En vigueur en France depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Il concerne tous les ressortissants de l’Union Européenne.
Si certaines associations se sentent assez éloignées de l’enjeu, il s’avère qu’à priori, elles sont TOUTES concernées. Pour bien comprendre dans quelle mesure, il faut appréhender le RGPD non pas d’un point de vue commercial (vente, utilisations des données dans un objectif marketing…), ce qui pourrait limiter l’application aux associations, mais d’un point de vue des données personnelles.
- Pourquoi le RGPD concerne t-il les associations ?
- Les principales avancées concernent donc :
- – L’information des personnes dont les données sont collectées.
- – La demande d’effacement et le droit à l’oubli.
- – Le droit à la portabilité
- – L’action collective
- – L’opposition
- – Les sanctions
- Qu’est-ce qu’une donnée sensible ?
- Quelles mesures prendre pour être en conformité avec le RGPD au sein de mon association ?
- Faites le ménage dans vos données !
- Cartographiez l’ensemble des sources et services par lesquels vous traitez ces données personnelles.
- Quelles sont les missions du DPO ?
- Conclusion
Pourquoi le RGPD concerne t-il les associations ?
Le RGPD concerne toute structure qui rassemble des données personnelles, soit n’importe quelle “information se rapportant à une personne physique identifiée ou identifiable”.
Autrement dit, si votre association a besoin, dans le cadre d’un événement, d’une collecte de don, d’un financement participatif, ou d’une adhésion, du nom, prénom, adresse mail, numéro de téléphone ou adresse postale, ou d’une pièce d’identité… , elle est d’office soumise au RGPD, et ce même si ces informations sont stockées dans un livre de compte, un cahier à petit carreaux ou un fichier texte ou excel sur ordinateur.
Si des textes de loi existaient avant la mise en application du RGPD, ce dernier est allé plus loin dans la protection des données personnelles et dites à caractère sensible.
Les principales avancées concernent donc :
– L’information des personnes dont les données sont collectées.
il est aujourd’hui obligatoire de justifier la collecte et l’utilisation d’information et de fournir l’identité de la personne responsable de cette collecte.
– La demande d’effacement et le droit à l’oubli.
L’article 17 du RGPD prévoit que tout personne concernée peut demander l’effacement de ses données.
– Le droit à la portabilité
Il permet à une personne de récupérer l’intégralité de ses données collectées pour les conserver à titre personnel ou les transférer à une autre structure.
– L’action collective
Des associations ou des collectifs pourront agir en justice pour faire valoir les droits des personnes en matière de protections des données personnelles
– L’opposition
Toute personne peut s’opposer à l’utilisation de ses données, c’est notamment le cas et très utile dans le cas de prospections commerciales.
– Les sanctions
le RGPD met en place des sanctions plus fortes, pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros.
Qu’est-ce qu’une donnée sensible ?
Ce sont des informations qui donne des indications sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Cela concerne aussi le traitement des données génétiques, des données biométriques qui permettraient d’identifier une personne physique de manière unique, ou des données relatives à la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le RGPD interdit de recueillir ou d’utiliser ces données, sauf dans certains cas selon la CNIL (Commission nationale de l’informatique et des libertés) :
- Si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée),
- Si les informations sont rendues publiques par la personne concernée,
- Si elles sont nécessaires à la sauvegarde de la vie humaine,
- Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL,
- Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Quelles mesures prendre pour être en conformité avec le RGPD au sein de mon association ?
L’enjeu est d’abord de prendre conscience de la quantité de données qui sont collectées. Qu’elles soient analysées, exploitées ou tout simplement stockées, ces données doivent être réunies dans un ou plusieurs documents qui permettent à toute personne qui en ferait la demande, une suppression complète, une modification ou une extraction des données demandées.
Faites le ménage dans vos données !
Et commencez par supprimer les données trop anciennes (datant de plus de 3 ans), les données dites à caractère sensible, celles dont vous n’avez finalement pas vraiment besoin. Plus votre collecte de données sera précise et cartographiée, mieux vous serez en mesure de la maîtriser
Cartographiez l’ensemble des sources et services par lesquels vous traitez ces données personnelles.
Il est recommandé de tenir un “registre des traitement” pour recenser d’où proviennent les données dont vous disposez et comment elles sont utilisées. Il s’agit par exemple des inscrits à votre newsletter sur votre outil de mailing, ou encore des participants à vos événements.
Les questions à se poser :
- 1. Quelles sont les données personnelles détenues ?
- nom, prénom
- adresse mail, postale
- diverses informations personnelles…
- 2. Quels en sont les modes d’acquisition ?
- inscription en ligne
- carte de visite
- par téléphone…
- 3. Où sont-elles hébergées, conservées, archivées ?
- sur ordinateur
- sur un logiciel
- sur un téléphone…
- 4. Quelle utilisation avez-vous de ces données ?
- appels aux dons
- invitation à des événements
- aides bénévoles…
- 5. Qui a accès à ces données et comment ?
- tout le monde, il n’y a pas de protection
- le département de l’administration à l’aide d’un code d’accès, etc.
- 6. Quelle est la durée de conservation de ces données ?
- depuis l’enregistrement de la donnée
- depuis 3 ans, etc.
Obtenez de chacun de vos contacts un consentement qui indique qu’il accepte de partager avec vous ses données personnelles.
Il est aussi obligatoire de les informer sur les raisons qui vous amènent à conserver leurs données, ainsi que sur la manière dont vous allez les utiliser (envoi de mails, newsletter, etc.). Soyez transparent !
Désignez un responsable des données personnelles dans votre organisme (ou DPO pour Data Protection Officer en Anglais).
Il s’agit d’une personne identifiée et identifiable qui mènera les actions pour poursuivre la conformité de votre association au RGPD. Cette fonction n’est pas obligatoire dans votre association mais fortement recommandée si vous traitez un très gros volume de données ou si ces données ont un caractère sensible.
Il vous faudra choisir une personne qui :
- sera le “chef d’orchestre” de la mise en place de la RGPD au sein de l’association
- est volontaire
- a des connaissances en informatique, en sécurité en ligne, juridique, nouvelles technologies de l’information et de la communication (NTIC).
Bon à savoir :
Si vous avez un site internet, d’autres obligations vous incombent
Quelles sont les missions du DPO ?
S’assurer que son organisation respecte la législation lorsqu’elle utilise les données à des fins externes et internes :
- informer et conseiller les membres de l’association
- contrôler le respect du règlement en matière de protection des données
- coopérer avec l’autorité de contrôle et être le point de contact de celle-ci
- s’informer sur le contenu des nouvelles obligations
- réaliser l’inventaire des traitements de données de l’association
- concevoir des actions de sensibilisation
- piloter la conformité en continu.
Conclusion
L’essentiel consistera à bien définir les rôles avant de se lancer.
En prenant le temps de désigner le Délégué à la protection des données, faire un état des lieux clair sur les données personnelles détenues par l’association à l’aide d’un registre, vous serez ensuite davantage en mesure de mettre en place les actions.
La règle d’or est d’être le plus transparent possible avec les personnes dont l’association détient des données personnelles : les écouter, répondre à leurs demandes, leur montrer sa bonne intention.
A consulter :
CNIL – Les principales étapes pour être en conformité avec le RGPD
