir infliger une amende pour infraction à la loi.
La publication d'une politique de confidentialité permet également à votre organisation d'instaurer un climat de confiance avec les utilisateurs en leur présentant de manière transparente vos activités de traitement des données.
Cela permet à vos utilisateurs de prendre connaissance de vos protocoles et de décider en toute connaissance de cause s'ils acceptent que vous recueilliez et utilisiez leurs données personnelles.
Mais si votre association ne recueille pas, ne traite pas et n'utilise pas d'informations personnelles, le fait d'avoir une politique de confidentialité peut quand même montrer votre engagement à être ouvert et honnête sur les pratiques en matière de confidentialité.Politiques de confidentialité des organisations à but non lucratif d'At Impact
Lois ayant un impact sur les politiques de confidentialité des organisations à but non lucratif
Les organisations à but non lucratif sont soumises à des lois spécifiques qui ont une incidence sur les politiques de protection de la vie privée et sont exemptées d'autres lois.
Toutefois, les lois dont elles sont exemptées peuvent toujours avoir un impact sur les organisations à but non lucratif si elles sont sous contrat avec un contrôleur de données agissant en leur nom en tant que processeur de données.
Dans ce cas, l'association doit traiter les données conformément à la loi sur la protection de la vie privée qui s'applique au responsable du traitement des données.
J'ai dressé une liste des lois sur la protection de la vie privée des consommateurs et de la manière dont elles s'appliquent directement ou indirectement aux organisations à but non lucratif dans le tableau ci-dessous.
| Droit de la protection de la vie privée des consommateurs | Impact sur les organisations à but non lucratif |
| Loi du Colorado sur la protection de la vie privée (CPA) | La CPA s'applique aux organisations à but non lucratif qui atteignent certains des seuils suivants :
|
| Loi californienne sur la protection de la vie privée des consommateurs (CCPA) | En règle générale, la CCPA ne s'applique pas aux organisations à but non lucratif.
Toutefois, les organisations à but non lucratif peuvent être affectées indirectement si elles sont sous contrat en tant que responsables du traitement des données pour le compte d'un responsable du traitement des données. |
| Loi sur la protection des données des consommateurs de Virginie (VCDPA) | La VCDPA exempte les organisations à but non lucratif.
Toutefois, les organisations à but non lucratif qui travaillent avec des entreprises soumises à la loi VCDPA pourraient être concernées, en particulier si elles sont sous contrat en tant que responsables du traitement des données pour le compte d'un responsable du traitement des données. |
| Loi du Connecticut sur la protection des données (CTDPA) | La loi CTDPA ne s'applique généralement pas aux organisations à but non lucratif.
Toutefois, il peut y avoir des exceptions pour des types spécifiques de traitement de données ou des partenariats avec des entités à but lucratif. |
| Loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA) | Le texte final de la loi et son applicabilité aux organisations à but non lucratif peuvent varier. Il convient donc d'examiner les exceptions ou les seuils susceptibles d'affecter les organisations à but non lucratif. |
| Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA) | Les organisations à but non lucratif sont exemptées de l'application de la LPUC.
Toutefois, à l'instar d'autres exemptions, les organisations à but non lucratif peuvent toujours être confrontées à des obligations en matière de protection de la vie privée si elles concluent des contrats avec des entreprises à but lucratif. |
Le tableau suivant énumère les lois qui ne sont pas des lois exhaustives sur la protection de la vie privée des consommateurs, mais qui s'appliquent souvent aux organisations à but non lucratif et peuvent avoir une incidence sur leurs politiques de protection de la vie privée ou leurs activités de traitement des données.
| Droit | Impact sur les organisations à but non lucratif |
| Loi du Colorado sur la protection des consommateurs de soins de bienfaisance | Bien qu'il ne s'agisse pas d'une loi complète sur la protection de la vie privée, cette loi du Colorado est pertinente pour les organisations à but non lucratif du secteur de la santé. Elle réglemente la manière dont les hôpitaux (y compris les hôpitaux à but non lucratif) gèrent les données des consommateurs et les soins de bienfaisance. |
| Loi sur la protection de la vie privée au Nevada | La loi du Nevada sur la protection de la vie privée a une portée plus limitée et ne s'applique généralement pas aux organisations à but non lucratif.
