Skip to content

Les obligations d’une association avec le RGPD

Les obligations d’une association avec le RGPD

Le Règlement Général sur la Protection des Données (RGPD) concerne autant une association qu’une entreprise. En effet, celui-ci a principalement pour but d’encadrer le traitement des données à caractère personnel.

Ainsi, les associations sont dans l’obligation de respecter les obligations liées au RGPD, sous peine de recevoir des sanctions. Pour cela, l’association doit faire l’objet d’une mise en conformité au RGPD.

Une association est-elle concernée par le RGPD ?

Il est parfois difficile de déterminer qui est concerné par le RGPD. En effet, depuis son entrée en vigueur en 2018, le RGPD a imposé de nouvelles règles pour de nombreux acteurs. Les associations n’échappent alors pas au respect de ces dispositions.

Pourquoi une association est-elle concernée par le RGPD ?

Le RGPD fixe les conditions dans lesquelles des données personnelles peuvent être collectées, conservées et exploitées. Ainsi, celui-ci s’applique à tout organisme traitant des données à caractère personnel.

L’article 4 du RGPD donne ainsi une définition du traitement de données à caractère personnel. Ainsi, on considère qu’un organisme est concerné par le RGPD lorsqu’il effectue les opérations suivantes sur les données :

  • la collecte
  • l’enregistrement
  • la conservation
  • l’utilisation
  • la communication

Ainsi, lorsqu’une association recueille des informations personnelles sur ses adhérents, elle procède à un traitement de données personnelles. Elle est alors dans l’obligation de respecter le RGPD.

A noter : une donnée est considérée comme personnelle lorsqu’elle permet d’identifier directement ou indirectement une personne physique.

Quel type d’association est concerné par le RGPD ?

Aucune distinction n’est opérée entre les associations pour l’application du RGPD. En effet, peu importe le type d’associations, celles-ci ont l’obligation de respecter la réglementation liée au RGPD.

Ainsi, le RGPD concerne les associations :

En effet, le seul critère déterminant est le traitement de données à caractère personnel. Ainsi, tous les types d’associations sont concernés par le RGPD lorsqu’elles procèdent à la collecte, la conservation ou l’utilisation de données personnelles.

Quelles obligations pour une association soumise au RGPD ?

Le RGPD a pour principal objectif de renforcer les droits des personnes en matière de données personnelles. Ainsi, afin de respecter ces droits, les associations sont soumises à plusieurs obligations.

Les principes à respecter

Le RGPD a instauré de nombreux principes à respecter. Ainsi, les associations doivent veiller à respecter les principes tels que :

  • la licéité du traitement : l’article 6-1 du RGPD prévoit six conditions dans lesquelles le traitement des données personnelles est permis. Les associations doivent ainsi veiller à ce que le traitement des données entre dans ces conditions.
Attention : Si le traitement des données personnelles de l’association ne répond pas aux six conditions, celui-ci ne sera pas licite.
  • la minimisation des données : l’association a l’obligation de limiter la collecte des données à celles strictement nécessaires par rapport à la finalité du traitement. Ainsi, elle doit collecter des données uniquement pour répondre à l’objectif défini.
  • la transparence : l’association est dans l’obligation de fournir plusieurs informations telles que la finalité et la base juridique du traitement des données ou la durée de conservation. Ces informations doivent être accessibles aux personnes dont les données sont collectées.
Bon à savoir : Afin de respecter l’obligation de transparence, l’association peut rédiger une politique de confidentialité RGPD.

La responsabilité des responsables de traitement

Le RGPD pose le principe d’accountability des responsables des traitements. En effet, l’article 5 dispose que ceux-ci sont responsables du respect des règles imposées par le RGPD.

Ainsi, les associations doivent mettre en œuvre et actualiser des mesures afin de garantir à tout moment le respect des principes posés par le RGPD. Pour cela, elles doivent respecter deux principes centraux :

  • principe de privacy by design : l’association doit intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données.
  • principe de privacy by default : une fois qu’un service a été communiqué au public, les standards de protection des données personnelles devront être appliqués par défaut.
A noter : L’accountability s’inscrit dans une vision dynamique et globale. En effet, une réévaluation des mesures doit être réalisée régulièrement. Elle doit également mobiliser l’ensemble des acteurs de l’association.

Comment mettre en conformité son association avec le RGPD ?

Se conformer aux normes RGPD implique de mettre en place la bonne organisation afin d’utiliser de manière licite les données personnelles des personnes concernées. Autrement dit, il s’agit d’instaurer les outils et bonnes pratiques au sein de l’association. Pour se mettre rapidement aux normes RGPD, les associations doivent mener les actions suivantes.

Etape 1 : Constituer un registre du traitement des données

La mise en conformité au RGPD implique une documentation détaillée des opérations liées aux données personnelles. Ainsi, les associations doivent disposer d’un registre des activités de traitement. Celui-ci permet ainsi de recenser les traitements des données personnelles et de disposer d’une vue d’ensemble sur l’utilisation des données personnelles.

