Bonjour aux moules,
Un petit journal pour ouvrir une discussion liée au respect de la vie privée numérique dans le monde associatif. Je viens d'avoir une mauvaise expérience avec un site associatif qui gère des cagnottes en ligne (type pot de départ ou petit achat commun). Nommer le site ne servirait à rien, il est suffisamment connu pour le retrouver facilement de toutes manières.
Le contexte, c'est que le site déborde d'éléments de langage de "coolitude" sur à quel point c'est mieux de passer par le secteur associatif; il n'y a pas de frais obligatoires, et une part des cagnottes est reversée à des associations; les membres de l'association sont jeunes, ils te tutoient, il y a des petits coeurs, toussa toussa. Un peu moins cool, il y a quelques dark patterns sur les "pourboires" facultatifs qui fait qu'il faut être bien motivé pour ne pas payer de frais, mais ce n'est pas de ça dont je veux parler.
Les choses se corsent au moment où on veut récupérer les sous. Il faut évidemment s'identifier, fournir un RIB, mais surtout prouver son identité. Et là, ça commence à être crade. Il y a une redirection masquée (parce que le logo de l'association ne quitte pas l'écran) vers un prestataire tout ce qu'il y a de peu associatif (ubble.ai, la filiale française du groupe UK "checkout.com") qui promet à grand coup de discours crypto-techno d'identifier n'importe quel quidam grâce à l'IA et la reconnaissance faciale. La procédure est un cauchemar (et pourtant, je pense être moins tatillon que d'autres sur la préservation de la vie privée en ligne): zero accessibilité, la procédure implique un smartphone Android ou Apple (même si on a tout fait sur un ordinateur, il faut trouver un smartphone pour s'identifier). Il faut ensuite utiliser la caméra du smartphone pour filmer une vidéo de plusieurs dizaines de secondes d'une pièce d'identité sous format carte de crédit, recto-verso, en modifiant l'angle pour faire briller les hologrammes, puis de filmer son visage plusieurs secondes de face et de profil. S'ensuit une "validation", qui peut durer de quelques secondes à plusieurs heures (j'imagine que si l'IA se vautre, il y a une vérification manuelle). Pour moi, il y a eu trois échecs sur 4 tentatives—c'est d'une fiabilité à toute épreuve --, et les instructions pour retenter sont de changer sa pièce d'identité ou de changer de smartphone.
Chose importante en terme de consentement, il n'est pas possible de renoncer à cette identification sans annuler la cagnotte, et de payer des frais d'annulations. Il ne semble exister aucune autre procédure pour prouver son identité, les seuls conseils sont de changer de smartphone ou de changer de pièce d'identité. Tout est automatisé et on ne peut pas entrer en contact avec le site qui gère l'autentification.
Alors j'imagine que je suis bien ignorant et que l'identification sur les réseaux sociaux sensibles ou les sites de pr0n passent par une procédure équivalente, mais je me suis quand même plaint à cette association d'embarquer les gens dans une telle horreur. Ça ne leur a pas plu, leur argument étant que cette procédure est imposée par la loi, que leur prestataire est certifié, et que c'est pas cool de douter de l'éthique de gens qui marquent partout sur leur site qu'ils sont cools.
Ce que j'ai compris de la situation, c'est que ce genre d'activité est très encadrée, parce que particulièrement propice au blanchiment ou autres combines malhonnêtes. Il s'agit d'une activité d'intermédiaire financier, qui relève du secteur bancaire; par ailleurs, les associations dont l'activité est commerciale et en compétition avec le secteur privé sont beaucoup plus régulées que les associations non-commerciales.
