RGPD : quelles associations sont concernées ?

Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents, partenaires ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone), les fichiers de contacts à qui vous envoyez des mails ou des newsletters, etc. Conçue pour renforcer les droits des consommateurs en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois nationales et européennes, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d'être contrôlées.

Toute association est concernée. Quelle que soit sa taille, une association collecte et conserve une quantité importante d'informations sur les personnes dans le cadre de ses activités. Le risque d’atteinte à la vie privée des personnes concernées (usagers, adhérents...) est important en cas de divulgation d’informations personnelles à des tiers. Elle est alors tenue de mettre en place un plan d'actions pour sécuriser ses données.

La commission nationale informatique et liberté (CNIL) propose une méthode en 6 étapes pour se mettre en conformité. Il faut dorénavant (y compris pour les informations déjà stockées) :

• Demander et sauvegarder le consentement des personnes pour le traitement des données les concernant,
• Collecter uniquement les renseignements dont vous avez besoin,
• Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles, à savoir l'identité et les coordonnées de la structure, la mention des droits des personnes au regard de leurs données (droit d'accès et/ou de rectification, retrait des données), l'information concernant l'usage de ces données personnelles et le délai de conservation de ces données,
• Évaluer la sécurité de vos données et identifier les améliorations nécessaires pour en assurer la conformité,
• En cas de piratage de votre base, informer la CNIL et les personnes concernées (dans les 72 heures).

La nomination d'un délégué à la protection des données chargé, en interne, de l'application de ce règlement est conseillée. C'est obligatoire si vous avez une mission de service public ou êtes prestataire informatique.

De plus, vous devez avoir un registre des activités de traitement des données (inventaire et identification des données collectées – voir modèle) qui prouve la mise en conformité de vos fichiers. Il doit mentionner :

• La finalité du traitement, à savoir la base juridique sur laquelle se fonde la collecte (paiement de cotisation annuelle, remboursement, consentement de la personne, client, obligation légale, intérêt légitime de l'association...),
• Les catégories de données personnelles (données d’identification, vie personnelle, information professionnelle et financière, donnée de localisation...),
• Les destinataires et catégories de personnes concernées. Cette procédure est simplifiée pour les organismes de moins de 250 salariés qui sont uniquement tenus de faire apparaître,
• Les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs...),
• Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance...),
• Les traitements qui portent sur des données sensibles (exemple : données de santé, infractions...).

Par ailleurs, si vos données présentent un risque élevé, vous serez obligé de mener une analyse d'impact sur leur protection et établir une procédure spécifique pour améliorer le système de protection. Enfin, si votre association fait des transferts d'informations hors Europe, vous devrez définir des protocoles pour ces envois.

Les entreprises sont davantage dans le viseur, notamment pour toutes les utilisations de données collectées à des fins publicitaires. Pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée, le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise. Ce montant peut grimper à 4 % du CA mondial en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.