Association loi 1901 et RGPD : le guide complet

Association loi 1901 et RGPD : le guide complet

Le RGPD (Règlement général sur la protection des données) est en vigueur depuis le 25 mai 2018 en France. Pour éviter les sanctions liées au RGPD, les entreprises ont notamment dû :

Eu égard à leurs objectifs, comme la protection des données de santé, les associations loi 1901 sont en droit de se demander si elles sont concernées par ces dispositions.

 

Les associations sont-elles concernées par le RGPD ?

Les entreprises sont principalement concernées par le RGPD , mais d’autres organismes le sont aussi. Quels autres organismes sont concernés par le RGPD ? Les e-commerçants et les professionnels du numérique font partie des premiers à s’être posé la question à l’annonce de l’initiative. Toutefois, les dispositions prévues par cette réglementation dépassent largement le cadre de ces profils et concernent des acteurs issus de différents secteurs.

En raison des spécificités de ses statuts, créer une association permet souvent d’être dispensé de nombreuses contraintes fiscales, administratives ou même financières. Il s’agit ainsi d’une forme juridique particulièrement intéressante pour faciliter la mise en œuvre d’activités à but non lucratif ou caritatif. Mais, cette fois-ci, les associations sont concernées au même titre que les entreprises, quel que soit leur objet social.

Destiné à protéger les données personnelles, le RGPD s’applique indifféremment à tout type de structures récoltant, traitant ou stockant ce genre d’informations. De ce fait, il concerne à la fois les sociétés, les associations et les organismes de droit public ou privé. Les « données personnelles » englobent en effet toute « information se rapportant à une personne physique identifiée ou identifiable ».

Ainsi, une association est soumise aux termes du RGPD dès qu’elle enregistre le nom, le prénom, l’adresse e-mail ou postale ou encore le numéro de téléphone d’une personne pour diverses raisons. Ces informations peuvent notamment être nécessaires dans le cadre d’une nouvelle adhésion, d’un événement associatif, d’une collecte de don.

Outre les fichiers numériques, cette réglementation couvre, a fortiori, tout type de supports pouvant être utilisés pour stocker ces informations, y compris les livres de compte, les registres, les annuaires de membres, etc. En effet, il s’agit essentiellement de protéger des données à caractère personnel. Même si certaines lois ont déjà traité de ce sujet auparavant, le RGPD a poussé la démarche plus loin pour garantir la sécurité de ces informations précieuses.

 

Comment mettre son association en conformité avec le RGPD ? Guide des bonnes pratiques

Vu l’ampleur de l’opération, l’association a besoin de confier la mise en œuvre du RGPD à un pilote dédié, le DPO (Data Protection Officer). Celui-ci pourra notamment vérifier l’application de cette réglementation à tous les niveaux et observer les évolutions du processus au quotidien. De plus, les dirigeants disposeront d’un interlocuteur unique pour leur fournir des informations sur la situation.

En travaillant en étroite collaboration avec le DPO, il devrait être plus facile de définir les points à régler en priorité pour mettre une association en conformité avec le RGPD. Ainsi, ses membres seront au fait des risques rattachés aux libertés individuelles et à la sécurité des données personnelles collectées.

Il est aussi indispensable de mettre en place un registre des traitements des données. Ce document permettra d’identifier et d’inventorier tous les traitements de données réalisés au sein de la structure. Si le registre de l’association est tenu correctement, elle sera en mesure de dresser une cartographie de ses données.

D’autre part, il est très important de mettre continuellement à jour tous les documents permettant de prouver la conformité de la structure avec le RGPD et d’éviter ainsi les sanctions en cas de contrôle. De plus, en cas de révision de la réglementation, ces documents montreront également la bonne foi de l’association dans cette démarche.

Enfin, il est fortement recommandé de créer un registre spécifique pour le suivi et la gestion des données sensibles. Cette catégorie englobe notamment les informations de santé, les données financières, etc. Il faut en outre définir une procédure particulière, au cas où il serait nécessaire de les transférer en dehors de l’Union européenne. En effet, les territoires ne disposant pas de mesures de type RGPD exposent les données personnelles ou sensibles à des risques non négligeables.

 

Quelles sanctions pour l’association en cas de non-conformité avec le RGPD ?

Bien que son champ d’application soit virtuellement très large, le RGPD a surtout été mis en place pour encadrer les entreprises utilisant les données personnelles de leurs clients à des fins commerciales ou publicitaires. Certains ont même commencé à échanger ce genre d’informations contre rémunération, à l’insu des utilisateurs.

Cependant, les associations sont désormais soumises au RGPD, au même titre que les sociétés commerciales. Elles peuvent ainsi faire l’objet de contrôles et être sanctionnées en cas d’infraction. Particulièrement dissuasives, ces pénalités peuvent atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires pour une structure d’envergure mondiale.

