Formulaires gestion de cas ONG
Accueil des bénéficiaires, divulgations sensibles, prise en charge VBG et protection, accueil réfugiés et migration, confidentialité des donateurs, rapports aux organisations partenaires — conçus pour ONG, associations, fondations et organisations humanitaires dont les bénéficiaires ne peuvent se permettre qu'un fournisseur SaaS générique lise leurs dossiers. Connaissance nulle, hébergement suisse, aligné sur le manuel CICR de protection des données, sur OCHA Data Responsibility, sur la nLPD suisse et le RGPD UE.
Peu de secteurs collectent des données aux conséquences réelles plus élevées que les associations et les ONG. Le formulaire d'accueil qu'une petite organisation tend à une survivante de violence domestique, le formulaire d'enregistrement qu'une agence humanitaire utilise pour une personne réfugiée en transit, le rapport de safeguarding qu'une association d'enfance reçoit d'une école partenaire, la case d'anonymat qu'un grand donateur coche au bout d'un formulaire de don — chacun de ces enregistrements peut changer la vie d'un bénéficiaire en cas de fuite, et parfois la mettre en danger. Pourtant, le canal d'accueil typique d'une association reste ce qui était gratuit ou le moins cher: un Google Form, une plateforme générique de type SurveyMonkey, une pièce jointe, ou un tableur maison qu'une organisation partenaire pourrait un jour ouvrir.
Schweizerform a été conçu exactement pour ce décalage entre sensibilité et outillage. Chaque envoi — un accueil bénéficiaire, un rapport de violence basée sur le genre (VBG), un enregistrement de personne demandeuse d'asile, une divulgation de safeguarding pour enfant, une option de confidentialité pour donateur, un rapport de terrain d'une organisation partenaire — est chiffré dans le navigateur du soumetteur avant d'atteindre nos serveurs. Nous ne pouvons techniquement pas le lire. Pour les ONG internationales basées en Suisse (hub humanitaire genevois), les associations nationales, les fondations et les petites organisations de terrain, cette propriété — combinée à un hébergement suisse et à une architecture alignée sur le manuel CICR, sur OCHA Data Responsibility, sur la nLPD et sur le RGPD — transforme le canal d'accueil d'une vulnérabilité de protection des bénéficiaires en un contrôle technique défendable.
À qui s'adresse cette page
ONG internationales et organisations humanitaires basées à Genève; associations nationales et fondations suisses; équipes protection / VBG / safeguarding; organisations d'aide aux personnes réfugiées, demandeuses d'asile et migrantes; associations de protection de l'enfance et de jeunesse; maisons d'accueil pour femmes; organisations anti-traite; réseaux de soutien aux défenseur·euses des droits humains; chargé·es des relations donateurs et grands dons; et les délégué·es à la protection des données, responsables de programmes et IT qui les soutiennent.
Pourquoi les outils génériques échouent à la prise en charge bénéficiaire et à la confidentialité des donateurs
La plupart des outils de formulaires en ligne — Google Forms, Typeform, plateformes type SurveyMonkey génériques, et même certaines « éditions associatives » — fonctionnent sur un modèle SaaS classique: le navigateur du soumetteur envoie des données en clair via HTTPS, et le serveur du fournisseur les stocke. Ce serveur peut tout lire. Idem pour le personnel du fournisseur, ses partenaires d'intégration, quiconque compromet l'infrastructure et toute autorité signifiant un ordre légal au fournisseur — y compris dans des juridictions hostiles à la population que l'ONG cherche à protéger.
