Skip to content

Association loi 1901 et RGPD

Association loi 1901 et RGPD

Le RGPD (Règlement général sur la protection des données) est en vigueur depuis le 25 mai 2018 en France. Pour éviter les sanctions liées au RGPD, les entreprises ont notamment dû :

  • Se mettre progressivement en conformité avec la nouvelle réglementation;
  • Désigner un pilote en charge de sa mise en œuvre (Data Protection Officer) ;
  • Suivre des formations pour rattraper leur retard si nécessaire.

Eu égard à leurs objectifs, les associations loi 1901 sont en droit de se demander si elles sont concernées par ces dispositions.

Les associations sont-elles concernées par le RGPD ?

Les entreprises sont principalement concernées par le RGPD, mais d’autres organismes le sont également.

En raison des spécificités de ses statuts, une association permet souvent d’être dispensé de nombreuses contraintes fiscales, administratives ou même financières. Il s’agit ainsi d’une forme juridique particulièrement intéressante pour faciliter la mise en œuvre d’activités à but non lucratif. Cependant, les associations sont concernées par le RGPD au même titre que les entreprises, quel que soit leur objet social.

Destiné à protéger les données personnelles, le RGPD s’applique indifféremment à tout type de structures. De ce fait, il concerne à la fois les sociétés, les associations et les organismes de droit public ou privé. Les « données personnelles » englobent en effet toute « information se rapportant à une personne physique identifiée ou identifiable ».

Ainsi, une association est soumise au RGPD dès lors qu’elle enregistre le nom, le prénom, l’adresse e-mail ou postale ou encore le numéro de téléphone d’une personne pour diverses raisons. Ces informations peuvent être nécessaires dans le cadre d’une nouvelle adhésion, d’un événement associatif, d’une collecte de don.

Outre les fichiers numériques, cette réglementation couvre tout type de supports pouvant être utilisés pour stocker ces informations, y compris les livres de compte, les registres, etc. En effet, il s’agit essentiellement de protéger des données à caractère personnel. Même si certaines lois ont déjà traité ce sujet auparavant, le RGPD a poussé la démarche plus loin pour garantir la sécurité de ces informations précieuses.

Comment mettre son association en conformité avec le RGPD ?

Vu l’ampleur de l’opération, l’association a besoin de confier la mise en œuvre du RGPD à un pilote dédié, le DPO (Data Protection Officer). Celui-ci pourra notamment vérifier l’application de cette réglementation à tous les niveaux et observer les évolutions du processus au quotidien. De plus, les dirigeants disposeront d’un interlocuteur unique pour leur fournir des informations sur la situation.

En travaillant en étroite collaboration avec le DPO, il devrait être plus facile de définir les points à régler en priorité pour mettre une association en conformité avec le RGPD.

Il est également indispensable de mettre en place un registre des traitements des données. Ce document permettra d’identifier et d’inventorier tous les traitements de données réalisés au sein de la structure. Si le registre de l’association est tenu correctement, elle sera en mesure de dresser une cartographie de ses données.

A noter : il est très important de mettre continuellement à jour tous les documents permettant de prouver la conformité de la structure avec le RGPD et d’éviter ainsi les sanctions en cas de contrôle. De plus, en cas de révision de la réglementation, ces documents montreront également la bonne foi de l’association dans cette démarche.

Enfin, il est fortement recommandé de créer un registre spécifique pour le suivi et la gestion des données sensibles.

Quelles sanctions pour l’association en cas de non-conformité avec le RGPD ?

Bien que son champ d’application soit largement étendu, le RGPD a surtout été mis en place pour encadrer les entreprises utilisant les données personnelles de leurs clients à des fins commerciales ou publicitaires.

Cependant, les associations sont soumises au RGPD, au même titre que les sociétés commerciales. Elles peuvent ainsi faire l’objet de contrôles et être sanctionnées en cas d’infraction. Particulièrement dissuasives, ces pénalités peuvent atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires pour une structure d’envergure mondiale.

D’ailleurs, le mois suivant l’application de la réglementation, l’ADEF (Association pour le Développement des Foyers) a dû payer une amende de 75 000 euros pour manquement à son obligation d’assurer la sécurité des données personnelles (CE 17 avril 2019, n°423559).

Cette sanction exemplaire a notamment permis à la CNIL (Commission nationale de l’informatique et des libertés) de renforcer le caractère dissuasif des amendes RGPD.

Cette sanction a permis à l’autorité administrative de démontrer que cette nouvelle mesure concerne effectivement toutes les structures.

Le règlement général sur la protection des données s’impose comme une véritable révolution. En effet, il permet d’améliorer de manière significative l’information et le respect des citoyens par rapport à l’utilisation de leurs données personnelles.

La transparence exigée par le RGPD remet en question les pratiques courantes de collectes de données. Désormais, chacun réduira autant que possible les informations recueillies pour faciliter la gestion du flux et limiter les risques en matière de sécurité.

Quels sont les objectifs du RGPD ?

Les exigences du RGPD se concentrent sur 4 points essentiels :

  • la création d’un registre des traitements des données ;
  • le tri de ces informations ;
  • le respect des droits des personnes ;
  • la sécurisation des données sensibles.

Le registre devra notamment fournir des détails sur les traitements de données effectués par l’association (type d’informations recueillies, objectif du traitement, acteurs en contact avec ces données et les destinataires de l’opération). Une fois ce document à jour, il sera plus facile de faire un tri pour ne sauvegarder que l’essentiel et réduire les données collectées à l’avenir.

Ainsi, il est impératif de recueillir le consentement de la personne concernée avant de stocker ses données et de les effacer si elle le souhaite.Créez votre associationCréez votre association

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments