Données à caractère personnel : constituer un fichier
Les associations sont soumises à des obligations d'information lorsqu'elles recueillent auprès de leurs adhérents ou autres personnes des renseignements (nom, adresse, téléphone...) qui sont des données personnelles.
Ces informations doivent être mentionnées sur le formulaire de collecte (qu'il soit sous forme papier ou sous format électronique).
Lorsque l'association s'est procurée légalement (achat, location) un fichier, elle doit aussi informer les personnes qui y figurent.
Les personnes peuvent s'opposer, pour des motifs légitimes, à un traitement de leurs données à caractère personnel.
L'association qui collecte et qui traite ces données personnelles doit identifier un responsable de traitement, c'est-à-dire la personne qui définit les motifs du recueil d'information.
Les données à caractère personnel, les fichiers, les traitements :
- L'article 2 de la loi du 2 janvier 1978 dite « loi informatique et libertés » définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. » ; il peut s'agir du nom-prénom, numéro d'immatriculation (sécurité sociale), numéro de téléphone, photographie, date de naissance, commune de résidence, adresse mail, empreinte digitale, numéro de carte bancaire, plaque d'immatriculation, adresse IP...
- Un traitement de données à caractère personnel est une opération réalisée sur ces données : collecte, enregistrement, organisation, conservation, consultation, utilisation, modification, extraction, destruction, effacement. Le traitement informatisé d'une seule donnée à caractère personnel rend la loi applicable.
- Si les données sont contenues dans un fichier, un traitement manuel est concerné par la loi.
- Selon la loi du 6 janvier 1978 (dite Informatique et Libertés) « constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés » : un annuaire papier est un fichier puisque les données sont structurées (classement alphabétique) accessibles par ordre alphabétique (critère déterminé).
- le Règlement général de protection des données personnelles, entré en vigueur le 25 Mai 2018, renforce la protection des données collectées.
Les renseignements préalables à fournir sur le formulaire de collecte aux personnes concernées :
- Les nom, prénom, fonction du responsable du traitement (souvent le responsable légal ou directeur de l'association).
- Les raisons pour lesquelles les données sont recueillies, à quoi elles vont servir; la loi de 1978 parle de « finalités » du traitement. Les motifs sont à détailler : par exemple, constitution du fichier des adhérents pour suivi du paiement des cotisations, envoi d'une newsletter.
- Le caractère obligatoire ou facultatif des réponses et les éventuelles conséquences pour les personnes d'un défaut de réponse.
- Qui va avoir accès aux informations outre le responsable de traitement et la personne qui au sein de l'association est chargée d'utiliser ces informations (ou le sous-traitant).
- Les droits dont les personnes disposent (droit d'opposition, d'accès et de rectification) et les modalités d'exercice de ces droits (par exemple une adresse mail leur permettant de contacter un responsable de l'association pour faire une demande de rectification ou de suppression d'informations).
- La durée pendant laquelle les informations seront conservées (un délai raisonnable doit être fixé : par exemple un an après le non renouvellement d'une adhésion ; les données à caractère personnel ne peuvent être conservées après la démission ou la radiation, sauf accord exprès de l'intéressé).
Certains renseignements ne peuvent pas être recueillis
- Les informations concernant l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle ne peuvent être recueillies que dans des situations particulières et après certaines formalités auprès de la CNIL.
Le recueil indirect de données personnelles :
- Lorsque les données à caractère personnel n'ont pas été collectées directement auprès d'une personne, mais obtenues légalement par une cession ou une location de fichier, le responsable de traitement qui a procédé à cette acquisition doit communiquer aux personnes concernées les mêmes informations que celles qu'il doit communiquer lors du recueil direct, sauf lorsque la personne a déjà été informée.
- En tout état de cause il faut s'assurer que la constitution du fichier cédé a respecté les formalités légales imposées par le RDPD (règlement général de protection des données personnelles, en vigueur depuis le 25 Mai 2018).
Une association peut-elle céder, louer ou vendre le fichier de ses adhérents à des fins commerciales ?
- Cette pratique n'est pas interdite mais « il y a toutefois des précautions à prendre : il faut d'abord informer les adhérents de cette possible revente de leurs coordonnées à des fins commerciales et leur permettre de s'y opposer. Cette opposition peut se faire par exemple au moyen d'une case à cocher figurant sur le bulletin d'adhésion. »
- « Une association peut également diffuser sur son site web l'annuaire de ses adhérents : Les adhérents doivent en être informés au préalable. Ils ont tout à fait le droit de s'opposer à une telle diffusion compte-tenu des risques particuliers de capture des informations diffusées sur le web. »
Quelques conseils
Attention aux adresses mails
La loi dispose que les données sont collectées et traitées de manière loyale et licite ; cela signifie que vous ne pouvez pas dans le cadre associatif utiliser des données collectées à l'insu d'une personne : ainsi se constituer un carnet d'adresses mails en utilisant des adresses piochées ici et là n'est pas permis.
Dans la mesure où le responsable de traitement est responsable de la sécurité des données, et notamment de leur confidentialité, il peut être mis en cause si les adresses qu'il a recueillies légalement sont utilisées par d'autres et à d'autres fins. Aussi pour l'envoi de courriels, la constitution de listes de diffusion (utilisées sous cci) est préférable au recours à des adresses individuelles que l'on oublie fréquemment de mettre en « copie cachée invisible - cci » pour éviter leur communication indue.
Attention au « cloud »
Les informations recueillies ne doivent pas, sans formalité auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), être transférées hors de l'Union Européenne.
La pratique du stockage sur des outils gratuits type « Dropbox », « Google Drive » « One Drive » contrevient souvent à cette exigence ; les serveurs de stockage sont la plupart du temps localisés hors Union Européenne.
Il faut prévoir des modalités de stockage des données respectueuses du droit et de la confidentialité : privilégier les offres gratuites proposant un stockage en France ou dans un pays de l'Union européenne, stocker sur un disque dur ...
Un traitement de données réalisé malgré l'opposition d'une personne pour motif légitime (par exemple si elle n'a pas été informée préalablement) ou malgré son refus de prospection est sanctionné d'une peine d'amende pouvant aller jusqu'à 300 000 € et d'une peine de prison jusqu'à 5 ans !
Le fait de ne pas respecter le droit d'accès ou de rectification fait encourir une amende de 1500 € (par infraction).
Pour aller plus loin
La loi informatique et libertés :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
Le règlement général de protection des données RGPD
Le site de la commission nationale informatique et libertés https://www.cnil.fr/fr/respecter-les-droits-des-personnes