Campagnes d’aide relayées sur les réseaux sociaux, formulaires de dons en ligne, paiement par QR code: le don s’adapte depuis des années à la numérisation de la société. Le recueil de données par les organisations religieuses et caritatives aussi. C’est justement pour prendre en compte ces évolutions qu’une révision de la loi sur la protection des données (LPD), qui datait de 1992, est entrée en vigueur le 1er septembre. Elle oblige les organismes récoltant des dons à s’adapter. 

La confidentialité doit désormais faire partie de la conception même de toute récolte de données; le stockage doit être réalisé, par défaut, avec les paramètres de sécurité les plus élevés; enfin, les informations devenues non nécessaires doivent être détruites ou anonymisées. Les personnes concernées doivent être informées de la collecte d’informations les concernant et y accéder gratuitement, un droit déjà existant, mais renforcé: sous trente jours, il faut pouvoir fournir les données recueillies et expliquer le but de leur collecte. Des informations sensibles (voir encadré) ne peuvent être transmises à des tiers. Pour se conformer à ces règles, les organisations ont à prendre une série de mesures: «la conclusion de contrats de traitement des commandes avec des prestataires de services, l’établissement d’un registre des données traitées et des évaluations d’impact sur la protection des données», explique la Croix-Rouge suisse. Les dons de particulier·ères représentaient en 2022 la moitié du budget annuel de l’organisation, qui s’est très tôt assurée d’être en conformité avec la LPD.

Ces mesures changeront-elles les relations aux donatrices et donateurs? Pour beaucoup d’organismes caritatifs et d’ONG, pas de modifications drastiques. «Etant déjà soumis à la certification ZEWO (qui assure la transparence des organismes recueillant des dons, NDLR), nous sommes très attentifs à la transparence et au droit à l’oubli», explique Taoufik Arami, responsable de la levée de fonds pour l’Entraide protestante (EPER). Des adaptations sont cependant nécessaires. «Par exemple, il nous faut faire rimer droit à l’oubli avec nécessité de conserver des informations pour raisons comptables. Nous formalisons donc des procédures pour nous assurer que, si la trace d’un don peut être retrouvée au bout de dix ans, la personne donatrice, elle, ne peut plus être recontactée après ce laps de temps », précise le responsable. Un défi, car l’EPER travaille avec 90 % de donateurs réguliers et s’interdit, «en raison de ses valeurs», de contacter directement des personnes qui ne figurent pas dans ses bases de données. Pour ce qui est des nouveaux donateurs occasionnels, ciblés par exemple par une campagne en ligne, il faudra pouvoir expliquer «comment les données sont collectées, travaillées et protégées».

La LPD va-t-elle ainsi réduire le nombre de donateurs privés? A Lausanne, DM travaille aussi avec «une bonne frange de dons de personnes fidèles». 44,8 % de son budget provient de paroisses et de particuliers. La structure ne craint pourtant pas de pertes. «Pour nous, le défi avec cette loi sera davantage de formaliser les processus et de les expliciter pour les personnes qui reçoivent nos communications», explique Aline Mugny, responsable du pôle communication et mobilisation de l’organisme. Elle observe comme ses collègues «une sensibilité accrue» du public au sujet ces dernières années. Aux personnes inquiètes – à juste titre, tant les cyberattaques se sont multipliées –, la LPD offre aussi des garanties accrues en matière de sécurité.