Il existe en France 1,3 million d'associations. Elles sont très diverses par leur taille, leur organisation et leur objet : solidarité, sport, culture, santé, inclusivité, politique, etc. Ces associations, pour remplir leur fonction, récoltent énormément de données dont certaines d’entre elles sont dites sensibles.
Toutefois, la mise en conformité au RGPD est une vaste mission qui nécessite un réel engagement aussi bien humain que financier. Or, les associations souffrent souvent d’un déficit de ressources pour prendre à bras le corps le sujet.
Afin de bien comprendre la portée du RGPD pour les associations, posons-nous les questions suivantes. Pourquoi sont-elles concernées par le RGPD ? De quelle façon le RGPD impacte le monde associatif ? Quelle stratégie adopter ?
Pourquoi les associations sont-elles concernées par le RGPD ?
Association loi de 1901, un organisme comme les autres
Le RGPD concerne toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
Ainsi, les associations répondent à cette définition puisqu’elles récoltent des informations auprès des bénévoles, des adhérents ou des bénéficiaires pour mener à terme leur mission.
Il est donc plutôt commun que les associations aient en leur possession des e-mail et numéros de téléphone, des RIB, des dates de naissance, des copies de carte d'identité ou bien encore des certificats médicaux.
Association loi de 1901 et données sensibles
Selon le secteur dans lequel évolue l’association, cette dernière peut avoir accès à des données sensibles qui visent des informations relatives à :
- l’origine raciale ou ethnique ;
- la vie sexuelle ou l'orientation sexuelle d'une personne physique ;
- les opinions politiques, les convictions religieuses ou philosophiques ;
- l'appartenance syndicale ;
- les données de santé.
En principe, le recueil et l’exploitation de ces données sont interdites sauf exception. A ce titre, l’article 9 prévoit qu’une association peut traiter des données sensibles uniquement dans les conditions ci-dessous énoncées :
- Le but de l’organisation n’est pas lucratif,
- La finalité est politique, philosophique, religieuse ou syndicale,
- Le traitement est relatif aux membres ou personnes liées contractuellement à l’organisation.
En tout état de cause, les données ne peuvent être communiquées en dehors de l’organisation sans le consentement des personnes concernées.
Par exemple, une ONG peut traiter les données personnelles relatives aux positions politiques des membres du parti politique lorsque ces informations ne sont pas communiquées en dehors du parti sans le consentement de la personne concernée.
Pour donner un autre exemple, beaucoup d’associations sont amenées à traiter des données sensibles quant à l’orientation sexuelles de ses membres (association de défense des droits LGBTQIA+) ou l’origine raciale ou ethnique (association de défense des droits des étrangers, personnes en situations irrégulières, demande d’asile etc.). Pour le traitement de ces données, l’association doit remplir les conditions énoncées ci-dessus. En effet, leurs divulgations pourraient potentiellement engendrer un risque pour la vie privée des personnes concernées voir, les exposer à un danger plus important.
Les obligations des associations en matière de RGPD
Mise en place d’un registre de traitement
Le registre de traitement est un document qui recense l’ensemble des données personnelles traitées et exploitées. Prévu à l’article 30 du RGPD, il sera l’un des éléments transmis à la CNIL en cas de contrôle.
Il appartiendra aux associations d’élaborer ce tableau en indiquant :
- le nom et le prénom du responsable de traitement (le président de l’association ou bien le directeur général de la structure) ;
- les sous-traitants ;
- les catégories de données traitées ;
- les bases légales, c’est-à-dire le fondement juridique vous autorisant à collecter et utiliser ces données;
- les objectifs suivis par chaque fichier, aussi appelé “finalité” (par exemple : gestion des adhérents ou des bénéficiaires) ;
- les personnes qui ont accès aux données (les bénévoles, les salariés, les sous-traitants, etc.) ;
- la durée de conservation ;
- la sécurisation.
Le registre des activités de traitement, au-delà de son caractère obligatoire, est la seule façon d’avoir une vision exhaustive de l’exploitation de vos données et de faire le point sur celles qui sont réellement nécessaires à votre mission.
Car pour rappel, l’un des principes majeurs de la protection des données est la minimisation des données, c’est-à-dire l’attitude selon laquelle vous ne collectez que les informations strictement nécessaires à l’objectif (ou finalité) pour lequel vous collectez ces données.
Confidentialité et sécurité
Préserver la confidentialité
Les données recueillies ne doivent pas être accessibles à tous les membres d’une association. Seules les personnes qui y ont un intérêt pour accomplir leur mission le peuvent. Les associations ont pour rôle de préserver la confidentialité des données et ne divulguer les informations que si c’est strictement nécessaire.
