Accueil ACTES 6
|
A propos de nous
|
Services
|
Formations
|
Editions
|
Logiciels
|
Contacts
|
Commander
Documentation : Index alpha | Juridique | Comptable | Fiscal | Social | Ethique | Label 1905

Comment se mettre en conformité avec le RGPD ?

Le RGPD est le nouveau règlement européen qui s'applique à tout organisme qui collecte, traite et stocke des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne.

Il repose sur le droit fondamental inaliénable que constitue, pour chaque individu, la protection de sa vie privée et de ses données personnelles.

Ce sont surtout les entreprises qui sont visées. Mais la loi s'applique à tous, et nul n'est à l'abri d'une plainte déposée par un membre, même démissionnaire, qui souhaite avoir un accès complet à ses données, surtout s'il apprend que l'association a été piratée.

En cas de condamnation, l'amende peut aller jusqu'à 4 % du chiffre d'affaires annuel ou 20 millions d'euros. Et c'est également l'organisme qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement.

Cinq étapes indispensables :

1. Recensez les fichiers

Le RGPD impose de lister dans un document spécifique (le registre), les fichiers qu'il a créés ou utilise.

Ce registre permet d'avoir une vision claire et globale des activités de l'association qui nécessitent la collecte et l'utilisation de données personnelles.

Dans votre registre, créez une fiche par objectif de fichier en précisant :
· Le nom et les coordonnées du responsable du traitement et, s'ils existent, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
· Le ou les objectifs poursuivis par chaque fichier (par exemple la gestion des adhérents) ;
· Les catégories de personnes concernées et de données utilisées (ex. : nom, adresse, etc.) ;
· Qui a accès aux données (c'est-à-dire les personnes habilitées comme, par exemple, le service RH pour la paie) et à qui elles seront communiquées (les destinataires, par exemple les services des impôts) ;
· Les durées de conservation de ces données (durée d'utilité et durée de conservation en archive) ;
· Les mesures de sécurité mises en œuvre (ex. : politique de mots de passe, etc.) ;
· Si nécessaire, les transferts de données personnelles en dehors de l'Union européenne ou à une organisation internationale.

A noter : L'élaboration du registre nécessite d'être en contact régulier avec les adhérents, salariés et sous-traitants susceptibles de manipuler des données personnelles.

2. Faire le tri dans les données :

Chaque fiche du registre vous permet de vérifier :
· Que les données traitées sont bien pertinentes et nécessaires à l'objectif poursuivi (principe de pertinence et de minimisation).

Par exemple, lors de l'inscription d'un adhérent à une activité de loisirs ou à un séjour organisé par l'association, il est légitime de demander une attestation du quotient familial pour l'application d'un tarif préférentiel. Il n'est en revanche pas pertinent de demander le numéro de sécurité sociale de l'adhérent ou de son représentant légal ou encore la copie de sa carte Vitale.

· Que seules les personnes habilitées ont accès aux données dont elles ont besoin et que des mesures de sécurité adaptées sont mises en place (principe de confidentialité et de sécurité).

Par exemple, les informations relatives au paiement des cotisations par les adhérents d'une association sportive ne doivent être rendues accessibles qu'au personnel administratif en charge de son suivi et non pas à l'ensemble des adhérents, ni même à l'ensemble des personnes en charge des entraînements.
L'association doit définir des profils d'habilitation en séparant les droits en fonction des tâches à accomplir de chacun afin de limiter l'accès des utilisateurs aux seules données nécessaires.

· Que les données ne sont pas conservées plus longtemps que nécessaire (principe de durée limitée de conservation des données).

Par exemple, l'association ne peut pas conserver les données concernant ses anciens membres/ adhérents de manière illimitée. Elle doit les supprimer trois ans après la fin de l'adhésion de la personne.

3. Faire preuve de transparence :

Les personnes doivent être informées à chaque fois que des données personnelles sont recueillies, sous format papier, numérique (questionnaires, bulletins d'adhésion, bulletins d'abonnement, etc.). Il est recommandé une information orale en plus d'une information écrite afin de s'assurer de la bonne compréhension par la personne concernée des informations communiquées.

