Bonjour aux moules,
Un petit journal pour ouvrir une discussion liée au respect de la vie privée numérique dans le monde associatif. Je viens d'avoir une mauvaise expérience avec un site associatif qui gère des cagnottes en ligne (type pot de départ ou petit achat commun). Nommer le site ne servirait à rien, il est suffisamment connu pour le retrouver facilement de toutes manières.
Le contexte, c'est que le site déborde d'éléments de langage de "coolitude" sur à quel point c'est mieux de passer par le secteur associatif; il n'y a pas de frais obligatoires, et une part des cagnottes est reversée à des associations; les membres de l'association sont jeunes, ils te tutoient, il y a des petits coeurs, toussa toussa. Un peu moins cool, il y a quelques dark patterns sur les "pourboires" facultatifs qui fait qu'il faut être bien motivé pour ne pas payer de frais, mais ce n'est pas de ça dont je veux parler.
Les choses se corsent au moment où on veut récupérer les sous. Il faut évidemment s'identifier, fournir un RIB, mais surtout prouver son identité. Et là, ça commence à être crade. Il y a une redirection masquée (parce que le logo de l'association ne quitte pas l'écran) vers un prestataire tout ce qu'il y a de peu associatif (ubble.ai, la filiale française du groupe UK "checkout.com") qui promet à grand coup de discours crypto-techno d'identifier n'importe quel quidam grâce à l'IA et la reconnaissance faciale. La procédure est un cauchemar (et pourtant, je pense être moins tatillon que d'autres sur la préservation de la vie privée en ligne): zero accessibilité, la procédure implique un smartphone Android ou Apple (même si on a tout fait sur un ordinateur, il faut trouver un smartphone pour s'identifier). Il faut ensuite utiliser la caméra du smartphone pour filmer une vidéo de plusieurs dizaines de secondes d'une pièce d'identité sous format carte de crédit, recto-verso, en modifiant l'angle pour faire briller les hologrammes, puis de filmer son visage plusieurs secondes de face et de profil. S'ensuit une "validation", qui peut durer de quelques secondes à plusieurs heures (j'imagine que si l'IA se vautre, il y a une vérification manuelle). Pour moi, il y a eu trois échecs sur 4 tentatives—c'est d'une fiabilité à toute épreuve --, et les instructions pour retenter sont de changer sa pièce d'identité ou de changer de smartphone.
Chose importante en terme de consentement, il n'est pas possible de renoncer à cette identification sans annuler la cagnotte, et de payer des frais d'annulations. Il ne semble exister aucune autre procédure pour prouver son identité, les seuls conseils sont de changer de smartphone ou de changer de pièce d'identité. Tout est automatisé et on ne peut pas entrer en contact avec le site qui gère l'autentification.
Alors j'imagine que je suis bien ignorant et que l'identification sur les réseaux sociaux sensibles ou les sites de pr0n passent par une procédure équivalente, mais je me suis quand même plaint à cette association d'embarquer les gens dans une telle horreur. Ça ne leur a pas plu, leur argument étant que cette procédure est imposée par la loi, que leur prestataire est certifié, et que c'est pas cool de douter de l'éthique de gens qui marquent partout sur leur site qu'ils sont cools.
Ce que j'ai compris de la situation, c'est que ce genre d'activité est très encadrée, parce que particulièrement propice au blanchiment ou autres combines malhonnêtes. Il s'agit d'une activité d'intermédiaire financier, qui relève du secteur bancaire; par ailleurs, les associations dont l'activité est commerciale et en compétition avec le secteur privé sont beaucoup plus régulées que les associations non-commerciales.
Je pense que je comprends ces arguments, mais qu'ils ne me convainquent pas, pour plusieurs raisons, la plus importante étant que les concurrents privés ne font pas appel à ce genre de technologie intrusive, et que même s'ils y étaient obligés, rien ne les empêchent de laisser le libre choix du consentement (en veillant par exemple à ce que la procédure d'identification ait lieu à l'ouverture du compte). D'une manière plus générale, est-ce qu'il existe des listes de prestataires éthiques auxquels le monde associatif peut faire appel, et ne serait-il pas plus sain de renoncer à une activité associative quand elle implique de livrer les adhérents à des violations manifestes de leur vie privée? Pour tout dire, je suis surpris de la légèreté du traitement de ce genre de problèmes dès qu'on sort du monde du logiciel libre.
# TiBillet
Posté par raphj (site web personnel) . Évalué à 5 (+4/-1). Dernière modification le 25 février 2026 à 17:03.
