La politique de protection des données personnelles pour les associations

Le Règlement européen sur la protection des données personnelles (RGPD) est entré en application le 25 mai dernier. En uniformisant les législations européennes, ce texte vise à redonner aux citoyens le contrôle sur leurs données personnelles et à renforcer leurs droits (information et transparence, droit à l’oubli, portabilité, recueil du consentement…).
Au même titre que les entreprises, les collectivités ou les administrations, les associations, fondations et autres fédérations sont également concernées par cette nouvelle réglementation qui s’applique à tous les responsables de traitement.

Si de nombreuses formalités auprès de la CNIL disparaissent, la responsabilité des organismes traitant des données personnelles se trouve renforcée et la CNIL pourra prononcer des sanctions dissuasives allant jusqu’à 20 millions d’euros.
Les responsables de traitement devront donc garantir une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Qu’est-ce qu’une donnée personnelle ?

Le RGPD définit une donnée personnelle comme étant « toute information se rapportant à une personne physique identifiée ou identifiable (…) ».
 
La liste est donc longue et illimitée. Dans leur activité, les associations sont amenées à traiter des données personnelles, que se soit sur leurs adhérents, leurs bénévoles, leurs donateurs ou leurs salariés. Elles traitent de simples données telles que nom, prénom, date de naissance, coordonnées… Mais elles peuvent également collecter des données plus sensibles comme des données de santé (pour les associations sportives notamment), des données liées aux convictions religieuses ou politiques, aux habitudes alimentaires, à la morphologie (taille de maillots sportifs par exemple), des données bancaires…
 

Préparer sa mise en conformité

La CNIL a publié un guide complet rappelant les précautions élémentaires à prendre, avec des fiches et des outils pratiques pour aider les organisations à se mettre en conformité.
 
Voici les 6 étapes essentielles pour démarrer sa mise en conformité :

1. Désigner un pilote : si les associations n’ont pas forcément l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne chargée de s’assurer de la mise en conformité au RGPD.
2. Cartographier vos traitements de données personnelles : commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre (par finalités et catégories de données). La tenue d’un registre des traitements vous permet de faire le point (un modèle est à disposition sur le site de la CNIL).
3. Prioriser les actions : identifiez les traitements les plus à risque pour les droits des personnes et leur vie privée et définissez des actions prioritaires à mener (minimisation des données, information…). La CNIL donne une liste de points d’attention nécessitant une vigilance particulière.
4. Gérer les risques : pour les traitements de données identifiés comme susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées (ex : données bancaires, médicales, convictions politiques…), il faudra établir une étude d'impact sur la protection des données qui permettra de déterminer les mesures à prendre pour les protéger au mieux (mesures de sécurité, chiffrement…).
5. Organiser les processus internes : il s’agit de mettre en place des procédures internes, des sensibilisations, des remontées d’information… qui permettront de vérifier que les réflexes de la protection des données sont acquis  et appliqués en interne.
6. Documenter la conformité : il faut constituer et regrouper la documentation qui permettra de prouver la conformité au règlement (registre, contrats avec les sous-traitants, mentions d’information, analyses de risques