Quelles obligations RGPD pour les associations ?
Si le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 en France, il a, en réalité, une portée européenne. Son objectif : « Encadrer le traitement et la circulation des données personnelles ». Les associations, qui peuvent être amenées à collecter de multiples informations personnelles au sujet de leurs adhérents, sont concernées au premier chef. Et cela touche tous les types d’associations, qu’elles soient : association loi de 1901, association d’utilité publique, association de gestion agréée, association non déclarée ou encore association de fait… Mais quelles sont précisément leurs obligations ? Les voici en synthèse.
Mettre en place un registre de traitements des données
Au nombre des contraintes du RGPD ; la tenue d’un registre. Dans ce document, l’association est tenue de consigner, dans le détail, l’intégralité des traitements de données personnelles qu’elle effectue. Chaque traitement doit être justifié par l’association, qu’il soit effectué pour son propre compte ou bien pour un tiers. Voici les informations requises, et ce pour chaque traitement :
- Pourquoi ce traitement de données ?
- Quel type de données personnelles sont collectées ? (Par exemple : l’identité, les coordonnées, la localisation, etc.).
- Quelle utilisation précise va être faite de ces données ? (Par exemple : des propositions commerciales, la constitution de communautés affinitaires etc.).
- Qui, au sein de l’association, traite les données ?
- Les données sont-elles transmises à un tiers ; et, le cas échéant, lequel ?
A partir du registre des données, il doit être possible de réaliser une « cartographie des données » qui permette d’identifier précisément les activités pour lesquelles l’association est amenée à collecter et traiter des données. En substance : qui, quoi, comment, où, pourquoi, et jusqu’à quand… ?
Dispositions pour les organismes de moins de 250 salariés
Des dispositions existent pour les organismes (entreprises et associations) de moins de 250 salariés. Ceux-ci bénéficient d’une dérogation en ce qui concerne la tenue de registres et ne doivent documenter que les traitements de données suivants :
- les traitements non occasionnels (exemple : gestion de la relation client, gestion des fournisseurs, gestion des ressources humaines / paie, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Pour vous aider dans votre démarche, nous partageons avec vous un exemple de modèle de registre simplifié complété sur la base du modèle de la CNIL pour un cas d’usage CRM :
Procéder à un tri des données collectées et définir les traitements de données à risque
Le principe du RGPD est de ne conserver que « les données les plus essentielles ». Pour s’y conformer, les associations sont invitées à trier les données recueillies et à éliminer celles qui n’apparaissent pas dans sa cartographie (et, donc, dont la conservation n’est pas justifiée). Par ailleurs, certaines données sont dites « sensibles ». Lorsque des données appartenant à cette catégorie sont collectées et traitées, l’association doit pouvoir démontrer qu’elle prend les mesures adéquates pour la protection de ces données. Ces données sensibles sont celles qui répertorient :
- Des informations liées à la santé.
- Des informations génétiques et / ou biométriques.
- Des données qui traitent des origines raciales ou ethniques, des convictions politiques ou religieuses, de l’orientation ou de la vie sexuelle.
D’autres types de données sont définies comme « nécessitant une vigilance particulière ». Ce sont les données suivantes :
- Celles qui concernent les personnes vulnérables.
- Celles qui permettent une surveillance automatique des personnes.
- Celles qui sont issues d’un mélange d’ensembles de données.
Le but du RGPD est de protéger les droits des personnes en restreignant au maximum la collecte d’informations les concernant. Ce faisant, l’association doit respecter les consignes de la Commission Nationale Informatique et Libertés (CNIL), mais cela lui permet également de réduire les risques de s’exposer à des situations de contentieux.
Tenir ses adhérents informés
Toujours dans l’objectif de se conformer aux droits des personnes, l’association a pour obligation de requérir le consentement de ses adhérents avant de collecter leurs données. Elle doit en outre les tenir informées des éléments suivants :
– Pourquoi collecter ces données ?
– Qui aura accès à ces données ?
– Quelle sera la durée de conservation de ces données ?
Le RGPD précise que le recueil de consentement tenu par l’association doit être « perceptible et clair ».
Les personnes dont les données sont collectées doivent également faire l’objet d’une information spécifique de la part de l’association qui contient les mentions légales inhérentes au RGPD et répertorie leurs droits, à savoir :
- Le « droit à l’oubli », qui est formalisé par l’article 17 du RGPD et qui précise que « toute personne concernée par la collecte et le traitement de données peut demander l’effacement de ses données »
- Le « droit à la portabilité », qui consiste à donner la possibilité à la personne concernée de récupérer ses données pour les stocker à titre personnel ou bien les transmettre à un autre organisme ;
- Le « droit de rectification », qui permet à la personne concernée d’exiger un rectificatif si ses données sont erronées ;
- Le « droit d’opposition », qui permet à la personne concernée de s’opposer au traitement de ses données ;
- Le « droit à la limitation du traitement », qui permet d’interdire l’utilisation de certaines de ses données ;
- Et, enfin, le « droit d’accès » qui permet, comme son nom l’indique, à la personne concernée de demander à accéder aux informations personnelles la concernant. L’association bénéficie alors d’un délai de réponse d’un mois à compter de la date de réception de la demande.
Vous trouverez au lien suivant sur le site de la CNIL un exemple de mention à ajouter à vos formulaires d’inscription et qui permettra d’obtenir le consentement de vos adhérents à la collecte et au traitement de leurs données à caractère personnel : https://www.cnil.fr/fr/exemples-de-formulaire-de-collecte-de-donnees-caractere-personnel
Garantir la sécurité des données collectées
La protection des données est un élément clé du RGPD. L’association, en tant que détentrice de données personnelles, se doit en effet de garantir leur sécurité. Cela la contraint à mettre en place des mesures de sécurité à plusieurs niveaux :
- La sécurité physique des données.
- Traçabilité.
- Protection des logiciels (avec des antivirus).
- Chiffrement des données.
- Sauvegarde des données.
- Contrôles d’accès des utilisateurs et des sous-traitants.
Si elle constate une violation des données qu’elle a collecté ; l’association a le devoir de saisir la CNIL dans les 72 heures. Elle doit également informer, dans les meilleurs délais, les personnes concernées.
D’une manière plus globale, l’association doit protéger la vie privée de ses adhérents. Pour garantir la confidentialité des données qu’elle collecte elle doit donc mettre en place une « politique de confidentialité des données ».
Au-delà d’éviter des sanctions RGPD – et, notamment, une amende pour non-conformité au RGPD – l’association s’inscrit également ainsi dans une démarche éthique, et fait preuve de respect envers ses adhérents.