Pour des envois peu sensibles — inscription à la newsletter, RSVP — c'est acceptable. Pour une ONG qui collecte des données bénéficiaires ou traite un don confidentiel, cela crée des problèmes aux conséquences très spécifiques, parfois vitales:
- Un accueil de maison pour femmes capture nom et adresse de la survivante, photos de blessures, nom de l'auteur et plan de sécurité pour les enfants; la base du fournisseur contient un dossier lisible avant que la travailleuse sociale n'ouvre le cas
- Un enregistrement de réfugié·e ou de demandeur·euse d'asile collecte pays d'origine, itinéraire, famille restée à l'étranger, narratif de persécution et pièces d'identité; ce profil réside sur un serveur tiers, souvent dans une juridiction dont le gouvernement convoite les mêmes données
- Un accueil anti-traite contient des divulgations détaillées sur les trafiquants, itinéraires de transit et localisation actuelle; chaque ligne est indexée par les logs et les analytics du fournisseur
- Un rapport de safeguarding contient des allégations contre une personne adulte nommée (enseignante, entraîneur, parent); le rapport vit sur l'infrastructure d'un fournisseur générique non habilité aux données de protection de l'enfance
- Un formulaire de don propose une case « anonymat demandé »; nom complet du donateur et montant restent pourtant en clair dans la base du fournisseur, indexés par ses analytics, récupérables par une intégration CRM partenaire et producibles sous tout ordre légal
- Un rapport de terrain d'une organisation partenaire en zone de conflit nomme volontaires locaux et personnes de contact; le document est antivirussé par le fournisseur, mis en cache CDN et répliqué dans des régions de sauvegarde hors du pays d'opération
Les données humanitaires et bénéficiaires sont catégoriquement à haut risque
Le manuel CICR de protection des données dans l'action humanitaire traite les données personnelles des bénéficiaires comme intrinsèquement à haut risque et met explicitement en garde contre les SaaS standard qui octroient au fournisseur un accès en lecture. Les directives Data Responsibility d'OCHA et le cadre IASC appliquent la même logique au travail interagences. La nLPD suisse considère les données de victime, de santé, religieuses, politiques, d'aide sociale et d'origine ethnique comme des données sensibles exigeant une protection accrue. Le RGPD UE classe les mêmes catégories sous l'art. 9. Un fournisseur de formulaires capable de lire le contenu bénéficiaire en clair est plus difficile à défendre devant un comité, des bailleurs, un inspecteur — ou, dans le pire des cas, lors d'une enquête publique sur un préjudice.
Comment Schweizerform préserve la confidentialité des bénéficiaires
Schweizerform est une plateforme de formulaires chiffrés de bout en bout à connaissance nulle. Le chiffrement se produit dans le navigateur du soumetteur, avant que les données ne quittent l'appareil. Seuls les détenteurs du Code d'accès peuvent déchiffrer les envois. Nous — le fournisseur — ne le pouvons pas.
Vous générez un formulaire de programme et un Code d'accès
Quand vous créez un accueil bénéficiaire, un canal VBG / safeguarding, ou une page de don confidentiel, Schweizerform génère une paire de clés et un Code d'accès. La clé publique vit dans le formulaire; le Code d'accès reste à la responsable de programme, à la responsable protection ou à la safeguarding lead. Nos serveurs ne le voient jamais.
Le soumetteur remplit depuis n'importe quel appareil
Quand un·e bénéficiaire, un·e partenaire, un·e volontaire ou un·e donateur·rice remplit, son navigateur chiffre chaque champ — narratif, identifiants, photos, scans d'identité — avec un chiffrement symétrique fort, puis encapsule la clé symétrique avec la clé publique du formulaire. Nos serveurs reçoivent des blobs chiffrés qu'ils ne peuvent pas déchiffrer.
Votre équipe déchiffre dans le navigateur
Quand la travailleuse sociale, la responsable protection ou la responsable des relations donateurs ouvre l'envoi, son navigateur récupère le blob, désencapsule la clé symétrique avec le Code d'accès et déchiffre localement. Le clair ne touche jamais nos serveurs; il atterrit sur le poste, prêt à être versé dans le système de gestion de cas.
