Accueil ACTES 6
|
A propos de nous
|
Services
|
Formations
|
Editions
|
Logiciels
|
Contacts
|
Commander
Documentation : Index alpha | Juridique | Comptable | Fiscal | Social | Ethique | Label 1905

Le Règlement Général sur la Protection des Données (RGPD)

Document mis en ligne en août 2024

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018.

Il s'applique à tous acteurs économiques et sociaux, les entreprises bien sûr mais donc aussi les associations, les fondations, les administrations, les collectivités…, qui collectent, traitent et stockent des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne. Elles devront toutes démontrer qu'elles n'utilisent que les données personnelles « strictement nécessaires » à leur activité.

Le texte abandonne la logique basée sur les déclarations à adresser à la CNIL pour privilégier une logique de responsabilisation des acteurs utilisant des données personnelles : les associations n'ont donc plus à déclarer leurs fichiers à la CNIL avant leur mise en œuvre (sauf exceptions dans le domaine de la santé).

En contrepartie, les organismes doivent s'assurer que leurs fichiers et services numériques sont, en permanence, conformes au RGPD. Cela nécessite de tenir à jour une documentation des actions menées afin de pouvoir démontrer le respect des règles et notamment :
· Recenser les fichiers (traitements) et tenir à jour le registre les détaillant ;
· Encadrer la sous-traitance des traitements ;
· Garantir la sécurité des données ;
· Organiser la réponse aux demandes d'exercice des droits venant des personnes dont les données personnelles sont traitées ;
· Informer la CNIL, voire les personnes concernées, des violations éventuelles de sécurité de données personnelles (par exemple la perte de document ou les failles de sécurité) ;
· Effectuer dans certains cas des analyses d'impact sur la vie privée (AIPD) pour certains fichiers à risques.

A noter : un fichier ne contenant que des coordonnées d'entreprises ou d'associations avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « associationA@email.fr ») n'est pas un traitement de données personnelles.

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne physique peut être identifiée :
· Directement (ex. : nom et prénom) ;
· Indirectement (ex. : un numéro d'adhérent, un numéro de téléphone ou de plaque d'immatriculation, le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou la photo d'une personne).

Le principes sur lequel repose le règlement.

Les données à caractère personnel doivent être (RGPD, art. 5.1) :

- Traitées de manière licite, loyale et transparente au regard de la personne concernée ;

Pour être licite, un traitement doit :
· Poursuivre un objectif qui n'est pas contraire au droit (par exemple, un traitement de données ne peut pas avoir pour but une discrimination illégale) ;
· Reposer sur une base légale prévue par le RGPD.

Avant de mettre en œuvre votre fichier, vous devez choisir la base légale parmi celles susceptibles d'être utilisées par une association :
· L'accord libre, spécifique, éclairé et univoque des personnes (ex. : la prospection par voie électronique auprès de prospects, etc.) ;
· L'exécution du contrat (ex. : la fourniture des prestations définies dans le cadre du contrat conclu entre l'association et la personne concernée ou son représentant légal et la gestion administrative des personnes concernées) ;
· L'accomplissement d'une mission d'intérêt public (pour les associations de droit privé chargées d'une mission d'intérêt public ou dotées de prérogatives de puissance publique uniquement) ;
· La satisfaction de l'intérêt légitime de l'organisme (par exemple : la prospection par voie postale auprès des membres, etc.) ;
· Le respect d'une obligation légale qui impose le traitement de ces données (par exemple : lorsque l'association effectue la déclaration sociale nominative pour ses salariés).

