Associations : Quelles sont vos obligations en matière de RGPD?
Association et RGPD (Règlementation générale sur la protection des données personnelles)… Cette règlementation laisse perplexe beaucoup d’associations . Êtes vous concernée par les obligations en la matière de protection des données personnelles que vous collectez? Nous allons décrypter le sujet et exposer simplement les grands principes sur le sujet .
Contexte
Depuis quand et pourquoi mettre en place un règlement sur les données personnelles?
La politique de protection des données personnelles ne date pas d’hier. En effet, dès 1978 la CNIL, la commission nationale de l’informatique et des libertés réglemente les pratiques en la matière. En 2018, la RGPD voit le jour. L’Europe renforce la règlementation au sujet des données personnelles du fait notamment de :
- . L’accélération de la transformation numérique dans nos sociétés
- • La digitalisation des données et des traitements
- • La centralisation des données et de la capacité à les consolider
- • L’émergence du Big data et de l’ Intelligence Artificielle
- • La Valeur marchande de la donnée, convoitise, piratage
- En effet, ces facteurs ont pour conséquences de produire :
- • De l’insécurité juridique
- • Des besoins d’encadrement des nouveaux modes d’utilisation
Association et RGPD : Quelles sont la nature des données à protéger?
On peut citer la définition suivante pour définir une donnée personnelle :
« Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ». [1]
[1] CNIL
Ainsi, une personne physique peut-être identifiée :
- – Directement ou indirectement
- – Notamment à l’aide d’une ou plusieurs données à caractère personnel
Exemples de données à caractère personnel
Les grands principes à appliquer en matière de protection des données
Les principes fondateurs
Dans les textes règlementaires on retrouve donc 7 grands principes fondateurs :
- Licéité : la personne a consentie au traitement par l’association de ses données personnelles et a pris connaissance de la finalité.
- Limitation : La donnée personnelle ne peut-être utilisée que pour la finalité de départ, qui a obtenu le consentement de la personne.
- Minimisation : En tant qu’association vous devez collecter le strict nécessaire en matière de données personnelles
- Conservation : Vous devez définir notamment les règles de conservation des données
- Intégrité : La donnée ainsi collectée et dont vous avez la responsabilité ne doit pas être altérée.
- Confidentialité : Il faut veiller à ne pas divulguer les informations collectées auprès de tiers non autorisés
- Responsabilité : Vous collectez la donnée et vous devez donc vous assurer de la bonne mise en oeuvre de la RGPD
Pour mener à bien votre projet associatif, vous collectez des données susceptibles de pouvoir permettre l’identification de vos bénéficiaires, bénévoles… Aussi, vous l’avez compris, les associations sont soumis à la RGPD
Association et RGPD : pensez à nommer un DPO et identifier les responsables de traitement des données
Pourtant non obligatoire, dans la plupart des cas, je vous recommande de désigner au sein de votre association un DPO ( Data Protector Officer)
Il vous faudra également désigner un ou des responsables de traitement des données.
Le Rôle du DPO
La personne que vous allez désigner au sein de votre association doit avoir une appétence pour le sujet avoir une fiche de mission clairement définie et des moyens d’exercer ces fonctions.
Le DPO aura pour rôle :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect de la règlementation en matière de protection des données (RGPD, droit national, etc.) ;
- de conseiller l’association sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution
- de coopérer avec l’autorité de contrôle (la CNIL) et d’être le point de contact de celle-ci
- d’être le point de contact des personnes concernées,par exemple si une personne demande l’accès à ses données personnelles.
Astuce : l’association dans le cadre de la mise en oeuvre de la conformité peut faire appel à un DPO externalisé
Le Rôle du Responsable du traitement des données
Cette personne joue un rôle clé en matière de conformité RGPD dans les associations en effet elle contribue à:
- La mise en place d’un registre des traitements,
- L’application de mesures organisationnelles et techniques pour sécuriser les données,
- La coopération avec l’autorité de contrôle,
- Au respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données.
Association et RGPD : ne négligez pas la sensibilisation et la formation de vos équipes
La faille en matière de protection des données est souvent humaine. Il serait vain de mettre en place un registre des traitements de données sans s’assurer que la démarche est bien comprise par vos équipes. Régulièrement il peut-être judicieux d’intégrer la RGPD dans vos messages et vos temps d’animation et de formation.
Quelques ressources
Voici par exemple un quizz sur la question de la sécurité des données et des pratiques souvent observées par les internautes :
Retrouvez également :
- – Le lien pour accéder aux ressources mises à disposition par la CNIL > https://www.cnil.fr/fr
- – Une vidéo que j’ai réalisé sur les questions de la RGPD