Le RGPD est entré en vigueur le 25 mai 2018, remplaçant ainsi la directive européenne sur la protection des données à caractère personnel. En France, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés encadre également la protection des données personnelles.
Je suis une association. Suis-je concernée ? Dois-je appliquer le RGPD ?
Oui, le RGPD s’applique à toutes les associations, quel que soit leur statut, leur taille ou leur forme juridique. En tant qu’association, vous traitez des données personnelles de vos membres, salariés, bénévoles et adhérents, ce qui fait que le RGPD vous concerne.
Le RGPD s’applique à vous en tant que responsable du traitement des données et également aux sous-traitants que vous pourriez faire appel pour vous aider dans le traitement des données personnelles.
Le RGPD s’applique-t-il aussi aux fichiers papier ?
Oui, le RGPD s’applique aux données personnelles contenues dans des fichiers informatiques ainsi que dans des fichiers papier. Peu importe le support, dès lors qu’une donnée personnelle est présente dans un fichier, le RGPD s’applique.
Les données personnelles regroupent différentes informations telles que le nom, prénom, date de naissance, numéro de téléphone, adresse mail, adresse postale, adresse IP, etc.
Combien de temps dois-je conserver les données personnelles ?
Les données personnelles doivent être conservées uniquement pendant la durée nécessaire aux fins pour lesquelles elles sont traitées. Pour chaque traitement de données, la durée de conservation doit être envisagée. Il est recommandé de suivre les recommandations de la CNIL et de fixer en interne une règle de durée de conservation.
Il est important de supprimer les données qui ne sont plus nécessaires à l’exercice de votre activité, tout en veillant à respecter le principe de minimisation des données et en garantissant la sécurité des informations.
Je traite des données sensibles (certificats médicaux…) Quelles sont les conséquences ?
Le traitement des données sensibles, telles que les données relatives à la santé, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, nécessite un consentement explicite des personnes concernées, sauf exceptions prévues par la loi.
Il est recommandé d’éviter autant que possible le traitement de données sensibles. Si vous devez le faire par nécessité, demandez le consentement explicite de la personne lors de son inscription. Il faut également mettre en place des mesures de sécurité appropriées pour garantir la protection de ces données.
Dois-je demander un consentement à l’adhérent lorsque je traite ses données personnelles ?
Pas toujours, le consentement n’est pas systématiquement requis. Les données personnelles qui ne sont pas sensibles peuvent être traitées sans consentement si elles sont justifiées par des motifs légitimes tels que l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux de la personne ou l’intérêt légitime de l’association.
Cependant, pour les données sensibles, le consentement explicite de la personne est obligatoire pour chaque finalité spécifique.
Il est important de garder une preuve du consentement donné et de permettre à la personne de retirer son consentement à tout moment.
Dois-je désigner un Délégué à la Protection des Données (DPO / DPD) ?
La désignation d’un Délégué à la Protection des Données (DPO) n’est pas obligatoire pour une association, sauf dans certains cas spécifiques, tels que le traitement à grande échelle de données sensibles ou le suivi régulier et systématique de personnes.
Le DPO est chargé d’informer et de conseiller l’association, de contrôler le respect du RGPD, de conseiller sur les questions de protection des données et de coopérer avec les autorités de contrôle.
La désignation du DPO peut être interne ou externe à l’association.
Dois-je répertorier toutes les données personnelles que je traite dans un registre des traitements ?
En principe, une association de moins de 250 salariés n’est pas tenue de répertorier tous les traitements de données personnelles dans un registre. Cependant, il est recommandé de le faire, notamment pour mieux s’organiser en interne et faciliter d’éventuels contrôles de la CNIL.
Si vous effectuez des traitements susceptibles de comporter un risque pour les droits et libertés des personnes ou portant sur des données sensibles, la tenue d’un registre devient obligatoire.
Le registre doit contenir des informations telles que les coordonnées du responsable de traitement, les finalités du traitement, les catégories de données traitées, les destinataires, les durées de conservation, etc.
Dois-je informer les adhérents du traitement de leurs données personnelles ?
Oui, vous devez informer clairement les adhérents du traitement de leurs données personnelles. Cette information peut être fournie lors de leur adhésion, de l’inscription à la newsletter ou à travers votre site internet.
Les informations obligatoires à fournir comprennent vos coordonnées en tant que responsable de traitement, les catégories de données traitées, l’origine de la collecte, la base légale du traitement, les finalités, les destinataires, les durées de conservation, les transferts hors de l’Union européenne et les droits des personnes.
Comment gérer l’exercice des droits des personnes ?
Les personnes dont les données personnelles sont traitées ont le droit d’exiger l’accès, la rectification, l’effacement, la limitation du traitement, la portabilité de leurs données, ainsi que le droit de s’opposer au traitement et de définir des directives post-mortem.
Lorsqu’une personne exerce ses droits, vous devez y répondre dans un délai d’un mois. Il est important de mettre en place des procédures internes pour répondre à ces demandes et de conserver une preuve du respect de ces droits.
Si vous ne pouvez pas répondre à une demande, vous devez expliquer les raisons du refus ainsi que les voies de recours disponibles.
Quelles mesures de sécurité dois-je mettre en place ?
En vertu du RGPD, vous devez garantir la sécurité des données personnelles que vous traitez. Cela implique la mise en place de mesures de sécurité organisationnelles et matérielles telles que la gestion des accès, l’utilisation de mots de passe sécurisés, la sécurisation des réseaux, etc.
Vous devez également notifier à la CNIL toute faille de sécurité dans les meilleurs délais et, si nécessaire, informer les personnes concernées.
Concernant les transferts de données en dehors de l’Union européenne, vous devez prendre des mesures garantissant la protection des données, notamment en utilisant des clauses contractuelles types.
J’envoie des lettres d’information. Que dois-je mettre en place pour être en conformité ?
Lors de l’envoi de lettres d’information, vous devez informer les personnes du traitement de leurs données personnelles et obtenir leur consentement. Vous devez également permettre aux personnes de se désinscrire à tout moment.
Les informations à fournir incluent les catégories de données personnelles traitées, l’origine de la collecte, la base légale du traitement, les finalités, les destinataires, les durées de conservation, les transferts hors de l’Union européenne et les droits des personnes.
Veillez à conserver une preuve du consentement donné et à permettre son retrait à tout moment.
Ces informations essentielles vous permettront de mieux comprendre et d’appliquer le RGPD dans le cadre de votre activité associative. Pour toute question spécifique, n’hésitez pas à vous référer aux instances nationales et fédérations concernées.
Sources :
- Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
- Fiche pratique INC “RGPD” : quelle protection pour vos données personnelles ?
- Article “Loi Informatique et Libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)”.
- Samia M’HAMDI, Juriste à l’Institut national de la consommation.
