La France dispose d’un tissu associatif particulièrement riche, recensant plus de 1,3 million d’associations aux profils divers tant en termes de taille que de secteurs d’activité (caritatif, politique, sportif, social, etc.).
Concentrées sur leurs missions, certaines structures ne disposent pas toujours de ressources dédiées spécifiquement à la protection des données. Pourtant, la plupart d’entre elles collectent de nombreuses informations sur les personnes dans le cadre de leurs activités.
Quelle que soit la taille de la structure, les risques d’atteinte à la vie privée des personnes concernées (usagers, adhérents, bénéficiaires, etc.) peuvent être importants en cas de divulgation d’informations personnelles à des tiers. Il est donc essentiel que ces associations préservent les droits et libertés des personnes concernées.
Qu’est-ce-que le Règlement Général sur la Protection des Données (RGPD) ?
Comme son nom l’indique le RGPD est un Règlement qui vise à protéger les droits des personnes par rapport au traitement de leurs données, il est adopté par le Parlement européen et du Conseil de l’U.E le 27 avril 2016 et il est entré en vigueur le 25 mai 2018.
La protection des données physiques à l’égard du traitement des données à caractère personnel est un droit fondamental.
Quelles sont les obligations des associations en matière de protection des données ?
Le RGPD reprend les grands principes déjà présents depuis le 6 janvier 1978 dans la loi Informatique fichiers et Libertés.
Le texte abandonne la logique basée sur les déclarations à adresser à la Commission Nationale de l’Informatique et des Libertés (CNIL) pour privilégier une logique de responsabilisation des acteurs utilisant des données personnelles : les associations n’ont donc plus à déclarer leurs fichiers à la CNIL avant leur mise en œuvre (sauf exceptions dans le domaine de la santé).
En contrepartie, les organismes doivent s’assurer que leurs fichiers et services numériques sont, en permanence, conformes au RGPD. Cela nécessite de tenir à jour une documentation des actions menées afin de pouvoir démontrer le respect des règles
et notamment :
- Recenser les fichiers (traitements) et tenir à jour le registre les détaillant
- Encadrer la sous-traitance des traitements
- Garantir la sécurité des données
- Organiser la réponse aux demandes d’exercice des droits venant des personnes dont les données personnelles sont traitées
- Informer la CNIL, voire les personnes concernées, des violations éventuelles de sécurité de données personnelles (par exemple la perte de document ou les failles de sécurité)
- Effectuer dans certains cas des analyses d’impact sur la vie privée (AIPD) pour certains fichiers à risques
