Le Règlement général sur la protection des données (RGPD) est entré en vigueur il y a 5 ans, le 25 mai 2018. L’occasion pour SMACL Assurances de rappeler combien et comment il s’applique aux associations. 

 

Rappel : le RGPD, c’est quoi ?

C’est l’ensemble des règles destinées à protéger les personnes physiques quant au traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Il s’applique en France depuis le 25 mai 2018.

Concerne-t-il les associations ?

Le RGPD s’applique à tous les organismes, quels que soient leur taille et leur domaine d’activité, dès lors qu’ils collectent des données personnelles des personnes physiques. Rappelons que toute information permettant d'identifier une personne directement (nom, prénom, etc.) ou indirectement (numéro de sécurité sociale, numéro de téléphone, etc.) est une donnée personnelle.
 
En d’autres termes, si votre association recueille ne serait-ce que les noms et prénoms de ses adhérents pour gérer le paiement de leurs cotisations, ou la tenue de son Assemblée générale par exemple, elle est, de facto, soumise au RGPD.

En quoi le RGPD oblige-t-il les associations ?

Avec le RGPD, la responsabilité des associations se trouve renforcée : celles-ci doivent à tout moment assurer une protection optimale des données et être en mesure de démontrer la conformité de leur traitement, ce qui implique de documenter cette conformité.
 

• Élaborer un registre des traitements de données

Pour attester de leur bon respect du RGPD, les associations se doivent de prouver que les données à caractère personnel ne sont recueillies et traitées que pour une finalité déterminée, explicite et légitime, correspondant aux activités de l’association.
 
À cet effet, le RGPD prévoit, dans son article 30, l’instauration d’un registre des activités de traitement qui doit être tenu par le responsable des traitements.
Ce document de recensement permet d’identifier, pour chaque activité de l’association :

• les personnes intervenant dans le traitement des données,
• les catégories de données traitées,
• ce qu’en fait l’association,
• qui peut y accéder,
• à qui elles sont communiquées,
• la durée de leur conservation,
• les modalités de leur sécurisation.

 

• Informations des personnes

Dès que vous collectez des données, le support de collecte (formulaire, questionnaire...) doit expliquer pourquoi, qui a accès, combien de temps, comment exercer ses droits d’opposition et préciser si des données sont transférées hors de l’Union européenne.
 
Cependant, il n'est pas obligatoire de faire figurer toutes ces informations sur le support : l'association peut aussi renvoyer à sa politique de confidentialité ou à une page  "vie privée" de son site Internet.
 

• La sécurisation des données

Si les données recueillies par l’association ont fait l’objet d’une violation (perte d’intégrité, de disponibilité, de confidentialité, etc.) il existe un risque pour les personnes physiques concernées. Dès lors, cet incident doit être notifié à la CNIL au plus tard dans les 72 heures à partir du moment où il en a pris connaissance, en utilisant son téléservice de notification de violations.
 
Si cette violation de données représente un risque élevé pour les personnes concernées (ex. existence de données sensibles, comme des certificats médicaux par exemple) l’association doit également prévenir ces personnes.
 

• Le délégué à la protection des données

Quels que soient la taille et les activités de la structure, la désignation d’un Délégué à la protection des données (DPD) est fortement recommandée. Elle est même obligatoire si les activités de base de l'association exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ce responsable aura la charge de l’identification et la coordination des actions à mener en matière de protection des données personnelles. Ce peut être un délégué interne ou externe à l’association, ou même mutualisé entre plusieurs organismes.


Découvrez quelques astuces pour mettre en oeuvre votre mise en conformité !

Quels sont les risques encourus par l’association qui ne respecte pas le RGPD ?
Une association peut être contrôlée par la CNIL et sanctionnée en tant que responsable de traitement des données.
C’est ce qui est arrivé à une association suite à un incident de sécurité sur son site internet rendant librement accessibles les données personnelles de ses utilisateurs. Elle a été reconnue coupable d’avoir manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs. Elle s’est vue prononcer une sanction pécuniaire de 75 000 euros à son encontre.
 
Lisez l'intégralité de cette décision de la CNIL.