La protection des données

Question : Mon association est-elle soumise au nouveau règlement européen sur la protection des données personnelles ?

Réponse de la FFCO : 

  1. Présentation et définitions

Le Règlement général sur la protection des données n° 2013-679 du 27 avril 2016 dit « RGPD », qui entrera en application le 25 mai 2018, modifie le cadre européen applicable au traitement des données personnelles. Les organismes sans but lucratif, comme toute autre organisation, sont soumises au respect des exigences prévues par ce règlement lorsqu’ils traitent des données personnelles dans le cadre de leurs activités.

 Quelles sont les données considérées comme personnelles ?

Les « données à caractère personnel » sont définies comme toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique.

Quelle est la définition du traitement de ces données ?

Selon l’article 4 du règlement, le traitement se définit comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Un traitement est donc présent, et vous êtes donc soumis au RGPD, si vous procédez à une gestion de vos salariés ou de vos bénévoles ou de vos membres.

En conséquence, les associations sont concernées par  cette réglementation aux motifs que :

– elles ont un fichier des membres de leur association et qu’elles stockent leurs données personnelles (date de naissance, adresse mail etc.) ;

elles peuvent avoir un fichier de contacts à qui envoyer des e mailings / newsletter ;

– elles peuvent avoir des salariés et stocker leurs données personnelles.

II. Les principes à respecter en matière de traitement des données à caractère personnel

Les deux principes sont énumérés aux articles 5 et 6 du règlement.

Principe applicable aux données

L’article 5 du règlement prévoit que : « Les données à caractère personnel doivent être:

  1. traitées de manière licite, loyale et transparenteau regard de la personne concernée
  2. collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  3. adéquates, pertinentes et limitées à ce qui est nécessaire​ au regard des finalités pour lesquelles elles sont traitées ;
  4. exactes et, si nécessaire, tenues à jour ​; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
  5. conservées sous une forme permettant l’identification​ des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  6. traitées de façon à garantir une sécurité​ appropriée des données à caractère personnel ».

En pratique, pour respecter ce premier principe, il est conseillé de  tenir  un registre sur les données personnelles, leurs traitements et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Dans ce registre devront notamment être mentionnés :

  • Le nom et les coordonnées du responsable de traitement c’est-à-dire la personne physique ou morale qui détermine les finalités et les moyens du traitement ;
  • Les différents traitements de données personnelles (ex : collecte des informations et stockage sur un fichier Excel, utilisation pour communiquer aux membres, etc.) ;
  • Les catégories de données personnelles traitées (données d’identification, information d’ordre économique et financière, données de connexion, etc.) ;
  • Les différentes catégories de personnes concernées (adhérents, bénévoles, salariés, etc.);
  • Les objectifs poursuivis par les opérations de traitements de données (suivi du paiement de la cotisation annuelle, envoi d’informations relatives à la vie de l’association, remboursement des frais de transports pour les réunions organisées par l’association, etc.)  ;
  • Les acteurs (internes ou externes) qui traitent ces données (identification des sous-traitants éventuels) ;
  • Les durées de conservation ;
  • La description générale des mesures de sécurité techniques et organisationnelles.

Principe applicable aux traitements

L’article 6 du règlement prévoit que « le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

  1. la personne concernée a consenti au traitement​ de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  2. le traitement est nécessaire à l’exécution d’un contrat ​auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; 
  3. le traitement est nécessaire au respect d’une obligation légale​ à laquelle le responsable du traitement est soumis ;
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ​ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  6. le traitement est nécessaire aux fins des intérêts légitimes​ poursuivis par le responsable du traitement ou par un tiers».

En pratique, l’association doit donc analyser si le traitement est légal. Il y a six conditions pour justifier le traitement des données à caractère personnel. Il faut en satisfaire l’une d’elles. Pour leurs membres, l’association pourra s’appuyer sur le fait que le traitement est nécessaire à l’exécution du contrat d’association qui les lie à leurs adhérents.

Le consentement pour la collecte des données et leur traitement n’est donc, à notre sens, pas requis. Nous vous conseillons néanmoins d’informer les adhérents de la collecte de leurs données. Par ailleurs, si vous envoyez des communications telles que des newsletters à vos membres, nous vous invitons à obtenir leur consentement. Ainsi, vous pouvez rajouter à votre formulaire d’inscription :

«            – Je suis informé(e) que le club omnisports sera amené à stocker mes données personnelles dans le cadre de mon adhésion.

                – J’autorise le club à me transmettre des informations par courriers, mails et sms ».

III. Les droits des personnes concernées

Droit à l’information

L’association doit informer ses adhérents sur la/les finalités du traitement et les droits dont elle dispose.

Droit d’accès

La personne concernée a le droit d’obtenir de l’association la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que certaines informations (telles que les finalités du traitement, les catégories de données à  caractère personnel concernées, les destinataires auxquels les données à caractère personnel ont été ou seront communiquées, etc.).

Droit de rectification

La personne concernée a le droit d’obtenir, dans les meilleurs délais, que les données inexactes soient rectifiées, et que les données incomplètes soient complétées.

IV. Risques encourus en cas de non-respect de cette réglementation

Avant tout la RGPD a été mis en place pour les grandes entreprises du web ainsi que toutes les startups, les applications mobiles ou sites internet qui stockent de nombreuses informations personnelles.

Les associations ne sont donc pas les premiers concernés par cette réglementation. Mais en cas de contrôle, il semble important de montrer la bonne foi de l’association et d’être en mesure de présenter une cartographie des données de l’association et de démontrer que l’association n’utilise pas ces données sans autorisation ou sans contrôle.

En cas de non-respect des obligations édictées par le RGPD, l’autorité de contrôle (CNIL) est en mesure de :

  • prononcer un avertissement à l’encontre du responsable du traitement ;
  • mettre en demeure le responsable du traitement ;
  • limiter ou suspendre un traitement ;
  • ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • ordonner la rectification, la limitation ou l’effacement des données.

Par ailleurs, le responsable des traitements s’expose à diverses sanctions administratives qui peuvent aller jusqu’à 20 millions d’euros.