Choisir
l'intérêt
général
 |

Règlement Général sur la Protection des Données personnelles (RGPD)

Cadre Juridique
Cadre Juridique

Le Règlement Général sur la Protection des Données, applicable depuis le 25 mai 2018, concerne la protection des données personnelles et vient remplacer les missions attribuées à la CNIL en France (qui devient le guichet unique à savoir l'autorité de protection des données de l'État membre ou autorité "chef de file"), tout en renforçant la sécurité. La réforme de la protection des données poursuit 3 objectifs :

  1. Renforcer les droits des personnes notamment par la création d'un droit à la portabilité des données personnelles.
  2. Responsabiliser les acteurs traitant des données.
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données notamment transnationales.

Il s'applique aux acteurs économiques et sociaux, les entreprises bien sûr mais donc aussiles associations,les administrations, les collectivités...

Le règlement fait directement office de loi dans les 27 pays membres de l'Union européenne.

Qu'est-ce qu'une donnée personnelle ?

Le RGPD définit une donnée personnelle comme étant« toute information se rapportant à une personne physique identifiée ou identifiable [...] directement ou indirectement ». Un simple nom est donc déjà une donnée personnelle. La plus simple et la moins sensible d'une liste infinie qui peut aller d'une adresse postale, d'une photo, d'une taille jusqu'à des données économiques, culturelles, sociales, génétiques...

RGPD, ce qui change ?

Pour une association, cela signifie qu'il vous faudra dorénavant et pour les informations déjà stockées sur vos adhérents, bénévoles, donateurs et autres membres prendre en compte les 6 principales nouveautés apportées par le RGPD :

1 : Le renforcement des droits des personnes : il impose de recueillir et conserver le consentement au traitement des données personnelles.

2 : L'obligation d'information: il impose aux structures victimes d'un piratage des données personnelles d'informer dans les 72 heures la Commission Nationale de l'Informatique et des Libertés (CNIL) et les personnes concernées dont les informations ont été volées.

3 : Des sanctions lourdes : il met en place des sanctions dissuasives, pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire mondial d'une organisation. Le montant le plus élevé étant celui retenu.

4 : Le principe de minimisation des données collectées : il impose de ne collecter que les renseignements strictement nécessaires au regard des finalités pour lesquelles elles sont traitées.

5 : Le droit de portabilité des données : les personnes, dont les informations ont été collectées, ont le droit de demander à recevoir les données à caractère personnel les concernant.

6 : Le registre des données : il oblige les organisations à tracer l'ensemble des traitements des données personnelles mis en ?uvre au sein de l'organisation.

Associations, comment s'y préparer concrètement ?

Les cibles prioritaires de ce nouveau règlement sont clairement les entreprises qui collectent des données personnelles, parfois très sensibles, à des fins commerciales. Une association sportive locale et sa liste de 150 adhérents avec nom, prénom, adresse et taille (pour les maillots par exemple) n'est clairement pas "dans le collimateur" direct de la commission européenne, mais un règlement fait office de loi et à ce titre chacun doit s'y conformer.

L'arrivée du RGPD le 25 mai 2018 est donc l'occasion pour chaque organisation de faire un état des lieux des données personnelles qu'elle collecte : sur ses bénévoles, ses adhérents, ses employées... Ensuite il faudra s'assurer que le traitement de ces données et les outils utilisés respectent bien les nouvelles règles en vigueur.

Êtes-vous concerné par cette Réglementation Européenne sur la protection des données ?

Oui, si vous avez un fichier des membres de votre association et que vous stockez leurs données personnelles (date de naissance, adresse mail etc..).

Oui, si vous avez un fichier de contacts à qui vous envoyez des emailings / newsletter.

Oui, si vous avez des salariés et que vous stockez leurs données personnelles.

Quels sont les grands principes du RGPD ?

  • Vous devez vous assurer que l'individu vous ait donné son consentement « éclairé » pour faire partie de votre fichier ; c'est-à-dire qu'il doit être en mesure de savoir quelles informations vous stockez à son sujet et quel en est votre usage.
  • Vous devez justifier la raison pour laquelle vous stockez ces données.
  • Vous devez prévoir la possibilité pour l'individu de demander la suppression de ses données personnelles au moins aussi facilement qu'il a donné son consentement (droit à l'oubli).
  • Des conditions particulières pour le traitement des données des enfants sont à prévoir. Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L'information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l'autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu'il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées. » Source CNIL

De quel type de données parle-t-on pour une association professionnelle ?

Les associations devront tenir un registre complet de toutes les activités de traitement des données personnelles. A titre d'exemple, voici les informations que doit contenir ce registre pour une liste des membres d'une association.

1 - Finalité du traitement :

Sous-finalité 1 : Paiement de la cotisation annuelle.

Sous-finalité 2 : Envoi d'information concernant la profession (Evénement / Bourse de recherche / Evolution de la règlementation / Campagnes d'information...).

Sous-finalité 3 : Etude des profils des membres pour pouvoir mieux cibler le recrutement de nouveaux membres.

Sous-finalité 4 : Remboursement des frais de transports pour les réunions organisées par l'association (comité scientifique, réunion du bureau etc...).

2 - Catégories de données personnelles concernées :

Données d'identification

Civilité, Titre, Prénom, Nom, Adresse, Code Postal, Ville, Pays, Email, Sexe, Téléphone, Date de naissance, Fonction, Type de membre, N° de membre, Nationalité, Information de parrainage (Nom et prénom du parrain, email).

Information d'ordre économique et financière

Date de paiement, Moyen de paiement,

Banque émettrice du chèque, IBAN.

Données de connexion

Login, Mot de passe.

3 - Catégories de personnes concernées :Membres de l'association

4 - Les destinataires :Membres de l'association

Comment concrétiser la mise en place de la RGPD dans votre association ?

Le RGPD prévoit une méthodologie de mise en place dont vous trouverez sur le site de la CNIL les 6 étapes à suivre,pour vous mettre en conformité avec cette nouvelle réglementation : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

Pour aller plus loin :

Un guide édité par la CNIL et destiné aux associations

Téléchargez le guide ICI

Textes officiels
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Le règlement européen sur la protection des données en dataviz

ww.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels