Le règlement général sur la protection des données (RGPD), entré en vigueur le 24 mai 2016, sera applicable dès le 25 mai 2018. Les associations ayant régulièrement une activité économique et qui collectent, traitent et stockent des données personnelles devront s’y conformer.
Tous les acteurs manipulant des données doivent appliquer cette nouvelle réglementation. Conçue pour renforcer les droits des citoyens en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d’être contrôlées.
Aucune exception
Les associations ayant une activité économique, les fondations, les entreprises, les collectivités, etc. doivent avoir un plan d’actions pour sécuriser leurs données. Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone, etc.), les fichiers de contacts à qui vous envoyez des mails ou des newsletters…
Pour garantir la protection des données
– Faire le tri des données personnelles pour ne garder que celles qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (art.5).
– Obtenir le consentement des personnes (avec possibilité de modification ou d’effacement).
– Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles : identité et coordonnées de la structure, mention des droits des personnes au regard de leurs données (droit d’accès, de rectification ou de retrait), usage et délai de conservation de ces données.
– Si votre base a été piratée, vous devrez informer la CNIL et les personnes concernées dans les 72 heures.
Quelles sont les démarches à suivre ?
La CNIL conseille de nommer un délégué à la protection des données qui sera chargé de l’application du règlement en interne. C’est une procédure obligatoire pour une association exerçant une prestation informatique pour un tiers ou ayant une mission de service public. Si vous êtes une association de plus de 250 salariés, vous devez avoir un registre de traitement des données. Il est vivement conseillé d’en avoir un même en deçà (voir modèle). La finalité du traitement, à savoir la base juridique sur laquelle se fonde la collecte (cotisation annuelle, remboursement, consentement de la personne, client, obligation légale, intérêt légitime de l’association…), les catégories (données d’identification, vie personnelle, information professionnelle et financière, donnée de localisation…), les destinataires doivent y être mentionnés. Si vos données présentent un risque élevé, vous serez obligé de mener une analyse d’impact sur leur protection et établir une procédure spécifique pour améliorer votre système de protection. Enfin, si votre association fait des transferts d’informations hors Europe, vous devrez définir des protocoles pour ces envois.