Mais elle se concentre sur la vente de données en ligne, de sorte que les organisations à but non lucratif peuvent s'engager dans des activités couvertes par la loi si elles vendent des données personnelles en ligne. |
| Loi du Massachusetts sur la notification des violations de données | Le Massachusetts exige de toutes les organisations, y compris les organisations à but non lucratif, qu'elles informent les personnes concernées et le procureur général de l'État en cas de violation de données.
Bien qu'il ne s'agisse pas d'une loi exhaustive sur la protection de la vie privée, elle s'applique à toute organisation traitant des informations personnelles. |
| Loi SHIELD de New York | La loi SHIELD s'applique à toute entité qui traite les informations privées des résidents de New York, y compris les organisations à but non lucratif.
Elle impose des exigences en matière de sécurité des données plutôt que des droits spécifiques en matière de protection de la vie privée des consommateurs, mais les organisations à but non lucratif doivent se conformer à la protection des données en vertu de cette loi. |
| Loi de l'Illinois sur la confidentialité des informations biométriques (BIPA) | Bien que la BIPA se concentre sur les données biométriques, elle s'applique à toute entité privée, ce qui pourrait inclure certaines organisations à but non lucratif, en particulier celles qui collectent des données biométriques telles que les empreintes digitales ou les données de reconnaissance faciale.
Elle exige un consentement éclairé avant de collecter des données biométriques et limite leur utilisation et leur partage. |
Bien que de nombreuses lois sur la protection de la vie privée au niveau de l'État américain exemptent explicitement les organisations à but non lucratif, ces dernières doivent néanmoins faire preuve de prudence.
Les organisations à but non lucratif peuvent être indirectement affectées par ces lois si elles signent des contrats avec des entreprises qui sont tenues de les respecter.
Il est également essentiel pour les organisations à but non lucratif d'examiner les réglementations sectorielles, par exemple :
- Health Insurance Portability and Accountability Act (HIPAA) pour les soins de santé.
- Children's Online Privacy Protection Act (COPPA) pour les organisations qui interagissent avec des enfants de moins de 13 ans.
- Loi sur les droits de l'éducation et la protection de la vie privée (FERPA) dans le domaine de l'éducation.
En raison de la complexité accrue, je recommande aux organisations à but non lucratif de consulter un avocat ou un expert en protection des données pour s'assurer que leurs activités de traitement sont conformes à la loi.
Informations à inclure dans une politique de confidentialité pour les organisations à but non lucratif
Bien que les détails exacts de votre politique de confidentialité dépendent de votre association et des lois qui s'y appliquent, j'ai compilé une liste des clauses les plus courantes que vous pouvez prendre en compte ci-dessous.
Quelles sont les données personnelles que vous collectez ?
Vous devez énumérer les données personnelles que vous collectez dans une clause de la politique de confidentialité de votre association. Formulez cette clause à l'aide d'une liste à puces ou d'un tableau afin qu'elle soit facile à lire et à comprendre pour les utilisateurs.
Comment vous collectez les données
Les lois sur la protection de la vie privée, comme la loi sur la protection de la vie privée du Colorado, exigent que vous expliquiez comment vous collectez les données personnelles dans votre politique de protection de la vie privée.
Par exemple, vous pouvez collecter des données par le biais de formulaires en ligne, en plaçant des cookies sur les navigateurs ou lorsque les utilisateurs remplissent des formulaires de don.
Pourquoi collecter les données ?
Vous devez expliquer dans votre politique de confidentialité les raisons pour lesquelles vous recueillez des données à caractère personnel.
Par exemple, vous pouvez collecter des données à des fins de marketing et de recherche, pour améliorer l'expérience de l'utilisateur ou pour remplir des obligations contractuelles avec les consommateurs.
En vertu de la plupart des lois, vous ne pouvez pas traiter des données pour des raisons autres que ces finalités sans en informer le consommateur et obtenir son consentement explicite.
Si vous vendez ou partagez des données à caractère personnel
Vous devez indiquer si vous vendez ou partagez des données à caractère personnel avec des entités tierces directement dans votre politique de confidentialité.
Vous devez inclure une liste des catégories de données que vous partagez avec les tiers et les catégories des tiers eux-mêmes.
