Skip to content

Les obligations d’une association avec le RGPD

Les obligations d’une association avec le RGPD

Entré en vigueur en France le 25 mai 2018, le RGPD ou Règlement général sur la protection des données est mis en place afin d’encadrer le traitement et la circulation des données personnelles. Ce règlement s’applique sur tout le territoire de l’Union européenne et à toutes les structures récoltant des informations à caractère personnel concernant leurs clients, utilisateurs ou adhérents. Pour protéger la vie privée de leurs adhérents, les associations et toutes les autres structures concernées se doivent de mettre en place une politique de confidentialité RGPD. Une amende pour non-conformité au RGPD peut d’ailleurs être adressée à l’encontre des entités qui dérogent à ce règlement.

RGPD : quelles sont les associations concernées ?

Certaines associations ne se sentent pas directement concernées par le RGPD du fait que ce sont surtout les entreprises qui utilisent les données personnelles à des fins marketing. Or, tous les organismes qui recueillent des données concernant une personne physique identifiée ou identifiable doivent mettre en place les mesures nécessaires pour se conformer à ce règlement européen. De ce fait, sont soumis au RGPD tous les types d’associations, qu’il s’agisse d’une association loi de 1901, d’une association de gestion agréée , d’une association reconnue d’utilité publique ou d’une association non déclarée ou association de fait qui :

  • possèdent et traitent un fichier comportant des informations personnelles sur ses membres ;
  • possèdent une base de données contenant le contact de ses membres pour l’envoi de mail ou de newsletter ;
  • conservent les données personnelles de ses bénévoles ou employés.

Pour aider les entreprises et les associations à mieux comprendre et appréhender ce règlement, la Commission nationale de l’informatique et des libertés (CNIL) propose une formation sur le RGPD.

 

Quelles obligations pour les associations soumises au RGPD ?

Toutes les structures rassemblant et traitant des données personnelles sont tenues de prendre des mesures afin d’en assurer une utilisation respectueuse de la vie privée des personnes concernées. Pour répondre aux critères du RGPD, les associations se doivent de respecter certaines obligations vis-à-vis de la CNIL.

Détenir un registre de traitements de données

Les associations doivent détenir un document dans lequel sont consignés tous les détails des traitements de données effectués, qu’elles les utilisent ou les traitent pour le compte d’une autre entreprise (sous-traitance). Chaque traitement de données doit être motivé. Les informations suivantes doivent, de ce fait, apparaître pour chaque traitement :

  • le but du traitement;
  • le type de données personnelles collectées (localisation, identité, coordonnées, etc.) ;
  • l’utilisation des données (mieux cibler la publicité, enquête de satisfaction, propagande, gestion de recrutements, etc.) ;
  • les personnes qui traitent les données (internes ou externes à l’association) ;
  • les personnes à qui les données récoltées seront envoyées (physiques ou morales).

Trier les données

Les associations doivent trier les données qu’elles recueillent de façon à ne conserver que les plus essentielles. Le but est de restreindre la collecte d’informations afin de mieux protéger les droits des personnes faisant l’objet de traitements de données. En collectant le moins de données personnelles possible, l’association s’expose à moins de risques de contentieux.

Se conformer aux droits des personnes

Pour respecter les droits des personnes dont les données sont collectées et traitées, les associations se doivent de les informer à chaque collecte de données. Cette règle est matérialisée par la demande du consentement de la personne concernée. Le recueil de consentement doit être perceptible et clair. En outre, les associations doivent informer les personnes concernées sur :

  • la raison de la collecte de données ;
  • leur autorisation à recueillir les données ;
  • les personnes ayant accès aux données collectées ;
  • la durée durant laquelle les données seront stockées.

L’association doit pouvoir justifier la collecte et l’utilisation de données auprès des personnes qui souhaitent en connaître les raisons. En outre, les mentions légales doivent être mises à jour afin que celles-ci adhèrent au RGPD.

Par ailleurs, les associations doivent respecter les droits des personnes suivantes :

  • le droit à l’oubli: selon l’article 17 du RGPD, toute personne concernée par la collecte et le traitement de données peut demander l’effacement de ses données ;
  • le droit à la portabilité: la personne concernée peut demander à récupérer l’ensemble de ses données collectées pour les stocker à titre personnel ou les donner à un autre organisme ;
  • le droit de rectification: la personne concernée a la possibilité de demander un rectificatif des données erronées dans les meilleurs délais ;
  • le droit d’opposition: pour diverses raisons, la personne concernée peut s’opposer au traitement des données la concernant ;
  • le droit à la limitation du traitement: la personne concernée est en droit d’interdire au responsable d’utiliser certaines données ;
  • le droit d’accès: la personne concernée peut demander d’accéder aux informations la concernant. Elle peut également demander la confirmation que ses données sont ou ne sont pas traitées. L’association dispose d’un mois pour répondre à la demande de la personne concernée.

Protéger les données

En tant que détentrice de données personnelles, une association doit garantir leur sécurité. Pour ce faire, elle doit prendre des précautions permettant de préserver le registre des données personnelles :

  • crypter les données;
  • mettre à jour l’antivirus de manière régulière ;
  • modifier régulièrement les mots de passe pour accéder aux fichiers.

En cas de violation des données personnelles, l’association est soumise à une double obligation. En effet, elle doit, en premier lieu, saisir rapidement la CNIL (au moins dans les 72 heures suivant la constatation de la violation). Les personnes concernées doivent en être également informées dans les meilleurs délais.

