- maif.fr
- Associations et Collectivités
- Associations
- Les guides pratiques pour les associations
- Guides fonctionnement
- RGPD : qui est concerné ?
RGPD : qui est concerné ?

MAJ Juin 2018
Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents, partenaires ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone), les fichiers de contacts à qui vous envoyez des mails ou des newsletters, etc. Conçue pour renforcer les droits des consommateurs en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois nationales et européennes, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d'être contrôlées.
Quelles sont les associations concernées ?
Comment être en conformité ?
- Demander et sauvegarder le consentement des personnes pour le traitement des données les concernant ;
- Collecter uniquement les renseignements dont vous avez besoin ;
- Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles, à savoir l'identité et les coordonnées de la structure, la mention des droits des personnes au regard de leurs données (droit d'accès et/ou de rectification, retrait des données), l'information concernant l'usage de ces données personnelles et le délai de conservation de ces données ;
- Évaluer la sécurité de vos données et identifier les améliorations nécessaires pour en assurer la conformité ;
- En cas de piratage de votre base, informer la CNIL et les personnes concernées (dans les 72 heures).
Quelles sont les mesures nécessaires ?
La nomination d'un délégué à la protection des données chargé, en interne, de l'application de ce règlement est conseillée. C'est obligatoire si vous avez une mission de service public ou êtes prestataire informatique.
De plus, vous devez avoir un registre des activités de traitement des données (inventaire et identification des données collectées – voir modèle) qui prouve la mise en conformité de vos fichiers. Il doit mentionner :
- la finalité du traitement, à savoir la base juridique sur laquelle se fonde la collecte (paiement de cotisation annuelle, remboursement, consentement de la personne, client, obligation légale, intérêt légitime de l'association...),
- les catégories de données personnelles (données d’identification, vie personnelle, information professionnelle et financière, donnée de localisation...),
- les destinataires et catégories de personnes concernées. Cette procédure est simplifiée pour les organismes de moins de 250 salariés qui sont uniquement tenus de faire apparaître :
- les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Quelles sont les sanctions ?
Notre point de vue d’assureur
L'association est soumise à la réglementation en vigueur. A ce titre, tout responsable associatif doit à minima connaître les enjeux et objectifs du RGPD, savoir si sa structure est concernée par ce règlement et mettre en place les mesures nécessaires. Vous pouvez consulter le site de la CNIL sur le sujet ou les contacter pour plus de renseignements.