Accueil ACTES 6 A propos de nous Services Formations Editions Logiciels Contacts Commander

Les fichiers informatiques de l'association
(La Commission Nationale de l'Informatique et des Libertés)

Avertissement : cet article n'est pas exhaustif ! - Document revu en juillet 2018

En complément, lisez l'article « Le Règlement Général sur la Protection des Données (RGPD) : Les 6 étapes fondamentales à suivre pour se mettre en conformité »

Au sommaire de cette page :
- 1. Un grand principe
- 2. Formalités préalables à la mise en œuvre de traitements automatisés
- 3. Collecte, enregistrement et conservation des données à caractère personnel - Droit d'accès
- 3B. La mise en œuvre du Règlement Général de Protection des Données (RGPD)
- 4. Exonération de déclaration
- 5.Gestion des membres et des donateurs des associations de la loi 1901
- 6. Pour information : les coordonnées de la CNIL

Parmi les sources : La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

1. Un grand principe

L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

A Cet effet, un nouveau règlement européen, à destination des organisations, a voulu simplifier, harmoniser et renforcer la protection des données personnelles. Il renforce et généralise la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en vigueur en France.

Il s'agit du Règlement Général sur la Protection des Données (RGPD) qui est entré en vigueur le 25 mai 2018. Il s'applique de la même manière dans les 28 États membres.

Ce Règlement Général de Protection des Données (RGPD) s'applique aux acteurs économiques et sociaux, les entreprises bien sûr mais donc aussi les associations, les fondations, les administrations, les collectivités etc., qui collectent, traitent et stockent des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne. Peu importe leur pays d'origine : dès qu'elles collectent ou traitent des données de citoyens européens, elles doivent respecter le RGPD. Elles devront toutes démontrer qu'elles n'utilisent que les données personnelles « strictement nécessaires » à leur activité.

2. Formalités préalables à la mise en œuvre de traitements automatisés

Avant d'énumérer les formalités préalables à la constitution d'un fichier informatique, voici quelques définitions posées par la loi :
- Constitue une « donnée à caractère personnel » toute information relative à une personne physique identifiée ou identifiable, directement ou non, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres .
Lorsque l'on parle de données personnelles, on inclut les informations (nom, date de naissance, numéro de Sécurité sociale, adresse IP, email…) de personnes physiques (membres, salariés, usagers, partenaires, prospects…) et ce, qu'importe l'endroit où elles sont stockées (ordinateurs, serveurs, mobiles, emails, traçage - même non identifié - des visiteurs du site internet de l'association, etc.)
- Constitue un « traitement de données à caractère personnel » toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
- Constitue un « fichier de données à caractère personnel » tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Préalablement à leur mise en œuvre, les traitements de données à caractère personnel doivent faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL) sauf cas d'exonération de déclaration (Voir ci-après).

La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.
Plus loin, sont reproduits quelques dispositions de la loi " informatique et libertés " s'appliquant à tout traitement de données à caractère personnel.

3. Collecte, enregistrement et conservation des données à caractère personnel - Droit d'accès

1) Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.
(Article 226-18 du code pénal)

2) (Article 38 de la loi du 6 janvier 1978) Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

3) (Article 32 de la loi du 6 janvier 1978) Les personnes auprès desquelles sont recueillies des données à caractère personnel doivent être informées entre autres :
- de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- de la finalité poursuivie par le traitement auquel les données sont destinées ;
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences éventuelles, à son égard, d'un défaut de réponse ;
- des destinataires ou catégories de destinataires des données ;
- de l'existence d'un droit d'accès et de rectification ;
- le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne ;
- de la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Exemple :
Les informations recueillies sont nécessaires pour […]. Elles font l'objet d'un traitement informatique et sont destinées à […]. En application de l'article 40 de la loi du 6 janvier 1978, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent. Vous pouvez donc demander que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel vous concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à
[…]

Le droit d'accès donne à toute personne le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
- la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées.

(Article 40 de la loi du 6 janvier 1978) Toute personne physique peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite

4) (Article 36 de la loi du 6 janvier 1978) Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques.

5) (Article 34 de la loi du 6 janvier 1978) Toute personne ordonnant ou effectuant un traitement de données à caractère personnel s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
Autrement dit : des dispositions doivent être prises pour assurer la sécurité et la confidentialité des informations : ordinateurs situés dans un local fermé à clef, contrôle des accès au(x) logiciel(s) par mots de passe individuels , etc. …

La responsabilité pénale du dirigeant peut être engagée s’il ne met pas en œuvre dans son association les mesures adéquates pour préserver la sécurité des données informatiques à caractère personnel.

L’article L.226-17 du Code Pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende.

6) Le principe de finalité doit être respecté : Les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Ces données collectées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Ainsi, le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.

Lors des formalités préalables auprès de la CNIL, le responsable d'un traitement doit indiquer clairement sa ou ses finalités.

« Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité… est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »
(Article 226-21 du code pénal)

3B. La mise en œuvre du Règlement Général de Protection des Données (RGPD)

Même si les entreprises qui collectent des données personnelles, parfois très sensibles sont les cibles prioritaires, ce nouveau règlement fait office de loi et à ce titre chacun doit s'y conformer, y compris les associations.