 

Associations : comment se mettre (vite) aux normes RGPD ?

Se conformer aux normes RGPD implique de mettre en place la bonne organisation afin d’utiliser de manière licite les données personnelles des personnes concernées. Autrement dit, il s’agit d’instaurer les outils et bonnes pratiques au sein de l’association. Pour se mettre rapidement aux normes RGPD, les associations doivent mener les actions suivantes.

Désigner un pilote

Il est vivement recommandé de désigner une personne dont la mission principale sera de garantir la mise en conformité avec le RGPD. Elle doit ainsi mettre en place le RGPD et s’assurer qu’il soit appliqué adéquatement au sein de l’association. Ce pilote servira également d’interlocuteur avec les autorités compétentes en matière de protection des données personnelles. Cette démarche permet de minimiser les risques de litiges.

Si l’association traite des données sensibles, elle est tenue de nommer un délégué à la protection des données. Sont qualifiées de données sensibles toutes les informations qui renseignent sur :

  • l’origine raciale ;
  • l’origine ethnique ;
  • les convictions religieuses ;
  • les convictions philosophiques ;
  • les opinions politiques ;
  • la santé ;
  • la vie sexuelle ;
  • l’orientation sexuelle ;
  • les données génétiques et les données biométriques permettant d’identifier une personne de manière unique ;

Répertorier les fichiers

Il s’agit de réaliser une cartographie des données à partir du registre des données pour répondre aux questions : qui, quoi, pourquoi, où, jusqu’à quand et comment ? Cette technique permet en outre d’identifier les activités pour lesquelles l’association doit collecter et traiter des données personnelles.

Définir les traitements de données à risque

Le pilote doit être en tout temps en mesure de démontrer que les traitements qu’il gère respectent les normes RGPD. Il doit trier les données afin de s’assurer que chacun des stockages est utile et pertinent. Il doit aussi être capable de gérer correctement les traitements nécessitant une vigilance particulière à savoir :

  • les données concernant les personnes vulnérables;
  • la surveillance automatique des personnes ;
  • le mélange d’ensembles de données;
  • le traitement de données sensibles.

Créer et adapter certains documents pour se conformer au RGPD

L’association doit constituer et rassembler les documents nécessaires qui serviront de preuve quant à sa conformité au règlement. En effet, la CNIL peut effectuer différents contrôles pour vérifier la bonne application de la loi en vigueur sur la protection des données personnelles. Elle peut effectuer une descente sur terrain, un contrôle sur pièces, en ligne ou sur audition. Lors du contrôle, l’association doit être en mesure de présenter tous les documents requis prouvant les démarches effectuées dans le cadre de la mise en conformité au RGPD.

Les documents ainsi regroupés doivent ensuite faire l’objet de mises à jour régulières afin d’assurer une protection optimale des données récoltées et traitées.

En outre, l’association doit adapter ses formulaires (d’inscription, de collecte d’emails, etc.) pour les rendre conformes au RGPD. En plus de sécuriser le transfert des données personnelles, les formulaires doivent permettre de recueillir le consentement de la personne, d’en conserver une preuve et de l’informer sur ses droits.

Mettre en place des procédures internes

Il est recommandé d’organiser des procédures internes permettant de mieux appréhender les différents événements susceptibles de survenir au cours de la vie d’un traitement. Ces événements peuvent être une faille de sécurité, une demande d’accès, une demande de modification des données ou autres. Le but est de garantir un niveau de protection des données personnelles élevé.

 

Quelles sanctions en cas de non-conformité d’une association au RGPD ?

En cas de non-conformité au RGPD constatée, une association tout comme une entreprise encoure des sanctions. Seule la CNIL est habilitée à appliquer des sanctions en cas de méconnaissance ou de non-application des dispositions de ce règlement européen.

Les sanctions administratives

La CNIL peut prononcer plusieurs sanctions administratives selon la gravité du manquement aux obligations du RGPD. Celles-ci peuvent s’appliquer en plusieurs étapes :

  1. avertissement ou mise en demeure de l’association et rappel à l’ordre ;
  2. injonction de cesser le traitement ;
  3. limitation ou suspension des flux de données ;
  4. effacer les données recueillies illicitement ;
  5. ordre de respecter les droits des personnes ;
  6. paiement d’amendes administratives pouvant s’élever à une dizaine de millions d’euros selon la gravité de la non-conformité aux normes RGPD.

Il existe deux types de sanctions administratives :

InfractionSanctions
Non-respect des obligations incombant au responsable du traitementAmende de 10 000 000 € ou 2 % du chiffre d’affaires mondial
Non-respect des obligations incombant au sous-traitant
Non-respect des exigences du RGPD imposées à l’organisme de certification et à l’organisme de suivi des codes de conduite
Non-respect de l’obligation de consentementAmende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial
Non-respect des droits des personnes concernées
Non-respect de la mise en place de certaines mesures spécifiques relatives au RGPD ou d’une injonction à l’ordre prononcée par la CNIL

Les sanctions pénales

Une association qui écope d’une amende administrative n’échappe pas à des sanctions pénales. En effet, une association qui manque à ses obligations peut faire l’objet d’une poursuite judiciaire intentée par les victimes. Par ailleurs, selon l’article 84 du RGPD, « Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de