Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Il est applicable à tous, donc et y compris aux ASBL.
Toute information permettant d’identifier directement ou indirectement une personne physique constitue une « donnée à caractère personnel ». Avec Infodons, vous collectez des données à caractère personnel qui tombent dans le champ d’application de ce nouveau règlement. Des contrôles sont annoncés pour en vérifier l’application. Bien qu’ils soient probablement axés sur les structures importantes qui gèrent énormément de données, le risque zéro n’existe pas et les amendes administratives sont exorbitantes.
Que faire à présent ? De notre côté, nous avons mis Infodons en conformité avec le RGPD depuis la version 5.0.17 du 04.05.2018. Installez-la sans retard. D’autre part, vous avez un rôle déterminant pour mettre l’usage d’Infodons dans votre institution en conformité avec le RGPD. Nous vous invitons à examiner les différents points développés ci-dessous et à adapter votre pratique.
-
Le consentement (opt-in) est obligatoire pour la collecte et l’échange de données personnelles.
-
Effectuer un don susceptible de faire l’objet d’une attestation fiscale est un consentement implicite. En effet, il s’agit bien de collecter les données qui pourraient être nécessaires pour remplir une obligation légale.
-
Pour une personne physique, il s’agit du nom, du prénom, de l’adresse complète, du montant et de la date du versement et optionnellement du numéro national (NISS) ou la date de naissance.
-
De plus, Infodons utilise le numéro de compte donneur d’ordre pour identifier avec certitude le donateur dans l’enregistrement automatique des dons au départ des extraits de compte électroniques (CODA).
-
Il est donc clair que:
-
l’enregistrement d’informations additionnelles telles qu’un numéro de téléphone ou une adresse email doivent faire l’objet d’un consentement.
-
Il n’est plus possible de collecter ou d’échanger des fichiers de données, quel que soit leur format, sans le consentement explicite des personnes concernées.
-
Avoir une politique de limitation des informations conservées :
-
Limiter le nombre d’années d’attestations fiscales conservées. Éliminer le surplus par Traitements par lots > Suppression d’une année d’attestations fiscales.
-
Limiter le nombre d’années de versements conservées.
-
Éliminer le surplus par Traitements par lots > suppression d’une année de versements.
-
Attention, en cas de suppression de versements, les totaux annuels sont reportés dans le mémo de la fiche donateur. Voyez s’il ne faut pas le mettre à jour. C’est une opération manuelle.
- Dédoublonner les adresses à l’aide du Rapport > Doublons: liste des doublons possibles sur les personnes actives avec étiquette.
-
Supprimer les adresses marquées comme inactives. C’est une opération manuelle: Fiche donateur (adresses seules ou adresses et versements) > Critère de recherche « Inactifs » > Menu Fichier > Supprimer l’enregistrement courant. Attention, seules les fiches ne comportant aucun don peuvent être supprimées.
-
Éliminer toute personne ayant quitté l’organisation en tant qu’utilisateur d’Infodons: Menu Administration > Utilisateurs > Menu Fichier > Supprimer l’enregistrement courant.
-
Compacter régulièrement la base de données. En effet, toute action de suppression d’un enregistrement ne fait que le marquer, mais il reste consultable par un logiciel approprié. Menu Fichier > Maintenance de la base de donnés options Inclure tous les fichiers et Compacter.
-
Éliminer périodiquement les fichiers produits par Infodons qui sont aisément consultables par d’autres applications :
-
les documents Microsoft WORD et EXCEL « inutiles » conservés dans le répertoire \OleDocs. Reportez-vous au manuel administrateur de décembre 2018, chapitre 2 « Installation », rubrique « Autres fichiers de support » pour la liste des fichiers devant absolument figurer dans ce répertoire. Tout le reste peut être éliminé.
-
Les fichiers cod traités conservés dans le répertoire \coda\PROCESSED : ils contiennent le nom, l’adresse, le numéro de compte et les versements de vos donateurs.
-
Les fichiers xml créés pour l’importation d’adresses dans le dossier \Import.