Je pense que je comprends ces arguments, mais qu'ils ne me convainquent pas, pour plusieurs raisons, la plus importante étant que les concurrents privés ne font pas appel à ce genre de technologie intrusive, et que même s'ils y étaient obligés, rien ne les empêchent de laisser le libre choix du consentement (en veillant par exemple à ce que la procédure d'identification ait lieu à l'ouverture du compte). D'une manière plus générale, est-ce qu'il existe des listes de prestataires éthiques auxquels le monde associatif peut faire appel, et ne serait-il pas plus sain de renoncer à une activité associative quand elle implique de livrer les adhérents à des violations manifestes de leur vie privée? Pour tout dire, je suis surpris de la légèreté du traitement de ce genre de problèmes dès qu'on sort du monde du logiciel libre.
# TiBillet
Posté par raphj (site web personnel) . Évalué à 5 (+3/-0). Dernière modification le 25 février 2026 à 17:03.
Pas sûr d'avoir tout compris, mais peut-être que TiBillet, un genre d'HelloAsso libre, dont j'ai découvert l'existence la semaine dernière à AlpOSS (je me demande si ce n'est pas dans la présentation de Bookynette, ou une présentation la précédant), peut apporter un élément de réponse ?
J'ai pas essayé.
Sinon, pour la légèreté du traitement des données privées dans les assos : effectivement, souvent c'est géré par des bénévoles, qui ne sont pas nécessairement sensibilisé·es / formé·es à la question, qui ne savent par forcément comment faire, et qui utilisent la solution dont iels ont entendu parlé. À nous de continuer la sensibilisation et de pousser les bonnes solutions :-)
[^] # Re: TiBillet
Posté par arnaudus . Évalué à 5 (+2/-0).
Le "service" est relativement simple, c'est le principe d'une cagnotte. Tu envoies un lien à plein de gens, les gens s'y connectent, payent le montant de leur choix par carte, et le propriétaire de la cagnotte récupère le montant pour faire ce qu'il en censé faire avec. C'est le même principe que faire circuler une enveloppe, mais ça permet de toucher des gens qui ne sont pas présents physiquement, et on se passe d'argent liquide.
D'après la liste des fonctionnalités, https://tibillet.org/fr/roadmap/, "crowdfunding", "dons", "tips" est présent mais pas coché (donc prévu, mais pas encore développé).
Sur le fond, c'est difficile de pousser vers les bonnes solutions si ces solutions n'existent pas, et c'était un peu le sens de ma question. Si la loi t'impose réellement de vérifier les identités de manière équivalente à ce que ferait une banque en présentiel (avec photocopie de la pièce d'identité pour les archives), tout ça pour acheter en commun le café du mois de mars, je trouve que la question de la légitimité du service se pose. En tant qu'association, tu peux ne rien faire (en prétextant éventuellement ton ignorance en cas de contrôle), ou de te conformer au strict minimum (par exemple, réserver la vérification aux gros montants, préférer la vérification du nom sur le RIB, etc), mais l'option "allez, ballec, on paye une presta et on ne met pas le nez dedans", j'ai du mal à comprendre. Dans le cas présent, ça me fait penser à une AMAP qui ferait livrer des paniers bio par Amazon : il y a comme un problème de cohérence.
# Transfert entre particuliers
Posté par gUI (Mastodon) . Évalué à 6 (+3/-0).
Je ne savais même pas qu'ils offraient cette possibilité.
L'idée de HelloAsso à la base en tous cas c'est de faciliter la vie des associations et pas des particuliers. Du coup je me doute qu'ils ont bcp plus de contraintes, car dans le cadre d'une asso loi 1901 qui manipule de l'argent la déclaration en préfecture est obligatoire, et on passe par une banque qui (dans notre cas en tous cas) demande à chaque nouveau bureau de revenir avec les nouveaux élus, carte d'identité en main, et on crée les accès personnalisés. Donc je pense que la vérification de l'identité est déportée sur la banque.
Après ça a peut-être changé entre temps (on s'en sert depuis 4 ou 5 ans je pense).
Sinon pour me servir régulièrement de HelloAsso pour mon asso :
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Transfert entre particuliers
Posté par arnaudus . Évalué à 5 (+2/-0).
C'est pas HelloAsso :-) mais pour le reste, je suis d'accord.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.