La confidentialité est imposée par l'architecture, pas par contrat
Comme nous ne voyons jamais le clair, nous ne pouvons pas être contraints à le produire, l'exposer ou le traiter pour des analytics. Les accords de traitement restent en filet; le contrôle principal est cryptographique — et cela rejoint directement ce que le manuel CICR, OCHA Data Responsibility, la nLPD (art. 8/9) et le RGPD (art. 32) recommandent pour les traitements à haut risque.
Formulaires de programme et opérationnels concrets
Accueil bénéficiaire et ouverture de dossier
Que ce soit l'accueil sans rendez-vous d'une maison pour femmes, le premier entretien d'un service pour personnes sans abri, un rendez-vous d'aide juridique migration ou l'enregistrement d'une distribution humanitaire, dès qu'un·e bénéficiaire dévoile identité et situation, l'organisation prend un devoir de soin. Un accueil Schweizerform remplace formulaire papier ou Google Form par un canal chiffré, dans la langue de la personne, que l'équipe peut ouvrir depuis n'importe quel navigateur sans que le fournisseur ne détienne jamais une copie lisible.
Violence basée sur le genre (VBG) et prise en charge protection
Les cas VBG et protection nécessitent les données les plus sensibles que toute organisation manipule: identité de la survivante, identité de l'auteur, photos de blessures, narratifs d'incidents, plans de sécurité, questions de garde, orientations vers organisations partenaires. Un formulaire à connaissance nulle garde ce paquet hors du stockage SaaS générique et des intégrations CRM partenaires jamais conçues pour la donnée de protection, tout en laissant la travailleuse sociale ouvrir un dossier structuré dans son propre navigateur.
Accueil réfugiés, asile et migration
L'accueil migration et asile collecte des données qui, en de mauvaises mains, peuvent mettre en danger le ou la bénéficiaire, sa famille au pays d'origine, ou les deux. Faire passer le formulaire par un canal à connaissance nulle garde pays d'origine, narratifs de persécution et scans de pièces d'identité hors du périmètre de lecture du fournisseur et hors des régions cloud US — particulièrement important quand le pays d'origine est hostile aux mêmes données que l'ONG essaie de collecter éthiquement.
Safeguarding enfants et divulgations d'abus
Associations d'enfance, fédérations sportives, organisations confessionnelles et mouvements de jeunesse ont besoin d'un canal interne crédible pour les divulgations de safeguarding. Un formulaire Schweizerform permet à un parent, un·e jeune, un·e entraîneur·euse ou un·e collègue de soumettre un signalement confidentiel qui ne va qu'à la safeguarding lead désignée — et seule celle-ci peut le lire. Le fournisseur ne détient jamais la divulgation sous une forme qu'il pourrait être contraint de produire ou faire fuiter.
Accueil anti-traite et esclavage moderne
Les organisations anti-traite collectent des divulgations détaillées sur trafiquants, itinéraires de transit, localisation actuelle et risque en cours. Un canal à connaissance nulle garde les détails opérationnels susceptibles d'exposer davantage la survivante hors des analytics, du support et des scanners de contenu d'un fournisseur SaaS générique.
Pages de don confidentielles et grands dons
Beaucoup de grands donateurs donnent sous anonymat explicite; certains sous des dispositions d'anonymat protégé du droit national des fondations. Un formulaire de don Schweizerform garde nom, montant et narratif d'usage chiffrés entre le donateur et l'équipe développement — utile pour les legs, les dons à causes sensibles (droits reproductifs, soutien aux dissident·es, droits LGBT+ dans des juridictions restrictives) et les instructions de donateurs qui ne devraient pas couler dans un CRM générique consultable par tout le bureau.
Onboarding volontaires, fellows et personnel
L'onboarding volontaires pour des programmes sensibles (visites en prison, accompagnement VBG, travail avec des enfants) requiert extraits de casier, références et engagements de confidentialité. Chiffrer ce formulaire d'accueil garde les données candidates hors du stockage SaaS générique et donne à la coordination volontaires un canal unique, à périmètre défini.