-
Les fichiers xml et bow créés pour la préparation du fichier Belcotax dans le dossier \XML. Ils contiennent la liste des donateurs ayant reçu une attestation fiscale pour l’année concernée et le montant total des versements.
- Les fichiers pdf, rtf ou xls générés au départ de la barre d’outils des rapports sauvegardés dans « Mes documents ».
-
Gérer les sauvegardes:
-
Les backups réalisés au départ d’Infodons sont au format zip. Il s’agit d’un conteneur comprenant l’intégralité de la base de données et de ses répertoires annexes (OleDocs, etc.) En principe, chaque backup est déposé sur le bureau de votre PC. À vous de le conserver en lieu sûr. Nous vous invitons à
lire les éléments de la FAQ consacrée aux backups.
-
Consultez votre service IT s’il se charge des sauvegardes.
- Être attentif à la notion de traitement.
Selon le RGPD, un traitement c’est « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
- Infodons enregistre automatiquement toute opération matérielle de création, modification ou suppression d’enregistrement de donateur, de versement et d’attestation fiscale. Un rapport de ces opérations peut être imprimé.
- Infodons n’enregistre pas de journal sur les opérations de sauvegarde (voir ci-dessus).
- Infodons n’enregistre pas de journal sur les opérations relevant de l’exploitation de la base de données que ce soit sous forme de rapports, d’étiquettes, de documents Word ou Excel. Une suggestion de bon sens serait la tenue d’un registre des exploitations en Excel, avec une ligne par traitement important. Par exemple « XX XXX étiquettes produites le XX/XX/XXXX pour adresser la revue trimestrielle. »
- Empêcher l’accès aux données autrement que par Infodons :
la base de données d’Infodons est en Microsoft Visual FoxPro 9.0. C’est une base de données fichiers installée sur un PC ou un serveur. Le contenu de ces fichiers est aisément consultable par toute personne disposant d’un accès au répertoire contenant la base de données aussi simplement qu’avec le bloc notes de Windows. De plus, les données extraites d’Infodons (attestations fiscales en Microsoft Word et extractions en Microsoft Excel) sont accessibles sans restriction dans la répertoire \OleDocs. L’unique solution est le chiffrement des données (encryption) à l’aide d’un produit commercial. Nous pouvons vous proposer à ce sujet la solution ESET ENDPOINT ENCRYPTION https://www.eset.com/be-fr/professionnels/endpoint-security/encryption/ qui vous permettra d’être en ordre pour quelques dizaines d’euros par an.
-
L’institution doit mettre en place une procédure de détection des fuites de données, présenter les mesures de précaution prises et leur conformité en cas de fuite.
-
Une déclaration de confidentialité est obligatoire pour toutes les personnes utilisant Infodons.
-
Limiter l’accès à l’application :
-
Deux accès à infodons sont possibles:
-
Le premier par nom d’utilisateur et mot de passe. Dans ce cas, invitez les utilisateurs à changer régulièrement leur mot de passe.
-
Le deuxième est direct, pour autant que le nom d’utilisateur corresponde à celui du profil Windows utilisé. Vous pouvez désactiver cette fonctionnalité. Voyez à ce sujet le manuel administrateur, sous le titre « Ouverture de session instantanée ».
-
Veiller à donner aux utilisateurs le niveau le plus bas possible.
-
Les prérogatives de chaque type d’utilisateur sont données dans le manuel administrateur sous la rubrique « Trois niveaux d’utilisateur ». Retenez que l’utilisateur de niveau:
-
« administrateur » peut tout faire, y compris les sauvegardes, les exportations EXCEL et WORD et tous les traitements par lots.
-
« utilisateur » peut tirer des rapports, des listes et des étiquettes.
-
« invité » ne peut que consulter.
-
La manière de définir le niveau de chacun est décrite sous le titre « Définition des différents utilisateurs ».
-
Les institutions de grande taille doivent nommer un DPO (Data Protection Officer) interne ou externe, qui sera le gardien du respect des données. Ce point n’est pas développé ici, car, en principe, elles ont été sensibilisées au RGPD depuis plusieurs mois.