Ainsi, le registre doit contenir :

  • Les différents traitements effectués ;
  • les types des traitements ;
  • les types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger) ;
  • les acteurs traitant des données ;
  • les conditions d’exécution du traitement ;
  • la durée de conservation des données personnelles.

Il est par ailleurs recommandé de confier la tenue du registre au délégué à la protection des données (DPO RGPD). Celui-ci aura alors pour mission de le mettre à jour régulièrement.

A noter : Ce registre doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Etape 2 : Trier les données

Le tri des données s’inscrit dans la volonté de collecter les données uniquement nécessaires au traitement. En effet, les associations doivent respecter le principe de minimisation des données.

Ainsi, elles ne doivent collecter que les données dont elles ont strictement besoin. Ainsi, les associations doivent :

  • collecter les données que si elles ont un lien direct avec la finalité du traitement
  • limiter la collecte aux données strictement nécessaires par rapport à la finalité du traitement
Bon à savoir : La finalité du traitement se définit comme l’objectif en vue duquel les données sont collectées ou exploitées par l’association. Elle doit impérativement être définie par les associations.

Etape 3 : Respecter les droits des personnes concernées

Le RGPD confère de nombreux droits aux personnes dont les données sont collectées. En effet, celles-ci disposent notamment d’un droit :

  • d’accès ;
  • de rectification ;
  • à la portabilité : toute personne a le droit de récupérer les données qu’elle a fournies à un responsables de traitement.

Les responsables de traitement sont ainsi dans l’obligation de mettre en place des mesures veillant à respecter ces droits.

Par ailleurs, les associations doivent veiller dans de nombreuses situations à recueillir le consentement dans le cadre du RGPD des personnes concernées.

A noter : Les responsables de traitement doivent également respecter les règles strictes imposées en matière de profilage par le RGPD.

Etape 4 : Sécuriser les données personnelles

La sécurisation des données personnelles est un principe posé par l’article 32-1 du RGPD. Ainsi, les responsables de traitement doivent mettre en œuvre les mesures techniques appropriées. Celles-ci permettent alors de garantir un niveau adapté aux risques.

La sécurisation des données s’appuie sur les principes de :

  • confidentialité : les données ne sont accessibles qu’aux personnes autorisées.
  • d’intégrité : les données ne doivent pas être altérées ou modifiées.
  • disponibilité : les données doivent être en permanence accessibles aux personnes autorisées.

Il existe plusieurs mesures de sécurités possibles. Ainsi, les associations peuvent mettre en place le chiffrement des données. Cela permet alors de garantir la confidentialité d’une information. Elles peuvent également procéder à la pseudonymisation des données. Elle consiste à remplacer une donnée personnelle par un pseudonyme.

A noter : Outre les étapes mentionnées, les associations peuvent également avoir recours à une formation RGPD. Celle-ci permet alors de mettre en place des mesures assurant la mise en conformité au RGPD de l’association.

Quelles sanctions en cas de non-conformité d’une association au RGPD ?

En cas de non-conformité au RGPD constatée, une association tout comme une entreprise encoure des sanctions. Seule la CNIL est habilitée à appliquer des sanctions en cas de méconnaissance ou de non-application des dispositions du RGPD.

En effet, si les mesures adéquates ne sont pas mises en place pour assurer la protection des données personnelles, l’association peut être sanctionnée d’une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Toutefois, les autorités de contrôle appliquent parfois des sanctions administratives conséquentes et dissuasives. Elles peuvent :

  • Imposer l’obligation de conformité ;
  • Réaliser un rappel à l’ordre ;
  • Limiter définitivement ou temporairement le traitement des données.
Attention : ces mesures répressives peuvent également avoir de graves conséquences sur l’image de l’association concernée. En effet, elles peuvent faire l’objet d’une publication.

FAQ

Pourquoi une association est-elle soumise au RGPD ?

Une association est soumise au RGPD lorsqu’elle traite des données à caractère personnel. Ainsi, si une association procède à la collecte, la conservation ou l’utilisation de données, elle est concernée par le RGPD. Elle doit alors respecter les règles instaurées par le RGPD.

Quel type d’association est concerné par le RGPD ?

Le type d’association n’a aucun impact sur le respect du RGPD. En effet, le critère déterminant pour le respect du RGPD est le traitement de données personnelles. Ainsi, si une association traite des données, elle sera soumise au RGPD. Il importe peu que ce soit une association de loi 1901 ou une association reconnue d’utilité publique.

Comment mettre son association en conformité avec le RGPD ?

Les associations sont dans l’obligation de se conformer aux dispositions du RGPD. Pour cela, il est recommandé aux associations de tenir un registre de traitement des données. Elles doivent également veiller à respecter les droits des personnes tels que le droit d’opposition ou le droit à l’effacement.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 19/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments