Le nouveau règlement européen sur la protection des données sera applicable à parti du 25 mai 2018. Il vient remplacer les missions de la CNIL en France tout en renforçant les droits et libertés des personnes. Les 3 principaux objectifs du RGPD sont de renforcer les droits des personnes, responsabiliser les entités réalisant des traitements de données et enfin, harmoniser les lois nationales portant sur la protection des données.
Le RGPD s’applique-t-il à votre association ?
Votre association est aussi concernée par le RGPD si vous avez un fichier contenant les informations personnelles des membres de votre association (date de naissance, adresse, email…). Votre association est aussi régie par le nouveau règlement si vous possédez un carnet de contacts (fichier) à qui vous envoyez des mails ou des newsletters. Enfin, vous êtes concerné par le RGPD si vous avez des salariés et que vous conservez leurs données personnelles.
Quelles sont les obligations du RGPD que vous devez respecter ?
À partir du moment où votre association est soumise au RGPD, vous devrez alors respecter plusieurs obligations. Tout d’abord, vous devez vous assurer que chacun de vos contacts a bien donné son consentement pour faire partie de votre fichier. De plus, ils devront être informés de l’utilisation qui va être faite de leurs données. Ensuite, vous devrez la raison pour laquelle vous conservez ces données. Enfin, vous devrez mettre en place une procédure qui permettra à vos contacts de supprimer leurs données personnelles (droit à l’oubli).
L’obligation de tenir un registre des traitements
Les associations soumises au RGPD doivent tenir un registre de traitement. Parmi les informations qui doivent être contenues dans ce registre on peut citer : la finalité du traitement (paiement de cotisation annuelle, études des profils de membres pour mieux choisir les nouveaux membres, remboursement…), les catégories de données personnelles (données d’identification, vie personnelle, information professionnelle et financière, donnée de localisation…), destinataires et catégories de personnes concernées. Ici, les membres de l’association.
Mettre son association en conformité avec le RGPD
Compte tenu des nombreuses obligations imposées par le RGPD, il peut être difficile de se mettre aux normes. Et pour aider les entités, la CNIL a proposé une méthode divisée en 6 étapes. Voici une synthèse de cette méthode :
- Désigner un DPO : son rôle est de suivre l’application du RGPD au sein de l’association. Il est également chargé de la communication entre l’entreprise et la CNIL ;
- Inventorier et identifier les données : il s’agit de faire le point sur les finalités de tous les traitements stockées par l’association. Cela passe par la conception d’un registre (un modèle est proposé par le RGPD). C’est ce registre qui va servir à prouver la conformité au RGPD;
- Faire une documentation spécifique pour les données sensibles (analyse d’impact sur la protection des données) ;
- Mettre en place une procédure spécifique pour les transferts de données hors de l’UE.
Rappel des sanctions en cas de manquements au RGPD
Les associations ne sont pas les premières concernées par le RGPD. Malgré tout, en cas de contrôle, il sera toujours plus judicieux de montrer sa bonne foi et d’être capable de prouver que vous vous êtes bien efforcé de vous conformer au RGPD.