Lanceur·euses d'alerte et protection contre les abus du personnel
La réforme sectorielle après les constats PSEA (protection contre l'exploitation et les abus sexuels) attend désormais de toute organisation d'aide qu'elle offre un canal confidentiel pour que personnel et bénéficiaires signalent des inconduites du personnel. Un formulaire à connaissance nulle, restreint à un petit panel désigné, donne à ce canal une garantie architecturale de confidentialité qu'un fournisseur générique ne peut pas — et que l'IT interne ne peut pas accidentellement saper.
Rapports de terrain d'organisations partenaires
Les rapports de partenaires sur le terrain — narratifs, nombres de bénéficiaires, rapports d'incidents, résumés financiers — remontent au siège ou à Genève. Un formulaire à connaissance nulle permet à un petit partenaire local de soumettre un rapport structuré sans exposer les noms de personnel local et de personnes de contact à un fournisseur SaaS tiers.
Ce que voient bénéficiaires, donateurs et autorités
| Vue | Fournisseur générique / e-mail | Schweizerform |
|---|---|---|
| Bénéficiaire ou donateur remplissant le formulaire | Données en clair, stockées sur cloud fournisseur | En clair dans son propre navigateur, chiffré avant envoi |
| Personnel / support du fournisseur | Peut lire narratifs d'accueil, montants de dons, signalements safeguarding | Ne peut pas déchiffrer; ne voit que des blobs chiffrés |
| Analytics / pipelines ML du fournisseur | Indexent et traitent le contenu | Hors du chemin; chiffré uniquement |
| Assignation / demande d'accès au fournisseur | Accueils et registres de dons en clair producibles | Chiffré uniquement; inutile sans le Code d'accès |
| Fuite chez le fournisseur | Profils bénéficiaires et registres de dons exposés en clair | Chiffré exposé; le contenu reste illisible |
| Juridiction hostile visant les données bénéficiaires | Le fournisseur dans le chemin peut être contraint (CLOUD Act, etc.) | Le fournisseur ne peut produire ce qu'il ne peut lire |
Contexte réglementaire et sectoriel: nLPD, RGPD, manuel CICR, OCHA, IASC, PSEA
Les ONG basées en Suisse opèrent sous la nouvelle Loi fédérale sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) qui considère les données de victime, de santé, religieuses, politiques et d'aide sociale comme des données sensibles, et impose des mesures techniques et organisationnelles proportionnées (art. 8) plus des obligations renforcées pour les sous-traitants (art. 9). Lois sociales cantonales et LBA suisse ajoutent d'autres obligations selon le contexte.
Les opérations UE font entrer le RGPD — y compris l'art. 9 sur les catégories particulières et l'art. 32 sur les garanties techniques. Les opérations humanitaires internationales sont de plus en plus régies par le manuel CICR de protection des données dans l'action humanitaire (3e éd., 2024), les directives Data Responsibility d'OCHA, l'Operational Guidance IASC et les exigences PSEA / safeguarding imposées par les bailleurs. Partout, la même logique: l'organisation reste responsable des données collectées, y compris celles qui transitent par un fournisseur tiers — et un fournisseur qui ne peut pas lire les données est structurellement plus facile à défendre dans n'importe lequel de ces cadres qu'un fournisseur qui le peut.
Le chiffrement est une garantie, pas tout le cadre
Schweizerform fournit une couche technique forte de confidentialité pour l'accueil. Votre organisation a toujours besoin d'une politique de protection des données alignée sur les cadres pertinents, d'une politique de safeguarding avec des leads désigné·es, de durées de conservation adaptées au type de programme et aux conventions bailleurs, d'une politique de partage avec les partenaires et d'un protocole clair pour les demandes d'accès des bénéficiaires. Le formulaire chiffré couvre la surface d'accueil; votre cadre safeguarding et data responsibility fait le reste.