4. Organiser et faciliter l'exercice des droits des personnes :

Les personnes (adhérents, salariés, prestataires, etc.) ont des droits sur leurs données. Toute personne concernée peut ainsi :
· Obtenir la confirmation que vous traitez ou non des informations la concernant, accéder à celles-ci et en obtenir la copie ;
· Rectifier les informations inexactes ou incomplètes la concernant ;
· Faire effacer ses données (ex. : la personne a retiré le consentement sur lequel est fondé le traitement, etc.) ;
· Demander la limitation ou le « gel » des données (par exemple, lorsque la personne conteste l'exactitude de ses données, celle-ci peut demander à l'organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires) ;
· Récupérer ses données pour les réutiliser (droit à la portabilité) : ce droit ne s'applique que si les trois conditions suivantes sont réunies : limitation aux seules données personnelles fournies par la personne concernée ; si les données sont traitées de manière automatisée (exclusion des fichiers par voie papier) sur la base de l'accord préalable de la personne concernée ou de l'exécution d'un contrat conclu avec la personne concernée ; respecter les droits et libertés de tiers ;
· S'opposer au traitement à condition d'invoquer des raisons particulières et si le traitement est mis en œuvre sur la base légale de l'intérêt légitime du responsable de traitement, ou pour l'exécution d'une mission d'intérêt public ou d'une mission relevant de l'exercice de l'autorité publique (ex. : le responsable de traitement peut refuser à la personne concernée l'exercice de son droit d'opposition si le traitement des informations la concernant repose sur l'obligation légale).

Vous devez permettre aux personnes d'exercer facilement ces droits.

L'association devra demander le consentement des personnes listées dans ses fichiers pour le traitement des données qui les concernent. Par conséquent, il faut écrire à chacun des adhérents pour lui demander s'il est d'accord pour que ses données soient conservées dans un fichier et garder trace de son consentement.

Exemple : Vous êtes usager, en convention ou simplement en relation avec notre association « ACTES 6 ».

A ce titre et dans le but de fonctionner et de communiquer avec vous, des informations vous concernant (nom, prénoms, adresse mail, numéros de téléphone...) apparaissent dans nos fichiers.

Conformément au nouveau Règlement Général sur la Protection des Données (RGPD) en vigueur depuis le 25 mai 2018, nous sollicitons votre accord pour la conservation ou non de vos données dans les fichiers de notre association.

A votre demande, nous pouvons vous transmettre l'ensemble des données en notre possession vous concernant. Cette fiche se présente de la façon suivante

Aucune réponse ou démarche particulière ne vous est demandée si vous désirez rester inscrit en l'état, dans nos fichiers.

Toutefois, si vous le souhaitez, vous pouvez à tout moment exercer vos droits d'accès, de rectification ou d'effacement de ces données par simple courrier électronique à : alain.actes6@gmail.com ou par courrier postal adressé à : ACTES 6, 30 avenue Pierre Mendès France 77680 Roissy en Brie.

A noter :
Si vous disposez d'un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez aux adhérents la possibilité d'exercer leurs droits à partir de leur compte. Mettez en place un processus interne permettant de garantir l'identification et le traitement des demandes dans des délais courts (un mois maximum). Si un délai supplémentaire est nécessaire pour traiter la demande (par exemple, en raison de sa complexité), la personne concernée doit en être informée dans ce même délai d'un mois. Dans tous les cas, une réponse devra être apportée dans un délai qui ne peut dépasser trois mois.

5. Sécurisez les données :

Les incidents, internes ou externes, malveillants ou accidentels, peuvent avoir des conséquences importantes pour les personnes dont les données sont concernées (réputation, chantage, etc.).

Pour limiter les risques, vous devez mettre en place des mesures de sécurité pour empêcher :
· L'accès illégitime à des données (atteinte à la confidentialité) ;
· Leur modification non désirée (atteinte à l'intégrité) ;
· Leur disparition (atteinte à la disponibilité).

Ces risques ne sont pas théoriques. Tous les jours, la CNIL reçoit des notifications de violation de données et des plaintes dues à une sécurité insuffisante.

Que faire en cas de violation des données ?

Des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, modifiées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur Internet, etc.) ? Cet incident constitue une « violation de données ».

Lorsqu'un tel incident se produit, il est nécessaire de le documenter au sein de l'association. En cas de contrôle, ce document est vérifié par les services de la CNIL.

S'il existe un risque pour les droits et libertés des personnes concernées, vous devez signaler cette violation à la CNIL dans les 72 heures. Cette notification s'effectue en ligne sur le site web de la CNIL.

Enfin, si ces risques sont considérés comme élevés pour ces personnes, vous devrez les en informer.

Afin de déterminer le risque pour les personnes, il convient de prendre en compte au moins les éléments suivants :
· Le type de violation (intégrité, disponibilité, confidentialité) ;
· La nature, le caractère sensible et le volume des données personnelles ;
· La facilité d'identification des personnes concernées ;
· La gravité des conséquences pour les personnes concernées ;
· Les caractéristiques particulières des personnes concernées (mineurs, personnes vulnérables, militaires, etc.) ;
· Les caractéristiques particulières du responsable du traitement (objet de l'association pouvant mettre en évidence des informations personnelles sensibles par exemple) ;
· Le nombre de personnes concernées.