La CNIL met en avant les 6 étapes fondamentales à suivre pour se mettre en conformité :

- Désigner un pilote : il s'agira de la personne responsable du traitement de ces données et la mise en conformité de l'organisation.

- Cartographier les traitements de données personnelles : tenir un registre des traitements des données permet de faire le point.

- Prioriser les actions : notez les actions prioritaires à mettre en place au regard des risques pris vis-à-vis de la conservation et du traitement de ces données, répertorier les risques potentiels engendrés par les données conservées. (Comprendre le type de données traitées, les impacts potentiels du traitement de ces informations sur les droits et libertés des personnes concernées, analyser les mesures prises ou à prendre pour se prémunir de ces risques potentiels (contrôle d'accès, chiffrement...) et leur gravité potentielle.

- Gérer les risques : pour les données susceptibles d'engendrer des risques pour les droits et libertés des personnes concernées, il faudra établir une étude d'impact sur la protection des données.

- Organiser les processus internes qui garantiront la protection des données collectées.

- Documenter la mise en conformité, il s'agit de collecter les documents nécessaires à prouver votre conformité avec le RGPD.

Pour plus d'informations sur ces 6 étapes consultez le document : « Règlement européen sur la protection des données personnelles se préparer en 6 étapes » : https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Vous pouvez également consulter le nouveau guide de la sécurité des données personnelles complet édité par la CNIL : https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles

4. Exonération de déclaration

Avertissement au 1er juillet 2018 : Suite à l'entrée en application du RGPD, les dispenses adoptées par la CNIL n'ont plus de valeur juridique à compter du 25 mai 2018. Dans l'attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d'orienter leurs premières actions de mise en conformité.

Une association cultuelle, comme n'importe quelle autre association, doit se conformer au RGPD.

Ceci étant, le fichiers des membres et correspondants (sympathisants, donateurs, bénévoles, etc.) des églises ou groupements à caractère religieux, philosophique, politique ou syndical n'ont pas à être déclarés à la CNIL sous réserve que le traitement des données :
- correspond à l'objet de l'organisme ;
(Exemple : une association cultuelle ne peut enregistrer les opinions philosophiques, politiques ou syndicales de ses membres.)
- ne concerne que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
- ne porte que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément.

5.Gestion des membres et des donateurs des associations de la loi 1901

Sont dispensés de déclaration les traitements de données à caractère personnel relatifs à la gestion des membres et des donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 comportant des données sur des personnes physiques qui répondent à certaines conditions. Entre autre :

Les traitements doivent avoir pour seules finalités :

- l'enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations, conformément aux dispositions statutaires qui régissent les intéressés ;
- d'établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres, notamment en vue d'adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l'objet statutaire de l'association.
- d'établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet.

Les données traitées pour la réalisation des finalités décrites ci-dessus sont :

- identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;
- identité bancaire pour la gestion des dons ;
- vie associative : état des cotisations, position vis à vis de l'association, informations strictement liés à l'objet statutaire de l'association (voyez aussi le paragraphe suivant) ;
- données de connexion (date, heure, adresse Internet Protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site.

Ne peuvent bénéficier de l'exonération les traitements comportant les données suivantes :

- les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8 de la loi du 6 janvier 1978 modifiée);
- les données concernant les infractions, condamnations ou mesures de sûreté (article 9 de la loi du 6 janvier 1978 modifiée);
- les données relatives aux difficultés sociales et économiques des personnes ;
- le numéro d'inscription au répertoire d'identification des personnes (n° INSEE ou n° de sécurité sociale).

Les traitements comportant les données listées ci-dessus font l'objet de formalités déclaratives préalables.

Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données :

a) les personnes statutairement responsables de la gestion de l'association ;
b) les services chargés de l'administration et de la gestion des membres ;
c) éventuellement les organismes gérant les systèmes d'assurance et de prévoyance, applicables aux activités de l'association.

Les données à caractère personnel ne peuvent être conservées après la démission ou la radiation, sauf accord exprès de l'intéressé.

S'agissant des donateurs, elles ne doivent pas être conservées au delà de deux sollicitations restées infructueuses.

Lorsque les données figurent dans un annuaire appelé à être diffusé...

... les adhérents doivent en être préalablement informés et doivent être mis en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées. Le droit d'opposition doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.

Lorsque les données sont utilisées à des fins de prospection...

... les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.

L'envoi de prospection commerciale par voie électronique...

... est subordonné au recueil du consentement préalable des personnes concernées. Dans ces hypothèses, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.

Si les données à caractère personnel ont été collectées via un formulaire, le droit d'opposition ou le recueil du consentement préalable doivent, selon les cas, s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.

Pour information : les coordonnées de la CNIL

Commission Nationale de l'Informatique et des Libertés - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h)
http://www.cnil.fr

© 2001-2018 Alain LEDAIN
Cette page est tirée du livre « Le culte et la législation »

 

Rechercher sur ce site

Accueil | A propos de nous | Services | Formations | Editions | Logiciels | Contacts | Commander
Documentation : Index alpha | Juridique | Comptable | Fiscal | Social | Ethique | Chiffres et modèles, textes fondamentaux

visiteurs connectés actuellement - © 2023 Actes 6 - All rights Reserved