Le RGPD et les données de don

Le RGPD est une affaire de longue haleine. Une fois les grands principes assimilés (consentement, accountability), une fois les grandes règles prises en compte (registre des traitements, mesures de sécurité), la mise en œuvre au quotidien soulève diverses questions d’aspect pratique telle que le lien concret entre les données et la durée de conservation à leur appliquer.

Mise en perspective de la question

Il faut insister – on ne le dit pas assez – sur le fait qu’appliquer une durée de conservation à une donnée (isolée, unitaire) n’a guère de sens. Une donnée toute seule, même un nom de personne ou un numéro de carte bancaire, ne signifie rien. La signification, donc l’utilisation (licite ou non), n’apparaît qu’avec l’agrégation de plusieurs données, soit dans l’identification des éléments qui décrivent une action (un paiement par exemple), soit dans la documentation d’un objet ou d’une personne en prévision d’une action (les données de santé d’un patient ou l’historique des achats d’un client).

Un des enjeux du RGPD est donc d’identifier à quel groupe de données s’applique telle durée de conservation. C’est une des valeurs ajoutées de la méthode Arcateg sur les habituelles listes de types de données ou de noms de documents qui trop souvent s’arrêtent au milieu du gué…

Une personne de mon réseau vient de me poser la question de la durée de conservation des données figurant dans les « bulletins de don » à des œuvres humanitaires ou caritatives. Les données des bulletins reçus et les paiement joints sont saisis dans une base de données et traitées pour différentes finalités: gestion des dons, édition d’un reçu fiscal pour le donateur, contact ultérieur du donateur pour un nouvel appel, etc. S’agit-il de données fiscales (durée de conservation coutumière de 6 ans) ou de données comptables (que l’on garderait alors 10 ans selon la durée légale)? La nature de ces données n’est pas nouvelle. L’intérêt d’attribuer aux documents une durée de conservation pour une bonne maîtrise de l’archivage n’est pas nouveau. L’exigence de veiller à la protection des données personnelles n’est pas nouvelle car elle figure déjà dans la loi de 1978 qui a créé la CNIL (Commission nationale Informatique et Libertés). Ce qui est nouveau, c’est l’impact du RGPD dans la société, avec la prise de conscience de la responsabilité des entreprises, la reconnaissance du droit des personnes sur leurs données, et le risque à ne pas gérer l’information engageante (créatrice de droits et d’obligations) et/ou sensible (confidentielle, personnelle) collectée, exploitée ou transmise à un tiers. En conséquence, la question de la durée de conservation des données remonte un peu sur le dessus de la pile.

Chercher la durée de conservation de telles ou telles données en cliquant sur Internet dans l’espoir de trouver une réponse toute faite dans une liste ou un tableau prédéfini est une illusion, pour trois raisons:

1. il n’existe pas de listes exhaustives et fiables des durées de conservation en entreprise (et il ne peut pas en exister!);
2. un nom de document est insuffisant à définir sa valeur dans un contexte donné: deux documents portant la même appellation peuvent contenir des informations différentes; les mêmes données peuvent exister ailleurs, en totalité ou en partie; le document lui-même peut exister en double, en plusieurs versions, en plusieurs copies ; or, la gestion d’un exemplaire de référence sans prendre en compte l’existence d’autres exemplaires – que ce soit pour la valeur de preuve ou le besoin d’information – est partielle.
3. le risque de conserver ou détruire des documents/données ne s’apprécie pas de la même façon d’une entreprise à l’autre car l’environnement, les enjeux, les usages ne sont pas les mêmes.

Et quand on s’intéresse à comment font les autres, on réalise que les pratiques sont très hétérogènes (du reste, il ne faudrait pas conclure trop vite que cette hétérogénéité est illégitime, mais c’est un autre sujet). Le RGPD le dit: c’est à chaque entreprise de justifier de la conservation de ces données. Il ne faut pas copier son voisin; il faut réfléchir! Ceci est vrai en général et donc dans ce cas particulier des données relatives aux donateurs et aux dons à une association.