Fonctionnalités pertinentes pour les opérations associatives et ONG
- Chiffrement de bout en bout à connaissance nulle sur chaque envoi — aucun accès en lecture du fournisseur au contenu bénéficiaire, narratifs VBG / protection, registres de dons ou signalements safeguarding
- Téléversements chiffrés de documents et d'images — scans d'ID, photos de blessures, ordonnances de tribunal, lettres d'orientation partenaires, photos-preuves de programme
- Formulaires multilingues (EN / DE / FR / IT) prêts — essentiels pour les services sociaux multicantonaux suisses, les ONG basées à Genève et les bénéficiaires de l'une de ces zones linguistiques
- Codes d'accès par formulaire — par programme, par safeguarding lead, par bureau pays
- Hébergement suisse aligné nLPD — les payloads de réponse ne quittent pas la Suisse
- Journal d'audit des déchiffrements (qui a ouvert quoi, quand) sans exposer le contenu
- Export structuré après déchiffrement — vers gestion de cas, CRM donateurs ou monitoring de programme
- Plan gratuit pour qu'une petite ONG ou un partenaire local fasse tourner un formulaire d'accueil sans coût — pas de carte bancaire, pas de budget infrastructure, pas de cycle d'achats
Objections fréquentes
« Nous utilisons l'édition associative d'un grand SaaS — c'est sûrement suffisant. »
Les plans SaaS donnés ou remisés modifient le prix, pas l'architecture. L'accès en lecture du fournisseur est identique à un plan payant. Pour du travail peu sensible c'est acceptable; pour la prise en charge bénéficiaire incluant VBG, asile, safeguarding ou anti-traite, la propriété architecturale — le fournisseur ne peut pas lire — est la question pertinente, pas le palier de prix.
« Notre système de gestion de cas chiffre déjà. »
La plupart des systèmes chiffrent au repos. Cela protège du vol de disque. Cela ne protège pas du personnel du fournisseur, de ses analytics, de ses sous-traitants ni d'une ordonnance légale — parce que le fournisseur détient encore les clés. Le chiffrement de bout en bout à connaissance nulle change cette propriété à la frontière où la donnée entre.
« Nos bénéficiaires ne sont pas techniques et n'ont pas toujours d'appareil fiable. »
Pas d'installation côté bénéficiaire, et le formulaire tourne sur tout navigateur moderne. Pour un accueil sans rendez-vous, la travailleuse sociale peut ouvrir le formulaire sur une tablette dans le centre et le compléter avec la personne; le chiffrement se produit toujours dans le navigateur, avant envoi. L'expérience est celle d'un formulaire web ordinaire, dans la langue choisie.
« Si nous perdons le Code d'accès, les dossiers sont perdus. »
Exact, et voulu. Pratique recommandée: garde documentée — Code d'accès scellé, partagé entre la responsable de programme et la safeguarding lead, escrowé chez la direction, ou réparti entre deux administrateur·rices désigné·es. La procédure évite la défaillance d'une seule personne tout en préservant la propriété que le fournisseur ne peut produire ce qu'il ne peut lire — exactement la propriété qui compte le plus pour le travail bénéficiaire à haut risque.
« Nous travaillons dans un pays dont le gouvernement peut viser nos bénéficiaires. »
C'est précisément le modèle de menace pour lequel cette architecture est conçue. Schweizerform stocke du chiffré sur des serveurs hébergés en Suisse; le fournisseur ne peut pas le lire; les codes d'accès restent à l'ONG, pas au fournisseur. La promesse architecturale — le fournisseur ne peut pas lire — survit à la fois à la pression d'un État adversaire sur le fournisseur et à la pression sur l'environnement IT local.
« Nous n'avons quasi pas de budget. »
Le plan gratuit couvre un formulaire d'accueil bénéficiaire, et la propriété architecturale de confidentialité est identique en gratuit et en payant. Beaucoup de petites ONG font tourner tout leur canal de safeguarding ou d'accueil sur le plan gratuit. Le chiffrement n'est pas une mise à niveau payante.