Ceci étant dit, il existe néanmoins certaines subtilités. Ainsi, un membre d’une association peut exiger la liste des autres adhérents à condition que ses statuts précisent que l’adhésion a pour conséquence d’accepter que ses coordonnées puissent être transmises à un adhérent qui en fait la demande lorsque cette dernière a un lien avec l’activité de l’association.
De la même façon, les associations sportives peuvent publier sur leur site les résultats sportifs des adhérents à condition d’avoir leur consentement, de les informer et de leur donner la possibilité de s’opposer à la publication. Il en est de même pour les membres photographiés lors d’un événement.
Mettre en place les mesures de sécurité adéquates
Afin de préserver les informations collectées, il est indispensable de sécuriser leur accès : habilitations informatiques, authentification des utilisateurs, traçabilité des mouvements, protection du réseau, etc.
Toutefois, la sécurité n’est pas seulement technologique. Il convient aussi de sensibiliser et de former les membres de l’association sur le sujet RGPD et le respect des données.
Vérifier la légitimité de la demande d’un tiers
- Lorsque c’est un organisme public habilité par un texte à recevoir de telles données, l’association devra contrôler la justification légale et ne restituer que ceux qui sont strictement nécessaires ;
- Lorsque c’est un tiers qui n’a aucune autorisation spécifique (un prestataire par exemple), l’association devra analyser la légitimité de la demande, restreindre le nombre d'informations transmises, mais surtout aviser les personnes concernées et leur donner la possibilité de s’y opposer.
Information et licéité
Transparence sur l’exploitation des données
Les associations ont l’obligation d’informer les personnes de façon transparente sur les caractéristiques du traitement des données collectées : les finalités, les durées de conservation, les destinataires, les droits, etc.
Ici, c’est l’occasion de trier les renseignements demandés. Ces derniers ont obligatoirement un objectif déterminé et légitime. Autrement dit, ils ne pourront jamais être utilisés pour une autre raison que celle qui a été fixée initialement.
Justification légale (ou base légale)
La récolte des données n’est acceptable que si l’association est capable de se justifier par l’une des bases légales prévues par le RGPD :
- le consentement libre, spécifique, éclairé et univoque des personnes ;
- l’exécution du contrat ;
- l’obligation légale ;
- la satisfaction de l’intérêt légitime de l’organisme ;
- le respect d’une obligation légale qui impose le traitement de ces données ;
- et enfin la situation spécifique et rare de l’accomplissement d’une mission d’intérêt public pour les associations chargées d’une mission d’intérêt public ou dotées de prérogatives de puissance publique.
Exercice des droits
Le RGPD donne des droits aux titulaires des données personnelles. Les association sont donc priés de favoriser leur exercice dans les meilleures conditions :
- le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
- le droit de rectification permet la modification et la correction des données personnelles ;
- le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
- le droit à l’effacement permet d’obtenir l’effacement de ses données ;
- le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
- le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
- le droit à l’intervention humaine face à un profilage.
À la moindre demande, le responsable de traitement de l’association doit répondre le plus rapidement possible et au plus tard, dans le délai d’un mois. Concernant les données de santé, le délai est de 8 jours.
Durée de conservation
Les associations ne sont pas autorisées à conserver des données et des fichiers indéfiniment, que cela soit en version papier ou numérique.
La conservation n’est possible que le temps strictement nécessaire à la réalisation des finalités poursuivies (base active).
Néanmoins, certaines données qui n’ont plus d’utilité pratique doivent être sauvegardées en raison d’un intérêt administratif ou légal : gestion d’un contentieux, assurance, bulletins de paie. Il s’agit ici de l’archivage intermédiaire et l’accès à ce dernier sera restreint.
Une fois les durées sont écoulées, il conviendra de supprimer les données personnelles ou de les anonymiser.
Mise en oeuvre du RGPD au sein d’une association
La mise en conformité au RGPD est une mission assez complexe et très chronophage. Il est donc conseillé d’être stratège dans cette opération. Voici selon Leto les 5 briques à poser :
1/ Désigner un DPO interne qui sera le référent de ce vaste chantier. Nous vous conseillons de vous faire accompagner par un professionnel si vous estimez ne pas avoir les ressources. Il existe notamment des DPO externes.
2/ Cartographier toutes les données présentes au sein de l’association. Cette base vous permettra de créer et tenir à jour le fameux registre des données.
3/Effectuer un tri. Dans un premier temps, supprimer les données qui n’ont plus aucune utilité et dans un second temps, retravailler vos formulaires et vos demandes de renseignements en vous limitant aux données qui sont strictement nécessaires.
4/ Mettre en place un exercice des droits. Il est important de prévoir une procédure efficace pour répondre le plus rapidement possible à l'adhérent, au bénévole, au bénéficiaire, etc.
5/ Choisir un logiciel RGPD. Leto automatise les nombreuses obligations imposées par le RGPD et peut être un excellent allié pour les associations !