Vous devez être transparent dès la collecte des données :
Les adhérents doivent comprendre pourquoi leurs données sont collectées et quels droits ils peuvent exercer. Les personnes concernées doivent connaître les principales caractéristiques du traitement mis en œuvre, c'est-à-dire :
· L'identité et les coordonnées de votre organisme ;
· L'objectif du traitement (à quoi vont servir les données collectées, par exemple : la gestion des intervenants, la gestion des adhérents, les élections au conseil d'administration, etc.) ;
· La base légale (voir " principe de licéité " ci-avant) ;
· L'obligation ou non pour la personne concernée de fournir ces informations ainsi que les conséquences pour la personne en cas de non-fourniture des données ;
· Les destinataires ou catégories de destinataires des données (les personnes à qui sont communiquées les données. Par exemple : la fédération à laquelle l'association est affilié) ;
· La durée de conservation des données (la durée pendant laquelle les données présentent un intérêt pour votre organisme. Ensuite, les données sont supprimées ou anonymisées) ;
· Les droits des personnes concernées (au moins les droits d'accès, de rectification, d'effacement et à la limitation qui sont applicables pour tous les traitements) ;
· L'existence ou non d'un transfert de données hors de l'Union européenne (en indiquant le pays et l'outil juridique permettant de protéger les données) ;
· Les moyens de contacter le délégué à la protection des données de l'organisme ou du référent " protection des données personnelles " ;
· Le droit d'effectuer une plainte auprès de la CNIL.

Ces informations doivent être présentées de manière concise et transparente. Elles doivent être adaptées à votre public (pictogrammes pour les enfants par exemple).

- Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;

Un traitement de données poursuit toujours un objectif : c'est sa « finalité ». Celle-ci doit être déterminée, explicite et légitime préalablement au recueil des données et à leur utilisation. Autrement dit, il n'est pas permis de collecter des données si l'on ne sait pas avant quel usage on va en faire.

Exemples :
· La gestion administrative des licenciés au sein d'une association sportive ;
· La gestion administrative des donateurs au sein d'une association caritative ;
· L'accompagnement et le suivi social des personnes en difficulté au sein d'associations à caractère social ;
· La tenue d'un annuaire des anciens membres d'une association ;
· La réalisation par tout moyen de communication des opérations relatives à des actions de prospection caritative/politique/commerciale auprès des membres, adhérents, donateurs, prospects ;
· Etc.

L'objectif doit être respecté : vous ne pouvez pas utiliser votre fichier pour un autre but que celui qui a été fixé. Par exemple, vous ne pouvez pas réutiliser le fichier de recrutement des candidatures à un poste de bénévole et/ou salarié pour proposer des offres commerciales/caritatives concernant votre association aux candidats.

- Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

Une fois l'objectif du traitement précisément défini, vous devez déterminer les données nécessaires pour atteindre cet objectif.
Ces données doivent :
· Avoir un lien direct avec l'objet poursuivi ;
· Être nécessaires à l'objectif poursuivi.

Autrement dit, vous devez limiter autant que possible la quantité des données traitées.

- Exactes et tenues à jour ;

- Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;

Les données doivent être conservées pendant une durée limitée définie en fonction de l'objectif poursuivi par le traitement.

Pendant cette durée, plusieurs phases doivent être distinguées :
1. Les données sont nécessaires pour la gestion courante de votre association.
2. Les données ne sont plus nécessaires quotidiennement mais présentent encore un intérêt administratif (par exemple, la gestion d'un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale (par exemple : les bulletins de paie des salariés de votre organisme doivent être conservés cinq ans).

Lors de la deuxième phase appelée « archivage intermédiaire », l'accès aux données doit être encore davantage limité afin qu'elles puissent uniquement être consultées de manière ponctuelle et par des personnes dont les missions le justifient (ex. : lorsque les données passent de la « base active » à la « base d'archivage intermédiaire », elles ne doivent plus être consultables par toutes les personnes initialement prévus, mais seulement par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).

Une fois ces durées écoulées, vous devez :
· Supprimer les données si ces dernières ne présentent plus d'intérêt pour l'organisme ;
· Ou anonymiser les données à condition que les personnes concernées ne soient absolument plus.

- Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle (intégrité et confidentialité).

Les données doivent être consultées et traitées utilisées par le moins de personnes possibles.

En pratique, seuls les adhérents et salariés de l'association dont les missions le nécessitent doivent pouvoir accéder aux données traitées par votre association.