Raisonnement Arcateg sur les données relatives aux dons aux associations

Arcateg invite à aborder la question à partir de la relation au sein de laquelle les documents (au sens de groupe de données créé pour une finalité identifiée à un moment précis) sont créés et utilisés; puis, dans le contexte de cette relation, à procéder à l’analyse de risque de conservation ou de destruction des données liées à chaque interlocuteur en cause (émetteur, personne concernée, destinataire, autorité de contrôle, tiers) afin de formaliser la justification de la meilleure durée de conservation. C’est le principe de l’étoile Arcateg.

En l’occurrence, on peut distinguer quatre relations au sein desquelles les données et les documents qui les contiennent jouent un rôle:

1. la relation entre le donateur et l’association (échange d’un don contre un reçu fiscal)
2. la relation de l’association vers le donateur (appel aux dons)
3. la relation entre l’association et les autorités de contrôle (prouver la transparence comptable et fiscale)
4. la relation entre l’association en tant qu’entité juridique propriétaire des données et les héritiers de cette association, c’est-à-dire les membres de l’association dans le futur et le public en général (besoin de mémoire des activités de cette association).

Dans les quatre contextes, les données à caractère personnel sont issues du donateur et, vu que c’est lui (ou elle) qui a l’initiative du don et donc de la collecte des données par l’association, on peut en inférer qu’il donne non seulement son argent mais aussi son consentement. Ce consentement est cependant implicite pour cette seule finalité.

Nous avons donc quatre « objets » distincts à documenter:

1. L’acte de don

Le seul risque, du point de vue du donateur, est de ne pas recevoir le reçu fiscal correspondant à son don ou de voir ce reçu contesté par l’administration fiscale. Le délai de contrôle fiscal étant, pour les particuliers, de trois ans, on peut fixer à trois ans la durée de conservation minimale de son bulletin par l’association. Du point de vue de l’association, il est possible d’émettre un reçu fiscal sur la foi des informations de sa base de données constituée à partir des bulletins de don reçus, même si les originaux des bulletins ont été détruits (il ne s’agit pas de copie fiable au sens du scan prévu par la norme NF Z42-026 mais d’une recopie des données par saisie dans un outil et dont la qualité aurait été contrôlée). C’est la même démarche que celle d’un DRH émettant une attestation pour un salarié à partir d’un SIRH et non des documents originaux qui ont servi à alimenter le SIRH, dès lors que ce DRH a suffisamment confiance dans son SIRH pour engager sa responsabilité à partir de la base de données.

Une fois la durée de conservation fixée et justifiée, il faut penser à l’appliquer à tous les fichiers créés à partir de ces données et pas seulement aux documents envoyés par le donateur et à la base de données. Par exemple, certaines associations envoient des mails de confirmation de don, reprenant les mêmes données personnelles: ces mails doivent être gérés par ce même délai de destruction.

2. La gestion du donateur

Les mêmes données d’identification du donateur, voire celles relatives aux modalités du don lui-même, peuvent être réutilisée par l’association dans le cadre de campagne marketing d’appel à un nouveau don. Pendant combien de temps est-ce « licite »? Par défaut d’autres exigences, on peut fixer le délai de 5 ans, qui est à la fois le délai de prescription civile (code civil, article 2224) et le délai de prescription commerciale (code de commerce, article L110-4). Les « autres exigences » peuvent être tout simplement la volonté du donateur, exprimée à son initiative ou sollicitée au travers du formulaire de don.