Pas sûr d'avoir tout compris, mais peut-être que TiBillet, un genre d'HelloAsso libre, dont j'ai découvert l'existence la semaine dernière à AlpOSS (je me demande si ce n'est pas dans la présentation de Bookynette, ou une présentation la précédant), peut apporter un élément de réponse ?
J'ai pas essayé.
Sinon, pour la légèreté du traitement des données privées dans les assos : effectivement, souvent c'est géré par des bénévoles, qui ne sont pas nécessairement sensibilisé·es / formé·es à la question, qui ne savent par forcément comment faire, et qui utilisent la solution dont iels ont entendu parlé. À nous de continuer la sensibilisation et de pousser les bonnes solutions :-)
[^] # Re: TiBillet
Posté par arnaudus . Évalué à 10 (+8/-0).
Le "service" est relativement simple, c'est le principe d'une cagnotte. Tu envoies un lien à plein de gens, les gens s'y connectent, payent le montant de leur choix par carte, et le propriétaire de la cagnotte récupère le montant pour faire ce qu'il en censé faire avec. C'est le même principe que faire circuler une enveloppe, mais ça permet de toucher des gens qui ne sont pas présents physiquement, et on se passe d'argent liquide.
D'après la liste des fonctionnalités, https://tibillet.org/fr/roadmap/, "crowdfunding", "dons", "tips" est présent mais pas coché (donc prévu, mais pas encore développé).
Sur le fond, c'est difficile de pousser vers les bonnes solutions si ces solutions n'existent pas, et c'était un peu le sens de ma question. Si la loi t'impose réellement de vérifier les identités de manière équivalente à ce que ferait une banque en présentiel (avec photocopie de la pièce d'identité pour les archives), tout ça pour acheter en commun le café du mois de mars, je trouve que la question de la légitimité du service se pose. En tant qu'association, tu peux ne rien faire (en prétextant éventuellement ton ignorance en cas de contrôle), ou de te conformer au strict minimum (par exemple, réserver la vérification aux gros montants, préférer la vérification du nom sur le RIB, etc), mais l'option "allez, ballec, on paye une presta et on ne met pas le nez dedans", j'ai du mal à comprendre. Dans le cas présent, ça me fait penser à une AMAP qui ferait livrer des paniers bio par Amazon : il y a comme un problème de cohérence.
[^] # Re: TiBillet
Posté par raphj (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 25 février 2026 à 21:21.
Oui, effectivement, il y a des chances que la seule manière légale de faire un don ou une cagnotte sans partager ces informations d'identité soit par espèces…
En effet !
En particulier pour le café du mois de mars, l'espèce me parait beaucoup plus appropriée, mécaniquement toutes les parties concernées se retrouve dans un même lieu physique pour le coup.
Bah, c'est pratique et moins risqué : la gestion est beaucoup plus simple, moins lourd et moins de risque de mal gérer les aspects légaux. L'alternative que je vois c'est de mettre le RIB à disposition, bien croiser les choses sur le relevé bancaire, espérer que les gens vont mettre un libellé lisible et bien partager les informations qu'il faut partager. Et il faut potentiellement que les gens attendent les 48h ou 72h que leur banque impose pour enregistrer un RIB. Cette lourdeur, c'est un coup à ce que les gens ne donnent même pas.
C'est loin d'être trivial, même sans le ballec.
Mais c'est sûr que ça vient avec son lot de problèmes.
# Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 10 (+7/-0).
Je ne savais même pas qu'ils offraient cette possibilité.
L'idée de HelloAsso à la base en tous cas c'est de faciliter la vie des associations et pas des particuliers. Du coup je me doute qu'ils ont bcp plus de contraintes, car dans le cadre d'une asso loi 1901 qui manipule de l'argent la déclaration en préfecture est obligatoire, et on passe par une banque qui (dans notre cas en tous cas) demande à chaque nouveau bureau de revenir avec les nouveaux élus, carte d'identité en main, et on crée les accès personnalisés. Donc je pense que la vérification de l'identité est déportée sur la banque.
Après ça a peut-être changé entre temps (on s'en sert depuis 4 ou 5 ans je pense).
Sinon pour me servir régulièrement de HelloAsso pour mon asso :
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Transfert entre particuliers
Posté par arnaudus . Évalué à 5 (+2/-0).
C'est pas HelloAsso :-) mais pour le reste, je suis d'accord.
[^] # Re: Transfert entre particuliers
Posté par devnewton 🍺 (site web personnel) . Évalué à 5 (+2/-0).
Tu peux peut être dire aux gens de s'inscrire avec des infos fantaisistes ?
Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board
[^] # Re: Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0).
Si par "les gens" tu parles des membres de l'asso qui effectuent un paiement, le seul truc demandé c'est nom/prénom/email pour le reçu, et rien n'est vérifié : tu peux signer Paul Bismuth si tu veux, juste que le trésorier va gueuler parce que du coup il sait plus qui a payé ou pas ^^.
Le soucis de l'identité vérifiée c'est quand tu veux récupérer l'argent, pas quand tu veux en donner ;)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Transfert entre particuliers
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
entrée gratuite, sortie payante…
et vu les difficultés décrites pour récupérer les sous ça doit leur en faire un petit pactole…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0).
Attention à bien suivre la conversation, je parle de HelloAsso et en fait c'est pas l'objet du journal. Il n'y a pas du tout ces problèmes, et c'est réellement sans frais (ils fonctionnent uniquement avec les dons).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Transfert entre particuliers
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
En effet, j’ai réagi à la dernière phrase, en ayant le journal en tête. Bien que je sois d’accord pour que les sous ne soient pas remis au premier quidam venu, on a l’impression que la procédure est foireuse (ou que tout est fait pour décourager les bénéficiaires) mais qu’il ne faut surtout pas s’en plaindre (comme quand le raquetteur te menace de ne penser à moufter.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Transfert entre particuliers
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
N'hésite pas à filer le nom de l'asso, on peut sans aucun souci s'arranger pour leur faire un procès pour non respect du principe de minimisation comme c'est arrivé à la SNCF :p .
[^] # Re: Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 5 (+2/-0).
Alors je vais pas dénoncer mes copaings, j'ai été trésorier pendant des années dans cette asso et je reste membre de cette asso :)
Je ne sais pas qui tu es, mais tant que tu n'as pas été lésé tu ne peux pas faire de procès (t'es pas flic, t'es pas là pour faire respecter la loi). Sauf si tu es membre d'une asso avec des pouvoirs particuliers reconnus par l'État comme anticor par exemple.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Transfert entre particuliers
Posté par Misc (site web personnel) . Évalué à 10 (+7/-0).
Alors dans un cas normal, sans doute.
Mais pas ici, et je vais le montrer en musique.
Tu parles de "trucs médicaux comme les allergies", ce sont des données de santé, donc ça tomberais sous le coup de l'article 9 du RGPD. Je rappelle que pour la CJUE, il faut interpréter l'article 9 de façon large (cf l'affaire Lindenapotheke, partie iii.2). La légalité du traitement est donc déterminé par les cas d'exceptions du paragraphe 2. À vue de nez, il y a soit le a) "consentement explicite" ou le d) "groupe politique/religieuse/syndicale pour la gestion de ses membres". Le reste s'applique pas.
Tu parles de sport, donc je suppose que l'exception "d" est out, sauf si ton club de sport est un club de danse pour derviches tourneurs, car ça rentrerais dans "association religieuse". Mais même la, ça ne veut pas dire que tu peux traiter n'importe quoi.
Donc il ne resterait que l'exception "a", à savoir s'assurer que le consentement est explicite, et de ce que tu dis, ça n'a pas l'air d'être le cas (et tu as raison de leur dire).
Il y a peut être des trucs dans le code du sport, mais je pense pas.
Mais bon, tout ça, ça ne marche que si quelqu'un se plaint, et en effet, il faut être impacté pour se plaindre sous le régime du RGPD, et sans m'inscrire, j'ai pas de qualité à agir.
Tu mentionnes qu'il faut passer par une assoce comme Anticor. Anticor ne peux pas faire grand chose, son agrément ne lui donne le droit d'ester en justice sur des histoires de corruption, et ça s'applique pas à ce que tu dis.
Il y a bien les actions de groupe, mais la seule assoce que je connais est NOYB et c'est une assoce de droit autrichien, c'est sans doute compliqué.
Mais…
(changement de musique)
Le droit français a une surprise en plus du RGPD, c'est l'article 226-19 du code pénal, l'interdiction de faire des listes basées sur les données sensibles, et ça comprends les données de santé.
Pour ce délit, une association peut se porter partie civile aux conditions décrites dans les articles du code de procédure pénal 2-1 (226-19 est explicitement mentionné) ou 2-17 (226-19 est dans le range 226-1 à 226-23), ou L1225-3.
Mousse, citée plus haut, ne rentre pas précisément dans le cadre de l'article 2-1, ni celui de L1225-3 (assez curieusement), mais pourrait peut être via le 2-17, et de toute façon, ne s'occupe pas des trucs de santé, donc ne ferait rien en pratique, car pas le temps. Des assoces comme Amnesty International pourraient plus facilement tomber dans les 3 articles, mais pareil, n'ont sans doute pas que ça à faire.