Déployer un canal d'accueil Schweizerform
Choisir un premier formulaire pour la surface la plus à risque
Premiers choix courants: un canal de safeguarding, un accueil VBG / protection, une page de don confidentielle, ou un remplacement d'accueil bénéficiaire pour un Google Form déjà en place. Remplacer le canal hérité par un seul lien de formulaire chiffré.
Définir la garde de la clé et la documenter dans la politique de protection des données
Décider qui détient le Code d'accès (p. ex. direction plus safeguarding lead, ou responsable de programme plus administrateur·rice référent·e). Documenter la procédure dans la politique de protection des données et la référencer dans la politique de safeguarding. Tester la récupération depuis l'escrow avant la première soumission live.
Traduire dans les langues réellement parlées par les bénéficiaires
Pour une ONG basée à Genève ou nationale suisse, généralement EN / DE / FR / IT. Pour le travail migration / asile, des langues du pays d'origine peuvent compter plus que les quatre officielles. Planifier les traductions dans le rollout, pas après coup.
Mettre à jour les parcours bénéficiaires et donateurs
Pointer les call-to-action « demander de l'aide », « signaler une préoccupation », « donner confidentiellement » vers le formulaire chiffré. Mettre à jour les SOP d'accueil pour que le personnel sache à quoi s'attendre; mettre à jour les supports donateurs pour qu'ils sachent que leur don est chiffré de bout en bout.
Mesurer et étendre
Après une phase pilote, comparer taux de complétion, délai premier-contact↔ouverture-de-dossier et nombre de relances par rapport au canal historique. Étendre à d'autres formulaires — rapports partenaires, suivis safeguarding, monitoring de programme — quand le flux est stable.
Conclusion
Associations et ONG promettent déjà à leurs bénéficiaires et donateurs un type très spécifique de confidentialité — parfois implicite, parfois statutaire, presque toujours déterminant pour que le prochain accueil reste possible. Un fournisseur de formulaires capable de lire chaque champ d'un rapport VBG, chaque ligne d'un narratif d'asile, chaque don confidentiel — aussi bon marché ou connu que soit son produit — est une dépendance d'externalisation que conseils, bailleurs, autorités et une enquête future scruteront chaque année plus fortement.
Schweizerform offre une réponse directe: chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement suisse, et une posture alignée sur le manuel CICR, OCHA Data Responsibility, la nLPD et le RGPD. Pas de mise à niveau payante pour la sécurité. Pas de dépendance cloud US pour les données bénéficiaires. Aucune copie lisible par un tiers d'un accueil de survivante ou d'un don confidentiel sur un serveur que vous ne contrôlez pas.
Commencez avec un seul formulaire de safeguarding, d'accueil VBG ou de don confidentiel en plan gratuit. Hébergement suisse, chiffrement à connaissance nulle et support EN / DE / FR / IT complet — sans carte bancaire.
Avertissement: Cette page est de l'information générale et du contenu marketing, pas un conseil juridique, réglementaire, safeguarding ou de conformité. Les références à la nLPD suisse, au RGPD UE, au manuel CICR de protection des données dans l'action humanitaire (3e éd. 2024), aux directives OCHA Data Responsibility, à l'Operational Guidance IASC, aux standards PSEA / safeguarding, au CLOUD Act US et aux cadres connexes sont résumées au niveau conceptuel et soumises à interprétation juridictionnelle, à des conditions contractuelles propres aux bailleurs, à des évolutions juridiques dans les pays de programme et à de futures évolutions réglementaires. La responsabilité en safeguarding, protection des données, droits d'accès des bénéficiaires, stewardship donateurs, LBA et conformité juridique propre au pays de programme reste de l'organisation et de son conseil. Consultez un conseil suisse / UE en droit associatif et protection des données, ainsi qu'un·e conseiller·ère safeguarding expérimenté·e du secteur, avant toute décision de conformité ou d'achat.