Cela signifie que vous devez assurer la sécurité et la confidentialité des données afin de limiter la divulgation des données à des personnes internes ou externes qui n'ont pas besoin de les connaître.

Afin d'assurer la sécurité des données, vous devez prendre des mesures pour assurer la sécurité des locaux et des postes de travail.

Exemples :
· Fermeture à clé des locaux, armoires, bureau ;
· Mots de passe individuels renouvelés régulièrement ;
· Choix d'un antivirus.

Les mesures de sécurité doivent être adaptées à la nature des données traitées par votre organisme et des risques qu'une divulgation pourrait représenter pour les personnes concernées (usurpation d'identité, phishing, chantage, etc.).

Lors de la suppression des données personnelles sous format « papier », vous pouvez jeter les documents dans un conteneur pour documents confidentiels ou les déchiqueter pour assurer leur confidentialité.

Afin d'assurer la confidentialité des données, vous devez vous montrer vigilant.

En interne, les habilitations informatiques doivent être gérées de sorte que tout le monde ne puisse pas accéder à toutes les informations.

En cas de demande d'accès ou de communication de données par un autre organisme, vous devez vous assurer de la légitimé de la demande :

· S'il s'agit d'une autorité publique ou d'une administration autorisée par un texte à recevoir des données personnelles (par exemple : la CNIL dans le cadre de son pouvoir de contrôle) :
- vérifiez le texte l'autorisant à demander ces informations ;
- analysez bien la qualité de l'organisme et le périmètre des informations demandées ;
- communiquez uniquement les informations qui doivent l'être en sécurisant la transmission des données.

· S'il s'agit d'une demande réalisée par un tiers ne disposant pas d'un texte autorisant cette demande :
- analysez la légitimité de la demande en veillant à ce que la réutilisation envisagée par l'organisme soit compatible avec la raison de la collecte des données ;
- effectuez un tri des données afin de ne communiquer que celles qui sont nécessaires à l'objectif poursuivi par l'organisme ;
- informez les personnes concernées et permettez-leur de s'opposer à cette transmission ;
- indiquez dans votre documentation ce nouveau destinataire.

Le délégué à la protection des données (DPO) est principalement chargé :
- d'informer et de conseiller le responsable ainsi que les employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l'organisation sur la protection des données et d'en vérifier l'exécution ;
- de coopérer avec l'autorité de contrôle et d'être le point de contact de celle-ci.

A noter :
La désignation d'un référent ou d'un DPD / DPO, chargé de piloter les démarches de mise en conformité au RGPD n'est pas obligatoire pour les associations, sauf dans certains cas (une association du secteur social et médico-social devra à priori désigner un DPO dans la mesure où elle traite des données sensibles à grande échelle).

Pour autant, afin de consolider les relations de confiance avec les personnes concernées par leurs traitements, et limiter les risques juridiques et d'image liés à une mauvaise utilisation des fichiers, la CNIL précise que les associations ont tout intérêt à se doter d'une telle fonction (le DPO peut être interne, externe ou mutualisé) ou à confier à une personne la mission de veiller au bon respect par la structure des règles applicables en la matière.

La Commission nationale informatique et libertés, sur son site et dans plusieurs guides pratiques, analyse l'impact de l'entrée en vigueur de ce texte. Vous pouvez retrouver ces guides à partir de la page https://www.cnil.fr/fr/mediatheque

Le RGPD, CALEB Gestion, CALEB Paye des cultes et EKKLESIA

Rendez-vous au bas de la page suivante : https://www.calebgestion.com/cours_comptabilite/rgpd.htm

En complément

Lisez la page « Les fichiers informatiques de l'association »

© 2024 Gérard HUNG CHEI TUI

 

Rechercher sur ce site

Accueil | A propos de nous | Services | Formations | Editions | Logiciels | Contacts | Commander
Documentation : Index alpha | Juridique | Comptable | Fiscal | Social | Ethique | Chiffres et modèles, textes fondamentaux

© 2024 Actes 6 - All rights Reserved