Donc c'est sans doute aussi mort.
Sauf que …. en dehors de ces 2 cas (association adéquate, ou être personnellement lésé), il reste une 3eme possibilité !
(changement de musique)
Car quand j'ai dit que Mousse ne rentre pas dans le cadre du 2-1, du 2-17 ou du L1225-3, c'est parce que j'ai regardé. Et j'ai regardé parce que Mousse a porté plainte spécifiquement contre la SG sur la base de l'article 226-19, sans que je comprenne pourquoi. Et j'ai fini par trouver.
Car l'article 226-19 du code pénal, il est… dans le code pénal.
Et comme tout ce qui est dans le code pénal, un particulier peut faire un signalement au Procureur de la République au titre de l'article 40 du code de procédure pénal.
Donc pas besoin d'être lésé ou d'être une assoce, il faut juste ressortir les vielles enveloppes jaunies du grenier, rayer l'adresse préremplie de la Kommandantur, mettre celle du Procureur, et paf, une bonne dénonciation des familles.
Et sauf erreur de ma part, ce dernier a obligation de répondre sous (je crois) 3 mois. Ou 6 semaines. Enfin, il y a une obligation de faire quelque chose.
Bien sur, en pratique, la réponse du procureur, ça peut être "non". En fait, ça va sans doute être "lol non, on a pas le temps", ou "on a fait suivre à la CNIL" qui va
s'en foutremettre le dossier sur la pile "à regarder après 2035".Il y a sans doute aucun risque d'aller devant un tribunal en pratique.
Mais ça, tu es pas obligé de le dire si tu veux convaincre les gens de respecter la loi.
Et j'ai regardé, le délai de prescription est de 6 ans) car c'est un délit, et ça commence à courir à la disparition du fichier car c'est un délit continu d'après un arrêt de la Cour de Cassation de 1997.
Comme tu peux le voir, clairement quelqu'un avec aucune vie, un sens de l'humour douteux et beaucoup trop de temps libre :(
[^] # Re: Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0).
Merci pour cette réponse j'adooore !
Ça oui ça peut être un argument pour virer de ce fichier ces données sensibles. Je vais remettre ça sur le tapis tiens.
Ah non je coinche. Un bon sens de l'humour j'ai bcp aimé le ton.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Même expérience de la vérification d'identité
Posté par jihele . Évalué à 3 (+1/-0).
J'ai ouvert un compte Wise l'autre jour et j'ai dû passer par une procédure similaire.
J'ai commencé sur l'ordi de bureau, puis j'ai été invité à passer sur un téléphone pour le scan du passeport et de ma tête. J'ai tenté sur la webcam de l'ordi portable du boulot, sans succès.
J'ai énormément galéré avec un téléphone. Peut-être que la caméra est pas top. Il y a effectivement le problème des motifs sur la photo qui génèrent des reflets brillants, il faut trouver le bon angle. Et la page qui scanne la photo a des traits pour indiquer où placer le document, mais vu la résolution de la caméra c'était trop petit, donc j'ai débordé allègrement pour utiliser toute la résolution de la page. Et ça restait encore un peu flou.
Comme je galérais avec le passeport, j'ai tenté une vieille carte d'identité mais le logiciel a détecté qu'elle était périmée.
Le passeport a fini par être reconnu et ensuite c'était au scan de mon visage que ça foirait. Je crois que le Firefox du téléphone n'arrivait pas à accéder à la caméra, ou pas en mode selfie, alors qu'il réussissait bien à scanner le doc juste avant. J'ai pourtant tenté de donner toutes les autorisations.
J'ai essayé de gruger le système avec le PC en simulant une webcam dans laquelle je streamais une photo de moi avec vlc mais ça a pas marché non plus…
J'ai fini par réussir avec la procédure "normale" (smartphone) avec le navigateur par défaut au bout de plusieurs essais.
Grosse galère, en tout cas. Je sais pas si d'autres y arrivent directement. Peut-être que leur caméra est meilleure.
[^] # Re: Même expérience de la vérification d'identité
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0).
Moi les 3-4 fois que j'ai essayé d'avoir un compte France Identité, ça n'a pas fonctionné à cause de la partie des photos, sur un google pixel donc qui a une caméra correcte.
# C'est vraiment une association ?
Posté par B r u n o (site web personnel) . Évalué à 2 (+1/-0).