A savoir :

Un membre d'une association ne peut exiger la communication de la liste de tous les autres adhérents saufs, si les statuts de l'association le prévoient expressément cette possibilité.

- Une association peut publier des photos de ses membres sur son site web ou au sein de sa revue sous réserve que la personne photographiée (et le responsable légal pour un mineur) aient donné leur accord à cette diffusion.
Aussi, les personnes concernées doivent autoriser la captation et l'utilisation de leur image pour des raisons précises, de préférence par écrit et vous la faire parvenir afin que vous soyez en mesure de diffuser la photographie.

Une association peut utiliser les données de ses adhérents pour faire des campagnes de relance des adhésions chaque année.
Toutefois, la CNIL recommande que les informations relatives à un adhérent soient conservées pendant un délai de trois ans à compter de la fin de son adhésion. Pendant ce délai, et lors de chaque sollicitation, la personne concernée doit pouvoir s'opposer à l'utilisation de ses coordonnées pour des relances d'adhésion de manière simple et gratuite (ex. : un lien pour se désinscrire à la fin de chaque courriel).
Une fois le délai de trois ans écoulé, l'association devra prendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des informations ou prospections de sa part. Dans le cas contraire, ou sans réponse de sa part, la personne concernée ne devra plus recevoir de sollicitation de la part de l'association et ses données seront supprimées ou archivées.

Une association peut échanger les informations de ses adhérents à une autre association à des fins de prospection.

Attention, les règles relatives à cette transmission diffèrent selon le type de prospection réalisée :
En matière de prospection caritative, celle-ci n'est possible que si les adhérents ont été, au moment de la collecte :
· informés de leur utilisation à des fins de prospection ;
· informés de leur possible transmission à des partenaires du secteur associatif ;
· en mesure de s'opposer, préalablement à ces utilisations, de manière simple et gratuite en cochant une case mise à leur disposition, par exemple :

Je m'oppose à ce que mes coordonnées postales ou électroniques soient utilisées pour recevoir des offres de l'association X par courrier postal ou courrier électronique.
Je m'oppose à ce que mes coordonnées postales ou électroniques soient utilisées pour recevoir des offres des partenaires de l'association X par courrier postal ou courrier électronique.

En matière de prospection commerciale par voie électronique, les règles applicables sont plus exigeantes : les adhérents doivent avoir explicitement donné leur accord, au moment de la collecte de leur adresse électronique, pour être démarchés par l'association ainsi que pour la transmission à un partenaire de l'association.

Lorsque votre site web d'une association est consulté, cette dernière peut déposer des cookies et autres traceurs sur les outils utilisés par les internautes (ordinateur, tablette, smartphone, etc.) pour analyser leur navigation et leurs habitudes de consultation.

Selon l'objectif du traceur que vous utilisez sur votre site, il peut être nécessaire :
· d'informer l'internaute de son existence (ex. : cookie de session pour un téléservice) ;
· d'obtenir son consentement avant de déposer ou de lire un traceur sur son terminal.

Si le site utilise des fonctionnalités offertes par d'autres sites (ex. : solutions de statistiques, boutons sociaux, vidéos provenant de plateformes tierces telles que Google, YouTube, Facebook, etc.), vous devez obtenir le consentement des visiteurs.

Une association n'a pas réaliser une analyse d'impact relative à la protection des données (AIPD) sauf dans certains cas (par exemple lorsque votre fichier contient un grand nombre de données sensibles, ou bien contient des données sensibles relatives à des personnes vulnérables, ou encore dans le cas où le fichier empêche des personnes vulnérables de bénéficier d'un service).
L'analyse d'impact est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer le respect des règles relatives à la protection des données.

L'AIPD se décompose en trois parties :
· Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu'opérationnels ;
· L'évaluation juridique des caractéristiques du traitement (objectifs, données et durées de conservation, information et droits des personnes, etc.) et du respect des principes et droits fondamentaux qui sont fixés par la loi ;
· L'étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, pour déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

© Août 2024 - Gérard HUNG CHEI TUI / ACTES 6 Gestion

 

Rechercher sur ce site

Accueil | A propos de nous | Services | Formations | Editions | Logiciels | Contacts | Commander
Documentation : Index alpha | Juridique | Comptable | Fiscal | Social | Ethique | Chiffres et modèles, textes fondamentaux

© 2024 Actes 6 - All rights Reserved