Vous ne devriez pas avoir à tout faire seul ; les organismes à but non lucratif peuvent et doivent s'attendre à ce que leurs plateformes numériques de collecte de fonds mettent en œuvre des mesures de sécurité robustes pour la protection des donateurs, notamment celles conçues pour empêcher les dons indésirables et les attaques de type « carding » , afin de garantir la sécurité des données des donateurs. Lors du processus de vérification, les organismes à but non lucratif doivent se renseigner sur
- Les certifications de conformité telles que PCI DSS niveau 1, qui démontrent l'adhésion à des normes de sécurité strictes pour le traitement des données de cartes de crédit.
- Des audits de sécurité réguliers, des tests de pénétration et des évaluations des vulnérabilités sont essentiels pour maintenir un environnement sécurisé.
- Des accords transparents sur le traitement des données qui décrivent clairement comment les données des donateurs sont collectées, utilisées, stockées et protégées.
- Un plan d'intervention solide en cas d'atteinte à la protection des données.
Justin Wheeler, PDG et cofondateur de la plateforme numérique de collecte de fonds Funraise, souligne que "la confidentialité des données des donateurs est primordiale. Les personnes qui nous soutiennent le plus nous confient leurs informations les plus sensibles, et nous avons donc la responsabilité de leur offrir le plus haut niveau de sécurité et de transparence."
Informations sur les droits des consommateurs
Les lois sur la protection de la vie privée vous obligent à expliquer les droits de vos utilisateurs sur leurs données directement dans votre politique de protection de la vie privée.
Vous devez également expliquer comment ils peuvent faire valoir ces droits.
Si votre association est soumise au respect de plusieurs lois, envisagez d'ajouter une clause pour chacune d'entre elles afin que vos consommateurs de ces régions puissent facilement repérer les droits qui s'appliquent à eux.
Coordonnées de l'organisation à but non lucratif
Vous devez inclure les coordonnées de votre association dans votre politique de confidentialité afin que les consommateurs sachent comment vous contacter s'ils ont des questions, des commentaires ou des inquiétudes.
Où afficher la politique de confidentialité de votre association
La politique de confidentialité de votre association doit toujours être facile à trouver pour les utilisateurs. Pensez donc à la placer dans les endroits accessibles suivants :
- Pied de page du site web : La plupart des sites web placent leur politique de confidentialité dans le pied de page, car il s'agit d'un endroit statique auquel les utilisateurs peuvent accéder à partir de n'importe quelle page lorsqu'ils naviguent sur votre site.
- Bannières de consentement contextuelles : L'insertion d'un lien vers votre politique en matière de cookies et de protection de la vie privée dans une bannière de consentement permet à vos utilisateurs de voir automatiquement le document lorsqu'ils accèdent à votre site web.
- Centre de confidentialité : Si votre association dispose d'un grand nombre de politiques juridiques et que vous souhaitez que vos utilisateurs les trouvent rapidement, ajoutez à votre site un centre de confidentialité qui héberge tous les documents applicables, y compris votre politique de confidentialité.
- Partout où des données sont collectées : Créez un lien vers votre politique de confidentialité partout où vous recueillez des données auprès des utilisateurs, par exemple dans les formulaires de paiement, les portails de création de compte et les formulaires d'inscription à la lettre d'information.
Résumé
Les organisations à but non lucratif qui collectent, traitent ou utilisent des informations personnelles doivent disposer d'une politique de protection de la vie privée complète.
Il est possible que les lois sur la protection de la vie privée vous obligent directement ou indirectement à en avoir un, mais vos utilisateurs s'attendent également à en trouver un sur votre site web ou dans votre application.
En ce qui concerne la confidentialité des données, les organisations à but non lucratif doivent tenir compte d'autres lois et réglementations que les lois générales sur la protection de la vie privée des consommateurs.
N'oubliez pas de garder cela à l'esprit lorsque vous vous apprêtez à créer le vôtre.
Écrit par Natasha Piirainen
Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.
Lire tous les articles de Natasha Piirainen
Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic est conseillère juridique et directrice mondiale de la confidentialité Termly. Elle est titulaire d'un diplôme en droit de l'université de Belgrade. Elle est spécialisée dans la mise en œuvre, le contrôle et l'audit de la conformité des entreprises aux réglementations en matière de confidentialité (HIPAA, PIPEDA, directive ePrivacy, RGPD, CCPA, POPIA, LGPD).
Lire tous les articles révisés par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