3. La gestion du don (l’argent)

Les données relatives au don sont gérées par la comptabilité de l’association: bordereaux de chèques pour la banque, saisie des recettes dans le SI comptable, relevés de banque. La durée légale de conservation des documents comptables est de dix ans (code de commerce, article L123-22) et le délai de contrôle fiscal est de trois si tout va bien mais de six ans voire de dix ans en cas d’irrégularité. Par ailleurs, il est souvent difficile, sur le terrain de dissocier la valeur de justificatif comptable et la valeur de justificatif du respect des obligations fiscales, sauf en matière de TVA et encore (mais dans le cas des dons aux associations, il n’est pas question de TVA). Dès lors, la « durée opérationnelle » de dix ans semble pertinente. Dans ce processus comptable, le lien au donateur peut être anonymisé car l’identité du donateur n’est pas nécessaire à la comptabilité en tant que telle. Quel est le risque à ne pas disposer de l’identification des donateurs pour la gestion du don proprement dit ? Le risque d’un chèque en blanc, d’un compte bloqué, d’une fraude, de blanchiment d’argent sale…? Ceci se traduirait principalement pour l’association par un manque à gagner, sauf si des membres de l’association étaient eux-mêmes impliqués dans une opération illégale…

4. La mémoire des donateurs

Concernant la relation entre l’association et ses interlocuteurs futurs, bien qu’en marge des exigences de bonne gestion, la question de conserver durablement ou pas une liste, un registre des donateurs, ou du moins des principaux donateurs, peut se poser. On peut invoquer pour justifier ce choix la possibilité prévue par le RGPD de conservation à long terme dans le cadre d’un « traitement à des fins archivistiques dans l’intérêt public »; même quand il s’agit d’archives privées d’association, l’engagement humanitaire et caritatif relève de l’intérêt public. On peut imaginer que cette mémoire soit utilisée, dans longtemps, pour la communication de l’association par exemple, de même que certaines enseignes commerciales utilisent aujourd’hui d’anciennes (très anciennes) fiches clients pour la promotion de leurs produits.

La question de la conservation à long terme de données à caractère personnel pour cette finalité est évidemment indissociable de la question de l’accès, ou plutôt du « non-accès ». Autrement dit, la conservation « longue » est indissociable de la sécurisation de ces données pendant le temps de latence de leur non-utilisation, peut-être 30 ans (mais le délai général de prescription trentenaire a été supprimé par la loi du 17 juin 2008), ou en lien avec le délai de communicabilité de 75 ans prévu dans le code du patrimoine. Ce sujet est trop peu débattu.

Toutefois, quel que soit le souhait de l’association de garder une trace de ses donateurs dans un objectif de mémoire et de patrimoine informationnel pour demain, le consentement des personnes concernées (les donateurs) ne peut être aujourd’hui escamoté. Il est à prévoir que certains voudront rester anonymes (après émission du reçu fiscal) et que d’autres seront flattés par cet enregistrement. Il faut donc valider l’idée d’un tel registre, peut être limité à un certain montant, ou à une durée d’engagement ou selon un autre critère, puis, dans le cas où cette idée fait sens, obtenir le consentement des donateurs (via le bulletin de don). On peut aussi se contenter de statistiques et de témoignages.

Il va sans dire (mais ça va mieux en le disant) que si ces données sont gérées par un prestataire, le prestataire, comme sous-traitant, est co-responsable des traitements avec la direction de l’association.

En résumé

En conclusion, les durées de conservation des documents et données issues des dons aux associations pourraient être les suivants (avec le consentement des donateurs):

• dossiers de don (« dossier » pour désigner un ensemble: le bulletin original, les données de contact, les modalités et montant du don, les courriers/mails associés): 3 ou 5 ans, selon que l’on retient le délai fiscal du donateur ou le délai de la relation commerciale;
• justificatifs comptables et fiscaux: 10 ans, pour être pragmatique (en considérant que le tri serait plus complexe et plus coûteux que le « non-tri »), étant entendu qu’il n’y a pas là de données non utiles à la gestion financière;
• registre des donateurs (éventuellement) avec les données d’identification voire quelques bulletins spécimens: longue durée à condition expresse que l’accès à ces données soient suspendu (avec la sécurité adéquate en termes de localisation et de support) en attendant le délai de communicabilité au public.

Cela étant dit, il appartient à chaque association de faire ses choix en fonction de son activité, de sa sensibilité et surtout en fonction des risques à conserver versus risques à détruire, et de les justifier.