D’ailleurs, le mois suivant l’application de la réglementation, l’ADEF (Association pour le Développement des Foyers) a dû payer une amende de 75 000 euros à cause d’une faille de sécurité sur son site. Cette sanction exemplaire a notamment permis à la CNIL (Commission nationale de l’informatique et des libertés) de renforcer le caractère dissuasif des amendes RGPD. L’autorité administrative a démontré par la même occasion que cette nouvelle mesure concerne effectivement toutes les structures.

Appliqué sous différentes appellations à travers l’Europe, le règlement général sur la protection des données s’impose comme une véritable révolution dans le secteur. En effet, il permet d’améliorer de manière significative l’information et le respect des citoyens par rapport à l’utilisation de leurs données personnelles.

La transparence exigée par le RGPD remet en question les pratiques courantes par rapport aux collectes de données. Désormais, chacun réduira autant que possible les informations recueillies pour faciliter la gestion du flux et limiter les risques en matière de sécurité.

Toutefois, les critères à remplir peuvent parfois poser quelques soucis d’ordre technique, voire logistique, aux petites associations. Néanmoins, des outils de base comme le CRM s’avèrent particulièrement efficaces pour aider les petites structures à gérer les données en leur possession.

 

RGPD, association et CNIL

Avant la mise en application du RGPD, la CNIL a souvent rappelé que le 25 mai 2018 n’était pas réellement une date butoir. Les sanctions ne tomberont pas immédiatement. Les organismes en retard bénéficieront en effet d’une période de grâce pour poursuivre ou finaliser leur démarche de mise en conformité.

Au début, le contrôle consistera surtout à vérifier si la structure a déjà entrepris les modifications nécessaires pour s’adapter à la nouvelle réglementation. Après cette brève période de transition, la CNIL commencera à appliquer les pénalités prévues en cas de non-conformité.

Les exigences du RGPD se concentrent sur 4 points essentiels, à savoir la création d’un registre des traitements des données, le tri de ces informations, le respect des droits des personnes et la sécurisation des données sensibles.

Le registre devra notamment fournir des détails sur les traitements de données effectués par l’association (type d’informations recueillies, objectif du traitement, acteurs en contact avec ces données et les destinataires de l’opération). Une fois ce document à jour, il sera plus facile de faire un tri pour ne sauvegarder que l’essentiel et réduire les données collectées à l’avenir.

Le respect des droits des personnes, comme le droit à l’oubli, fait partie des points sur lesquels la CNIL est particulièrement stricte dans l’application du RGPD. Ainsi, il est impératif de recueillir le consentement de la personne concernée avant de stocker ses données et de les effacer si elle le souhaite. De plus, l’utilisateur doit être tenu au fait des raisons de cette collecte de données, des personnes qui ont accès à ces informations, de la durée de leur utilisation et de leurs conditions d’archivage.

 

Exemple de RGPD pour association

Pour une association loi 1901, la conformité avec le RGPD consiste essentiellement à respecter les grandes lignes de la nouvelle réglementation, à travers le respect de la personne et l’amélioration de la sécurité des données. Elle doit notamment informer les personnes concernées puis demander leur consentement avant de conserver et de traiter leurs données.

En cas de piratage ou de faille de sécurité majeure dans son réseau, l’association est également tenue d’en informer la victime et la CNIL dans les 3 jours après la découverte du problème. L’organisme s’expose à de lourdes sanctions si l’anomalie non déclarée est constatée lors d’un contrôle.

Pour limiter au maximum les risques, il vaut mieux ne rassembler (et éventuellement ne stocker) que les informations pertinentes pour le projet en cours. De cette manière, le traitement des données sera moins complexe. L’association sera également en mesure d’améliorer l’efficacité de ses dispositifs de sécurité en réduisant les accès potentiels pour les pirates.

Conformément aux principes du RGPD, chaque citoyen a le droit de connaître la nature et la quantité de ses informations personnelles enregistrées sur une base de données. L’association loi 1901 doit aussi tout mettre en œuvre pour que l’utilisateur concerné puisse voir, récupérer ou effacer ses données collectées.

Pour l’instant, cette dernière disposition peut parfois entraîner des réticences de la part des acteurs du secteur, qui invoquent des contraintes d’ordre technique. Néanmoins, la traçabilité des opérations (via le registre des traitements, la cartographie des données, etc.) devrait déjà permettre à l’internaute de savoir précisément si ses données personnelles ont été utilisées à des fins non déclarées.

Il est également indispensable de conserver toutes les pièces relatant le processus suivi par les données pour anticiper les questions des utilisateurs et les éventuels contrôles. En somme, pour les entreprises comme les associations, cette documentation est incontournable pour prouver le caractère transparent de la gestion de la base de données.

Cet article vous a-t-il été utile ?