Politique de protection des données personnelles

Dernière mise à jour et revue de conformité : 05/03/2026

L’Organisation pour la Prévention de la Cécité (OPC) s’engage à respecter le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (RGPD), la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, ainsi que l’ensemble des textes réglementaires français et européens applicables.

1. Responsable du traitement

2. Point de contact RGPD

L’OPC a désigné un point de contact RGPD, joignable à :

3. Finalités de la collecte

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

• Transmission de la communication institutionnelle
• Prospection des donateurs et appels aux dons
• Gestion des dons, legs, donations et assurances-vie
• Opérations de communication et de sensibilisation
• Gestion des bénéficiaires de nos programmes
• Gestion des adhérents et des cotisations
• Gestion des ressources humaines
• Gestion des délégués en région
• Gestion de partenariats et de mécénats
• Organisation d’événements de collecte de fonds
• Gestion des signataires de pétitions
• Gestion des demandes d’exercice des droits
• Gestion et sécurité du système informatique

4. Bases légales

Chaque traitement de données repose sur l’une des bases légales prévues par l’article 6 du RGPD :

• Intérêt vital de la personne (art. 6.1.d) — traitement de données à des fins humanitaires
• Intérêt public (art. 6.1.e) — transmission de données à l’administration fiscale
• Nécessité contractuelle (art. 6.1.b) — traitement dans le cadre d’un contrat de travail
• Respect d’obligations légales (art. 6.1.c) — gestion de la paie
• Consentement (art. 6.1.a) — envoi de newsletters. Vous pouvez retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.
• Intérêt légitime (art. 6.1.f) — prévention de la fraude

5. Durées de conservation

Vos données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées. À l’expiration de ces durées, elles sont supprimées ou anonymisées.

6. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d’accès (art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
• Droit à l’effacement (art. 17) : demander la suppression de vos données
• Droit à la limitation (art. 18) : demander la suspension du traitement
• Droit d’opposition (art. 21) : vous opposer au traitement, notamment à des fins de prospection
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine
• Droit de retirer votre consentement (art. 7) : à tout moment, sans affecter la licéité du traitement antérieur
• Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : organiser le sort de vos données après votre décès

Comment exercer vos droits

Adressez votre demande, accompagnée d’un justificatif d’identité, à :

L’OPC s’engage à répondre dans un délai d’un mois. Ce délai peut être prolongé de deux mois en cas de complexité.

7. Droit de réclamation

Si vous estimez que le traitement de vos données n’est pas conforme, vous pouvez introduire une réclamation auprès de la CNIL :

8. Destinataires et sous-traitants

Vos données personnelles peuvent être communiquées aux catégories de destinataires suivantes :

• Membres habilités du personnel de l’OPC, dans la limite de leurs attributions
• Prestataires techniques (hébergement, maintenance, outils d’emailing, plateforme de dons)
• Partenaires institutionnels, dans le cadre de projets conjoints (avec consentement si nécessaire)
• Autorités publiques, sur demande légitime

L’OPC sélectionne des prestataires offrant des garanties suffisantes conformément à l’article 28 du RGPD. Des accords de sous-traitance sont conclus avec chaque prestataire.

9. Transferts hors Union européenne

Vos données sont principalement traitées au sein de l’Union européenne. Toutefois, certains de nos prestataires étant établis aux États-Unis, des transferts de données hors de l’UE/EEE peuvent avoir lieu dans les cas suivants :

Google LLC (via Google Ireland Limited) — États-Unis

Finalité : mesure d’audience (Google Analytics 4), gestion des balises (Google Tag Manager), référencement (Google Search Console), publicité (Google Ad Grant). Données transférées : identifiants en ligne, adresses IP anonymisées, données de navigation. Le contrat est conclu avec Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlande). Garanties : Google LLC est certifié au titre du EU-US Data Privacy Framework depuis août 2023. Google s’appuie également sur les CCT pour l’ensemble de ses services publicitaires et analytiques.

Meta Platforms, Inc. (via Meta Platforms Ireland Limited) — États-Unis

Finalité : communication sur les réseaux sociaux et publicité ciblée (Meta Pixel, Facebook, Instagram). Données transférées : identifiants en ligne, données de navigation, données d’interaction. Le contrat est conclu avec Meta Platforms Ireland Limited (Merrion Road, Dublin 4, Irlande). Garanties : Meta Platforms, Inc. est certifié au titre du EU-US Data Privacy Framework. Des CCT sont également en place.

Mécanismes de transfert utilisés

Les transferts vers les États-Unis sont encadrés par les mécanismes suivants, conformément au chapitre V du RGPD :

• Décision d’adéquation — EU-US Data Privacy Framework (article 45 RGPD) : décision d’adéquation de la Commission européenne du 10 juillet 2023, applicable aux entreprises américaines certifiées. Google LLC, Meta Platforms, Inc. et Intuit Inc. (Mailchimp) sont certifiés au registre officiel du DPF (dataprivacyframework.gov).
• Clauses contractuelles types (CCT) (article 46.2.c RGPD) : clauses adoptées par la Commission européenne (décision d’exécution 2021/914 du 4 juin 2021), intégrées aux accords de sous-traitance (DPA) de chaque prestataire. Les CCT constituent un mécanisme de transfert complémentaire et alternatif en cas d’invalidation du DPF.

Les données traitées par Brevo (emails) et HelloAsso (dons) restent hébergées au sein de l’Union européenne et ne font pas l’objet de transferts hors UE/EEE.

Le EU-US Data Privacy Framework fait l’objet de contestations juridiques. L’OPC surveille l’évolution de ce cadre et s’engage à adapter ses mécanismes de transfert en cas d’invalidation de la décision d’adéquation par la Cour de justice de l’Union européenne.

10. Sécurité des données

L’OPC met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 RGPD). Ces mesures comprennent notamment :

• Chiffrement des données sensibles en transit et au repos
• Contrôles d’accès stricts, fondés sur le principe du moindre privilège
• Mise à jour régulière des systèmes et logiciels
• Sensibilisation du personnel aux enjeux de la protection des données
• Procédures de sauvegarde et de restauration
• Plan de réponse aux incidents, incluant la notification à la CNIL dans les 72 heures en cas de violation (article 33 RGPD)

11. Prise de décision automatisée

L’OPC n’effectue pas de prise de décision entièrement automatisée, y compris de profilage, produisant des effets juridiques ou affectant significativement les personnes concernées, au sens de l’article 22 du RGPD.

12. Définitions

Donnée personnelle (article 4 du RGPD) : Toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom) ou indirectement (numéro d’identification, donnée de localisation, identifiant en ligne).

Traitement de données (article 4 du RGPD) : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, extraction, consultation, utilisation, communication, effacement, destruction).