Le RGPD (règlement général de la protection des données) est une réglementation européenne qui consiste à clarifier le traitement des données personnelles sur les personnes physiques. Elle intervient sur le traitement de ces données et sur l’information du citoyen, relativement à leur utilisation. Toutes entreprises et toutes associations sont soumises à cette réglementation aujourd’hui. Voyons comment rendre conforme une association au RGPD.
RGPD et association : une application obligatoire
Appliquer le RGPD dans une association représente un petit bouleversement dans les habitudes de fonctionnement. Un site comme LegalPlace, se tient à la disposition des associations loi 1901, pour les guider dans toutes ces formalités administratives.
Tentons de comprendre d’abord l’importance du RGPD dans une association. Il faut avoir à l’esprit pour cela, qu’une association recueille des données personnelles sur : ses membres, ses donateurs, ses adhérents. Ces informations sont aujourd’hui d’une grande importance puisqu’elles peuvent permettre d’identifier une personne par rapport à des éléments de son identité physique, économique, culturelle, etc. Le RGPD réglemente d’ailleurs le traitement de toutes données, recueillies sur support papier ou numérique.
Concrètement, l’application du RGPD dans une association va se matérialiser par un ensemble nouveau de règles, visant à l’intégrer à son fonctionnement. Brièvement, il va s’agir de revoir toutes les procédures visant au traitement des données telles que leur recueil, leur enregistrement, leur conservation, leur modification et leur transmission. Le RGPD veille aussi à la légitimité du pourquoi l’on recueille ces données et à la bonne information des personnes qu’elles concernent. Ainsi, la conservation des données personnelles n’est plus libre, mais doit répondre à une utilisation légitime, conformément aux buts que poursuit l’association.
Associations : les 5 mesures à mettre en place pour se conformer au RGPD
L’application du RGPD dans une association repose donc, comme dans toute entreprise, sur un principe de responsabilité. Il implique, pour les responsables de l’association, de mettre en place de nouvelles mesures organisationnelles et techniques.
1. Trouver un responsable
Trouver son DPO, ou responsable à la protection des données, va être, pour une association, la préalable à la bonne conduite du changement. Si elle ne dispose pas en son sein du bon profil (juriste avec bonnes connaissances en NTIC, ou personne avec une expérience en certification ISO), l’association peut externaliser cette tâche.
2. Faire l’état des lieux
Dans un premier temps, il va s’agir de réunir toutes les données auxquelles l’association a accès, puis de retracer leur cheminement et leur utilisation : que fait-on de ces données, et quelles personnes y accèdent ? Le travail de DPO est de commencer à mettre en place des procédures propres à chaque type de données : questionnaires, courrier, e-mailing… Il va aussi sensibiliser tous ceux qui œuvrent au sein de l’association à ces nouvelles pratiques.
3. Mettre en place une structure
La mise en conformité de l’association avec le RGPD ne devient vraiment effective qu’une fois que la grille de traitement de la CNIL (commission nationale de l’informatique et des libertés) sera appliquée. Elle permet de dresser un véritable tableau de bord de toutes les données personnelles recueillies pour vérifier qu’il n’y ait aucune faille dans leur sécurité.
D’autres contraintes vont venir s’appliquer, notamment dans l’information des publics susceptibles de livrer leurs données personnelles. Un droit à l’information s’applique en effet, ainsi que le devoir de recevoir le consentement de ces personnes (plus d’infos encore sur les enjeux du RGPD sur : https://www.mr-entreprise.fr).
4. Trier ses données
Attention, la durée de conservation des données doit être établie en lien avec la finalité de leur utilisation. Se débarrasser des données inutiles peut éviter des sanctions.
5 Planifier ses actions
Pour rester en conformité avec le RGPD, un travail régulier est nécessaire, incluant des « rappels » de temps à autre, qu’il est aujourd’hui obligatoire de prévoir dans ses plannings.
Toute personne livrant des données personnelles à une association a le droit d’y avoir accès et de connaître la finalité de l’exploitation de ces informations. L’autorité compétente en matière de respect du RGPD demeure la CNIL.