Une chose m'interpelle dans ton histoire : tu es certain que l'intermédiaire qui gère les cagnottes est une association ? J'ai du mal à voir l'intérêt d'être une association dans un univers aussi réglementé que le crowdfunding.
Quand tu parlais de coolitude et de petits coeurs partout, j'ai pensé à Tribee, mais c'est une SAS d'après les mentions légales. Après, il y a une palanqué de plateforme qui montre des coeurs et de leurs proximité avec des associations …
Pour ton besoin de cagnotte, si c'est juste pour le café du mois de mars, il doit bien y avoir quelqu'un dans le service qui a un compte Revolut : il peut alors ouvrir une "Pocket" (c'est un sous-compte) et obtenir un lien qu'il peut partager pour récupérer des paiements (via un compte Revolut ou via paiement par carte bancaire). En plus il peut lier ce sous-compte directement à une carte bancaire pour dépenser l'argent qui est dessus (carte physique ou virtuelle).
Bref, une plateforme de cagnotte pour le café, c'est un peu exagéré, non ?
# Pourquoi ne pas nommer le site en question ?
Posté par jpglinuxfr . Évalué à 8 (+7/-0).
Merci vraiment d'avoir partagé ton expérience.
Les exemples ci-dessus montrent que ce n'est pas le cas.
Nommer le site permettrait d'en savoir plus, de vérifier, de leur écrire, de prévenir notre entourage, etc.
# LiberaPay ?
Posté par Mimoza . Évalué à 2 (+0/-0).
J’y ai fait des dons, mais j’ai jamais créer une cagnotte … donc je connais pas leur procédure de vérification.
Je veux bien un REX si quelqu’un est déjà passé par eux
[^] # Re: LiberaPay ?
Posté par arnaudus . Évalué à 3 (+0/-0).
Le principe est assez ingénieux vu le contexte, je trouve, puisque si j'en crois la FAQ la récupération de l'argent est confiée à un organisme dont c'est le métier (Stripe ou Paypal); à l'inscription tu donnes le compte Stripe/Paypal sur lequel l'argent sera versé. Par contre ça n'est pas fait pour les dons ponctuels, ça a l'air d'être limité aux dons récurrents.
[^] # Re: LiberaPay ?
Posté par jpglinuxfr . Évalué à 1 (+0/-0).
Liberapay
Pas mal à mon avis.
[^] # Re: LiberaPay ?
Posté par ... a little wood elfe . Évalué à 3 (+2/-0).
Oui, j'avais aussi une vision positive de Liberapay. Et puis récemment je me suis aperçu que la seule façon de verser de l'argent c'est de passer par Stripe ou Paypal. Et là j'ai un soucis : ces deux boites sont 1°) américaine et 2°) ont pour actionnaire non négligeable des gens peu recommandables comme Peter Thiel…
Personnellement c'est terminé j'évite comme la peste ces prestataires de paiement et tant pis pour les commerçants ou les appels aux dons qui ne propose qu'eux.
PS : il y a eu récemment pas mal d'articles sur Peter Thiel et il est facile de trouver en ligne des informations sur lui, je donnerais juste un lien qui enrobe ces informations d'un peu d'humour pour adoucir la prise de conscience
https://www.radiofrance.fr/franceinter/podcasts/charline-explose-les-faits/charline-explose-les-faits-du-mercredi-28-janvier-2026-4400423
# Wero + registre des dons
Posté par pas_pey . Évalué à 5 (+3/-0). Dernière modification le 27 février 2026 à 15:13.
Tu peux utiliser wero [1] et tenir un registre des dons, en donnant à chaque donateurice un numéro de reçu.
Ex : Astérix t'envoie 20 euros par wero. Tu lui réponds : bien reçu, tu es le 1er donateur, j'ajoute ton don au registre.
Idem pour Obélix et ses 15 euros, et pour Falbala et ses 30 euros (en incrémentant l'identifiant de don à chaque fois).
À la fin tu as un registre (un framapad par exemple) partagé, potentiellement anonyme si tu n'y mets que les numéros de reçus, où chacun retrouve son don et peut s'assurer que le gestionnaire de la cagnotte ne s'est rien gardé de côté.
Et pas besoin de plate-forme tierce aux pratiques potentiellement intrusives.
[1] https://wero-wallet.eu/fr/envoyer-de-largent
[^] # Re: Wero + registre des dons
Posté par raphj (site web personnel) . Évalué à 6 (+4/-0).
Wero demande d'utiliser une application mobile propriétaire tournant sur smartphone Android ou Apple. Pas moyen de faire un virement depuis une interface web ou autre.
On était si près d'un bon système…
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.