5 min.

Cybersécurité

RGPD et association : la gestion de vos données personnelles est-elle conforme ?

Date de publication : 09/03/2022

#Uncategorized

Solène Girard

Le règlement européen sur la protection des données (RGPD) impose à toutes les structures, y compris associatives, d’administrer avec rigueur et responsabilité les fichiers de données à caractère personnel qu’elles abritent. La récente publication par la Commission nationale de l’informatique et des libertés (Cnil) d’un guide de sensibilisation des associations au RGPD nous donne une occasion de revenir sur les grands principes qui fondent ce règlement et sur la nécessité de l’appliquer correctement.

Du déclaratif à la gestion responsable

Les règles qui encadrent la gestion des données à caractère personnel ne sont pas nées avec l’adoption du RGPD le 25 mai 2018. En effet, ce règlement européen a repris les grands principes que portait la loi dite « Informatique et libertés » adoptée en France en 1978. Ce qui a changé, en revanche, c’est l’encadrement du processus de création de ces fichiers ou traitements de données. Jusqu’en 2018, les associations étaient tenues de déclarer la création de ces traitements à la Cnil. S’établissait, dès lors, une sorte de contrôle préalable imposé par le formalisme déclaratif qui permettait aux associations de savoir, peu ou prou, si le fichier ainsi créé répondait aux règles de protection des données personnelles.

Avec l’adoption du RGPD, ce système déclaratif a été abandonné. La gestion administrative de ces traitements de données s’en trouve simplifiée, mais en contrepartie, les associations doivent s’assurer que les fichiers de données à caractère personnel qu’elles abritent soient, en permanence, c’est-à-dire au moment de leur création mais également au fil de leur gestion et jusqu’à leur suppression, administrés en conformité avec le RGPD. La Cnil se réservant la possibilité de contrôler les associations et de leur infliger de fortes amendes en cas de mauvaise gestion.

À lire aussi :
Comment déclarer votre association ?

Qu’est-ce qu’une donnée à caractère personnel ?

La notion de donnée personnelle défendue par la règlementation est très large, ce qui a malheureusement pour effet de conduire nombre d’associations à administrer des fichiers « protégés » sans même le savoir. Pour rappel, selon la Cnil, « une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ». Sachant que la personne physique peut être directement ou indirectement identifiée.

Dans les faits, si les noms, prénoms et photos sont évidemment des données personnelles, un numéro d’adhérent l’est aussi, comme une adresse, un courriel, une empreinte digitale, un numéro de sécurité sociale ou même une adresse IP.

Quant au traitement (ou fichier) de données personnelles, il est également appréhendé de manière étendue puisque pour la Cnil, il correspond à « tout maniement de données personnelles » (collecte, utilisation, consultation…). En outre, il faut garder à l’esprit qu’un fichier qui contiendrait des données non personnelles mais dont le croisement permettrait d’identifier des personnes physiques relèverait aussi de cette règlementation.

Quelle est la marche à suivre ?

Pour se mettre en conformité, la première démarche consiste à recenser, dans un registre dédié, tous les fichiers accueillant des données à caractère personnel que gère l’association (fichiers des adhérents, des donateurs, des fournisseurs, des employés et des bénévoles, fichiers paie, fichiers des formations, système de gestion des accès lorsqu’ils sont sécurisés…). Registre dans lequel, pour chaque traitement, doivent être renseignés sa finalité, le type de données personnelles présentes (noms, salaires, adresses…), les personnes ou les services qui peuvent y accéder et, enfin, la durée de conservation de ces données.

Sur ce dernier point, il apparaît important de rappeler qu’en vertu du RGPD, les données à caractère personnel ne peuvent pas être conservées au-delà de la durée « nécessaire au regard des finalités pour lesquelles elles sont traitées ». Nombre de sanctions ont été prises par la Cnil sur ce motif. En 2021, une grande mutuelle d’assurance, pour avoir conservé des données clients au-delà des délais de conservation légaux après la fin de leur contrat, s’est ainsi vu infliger une amende de 1,75 M€.

Faire le tri

Une fois le recensement effectué par l’association, il convient d’analyser chaque traitement pour savoir, d’abord, s’il est bien utile. Rappelons ici que pour être autorisé, un traitement doit répondre à une finalité précise et légitime pour l’association. Un caractère légitime sur lequel la Cnil est revenue à de nombreuses reprises notamment en mai 2020, en sanctionnant d’une amende de 400 000 € un gestionnaire de transport en commun qui avait fait apparaître, dans les dossiers de ses salariés, la mention des jours de grève, alors que seule la mention des jours d’absence (sans précision du motif) était nécessaire pour mener à bien les procédures d’avancement, objets du traitement.

Lorsque les informations traitées se révèlent peu pertinentes et/ou peu utiles à la réalisation des objectifs fixés lors de la création du traitement, il convient de les supprimer. Évidemment, cette suppression doit également s’opérer lorsque les durées de conservation, soit légales, soit établies au commencement du traitement, sont dépassées ou en voie de l’être.

Ces données doivent être protégées rappelle le RGPD…

Autre élément important : les données à caractère personnel doivent être protégées et leur confidentialité garantie. Des obligations qui pèsent sur les associations et leurs dirigeants. Et attention, ces obligations doivent être largement comprises. D’abord, elles impliquent, en interne, que seules les personnes habilitées puissent accéder à ces données. Autrement dit, compte tenu de leur nature, il convient d’identifier les membres de l’association (ou de leurs partenaires) qui seront autorisés à les consulter et, le cas échéant, à les faire évoluer. Seuls les comptables et les personnes en charge de la gestion des salariés pourront, par exemple, accéder aux feuilles de paie et au dossier du personnel.

Plus largement, il est conseillé de mettre ces traitements sous clé s’il s’agit d’informations papier, ou sur un espace à accès restreint lorsqu’elles sont numériques. Et attention, les modalités de sécurité doivent être de bon niveau sans quoi, en cas de violation des données, la responsabilité de l’association sera engagée. Ainsi, en 2018, une association d’accueil et d’hébergement de personnes en grandes difficultés s’est vu infliger une amende de 75 000 € par la Cnil pour ne pas avoir, rapidement, sécurisé son site web. Un site web qui permettait, via une simple recherche menée sur Google, d’accéder aux pièces d’identité, bulletins de salaires et avis d’imposition des bénéficiaires de l’association.

… et recueillies en toute transparence

Enfin, lorsque l’association va collecter des données personnelles, elle doit, notamment, informer les personnes concernées de la finalité du traitement et du délai de conservation et leur indiquer les modalités d’exercice de leurs droits (droit de s’opposer au traitement, de rectifier les données, de le faire effacer…).

Consulter le guide de la Cnil sur le RGPD dans les associations

Sur 26 pages, ce document revient, dans un premier chapitre, sur les notions de données personnelles et de fichiers et sur le caractère sensible de certaines de ces informations. Les notions de finalité et de responsable du traitement sont également explicitées pour permettre aux dirigeants des associations de mieux appréhender le sujet.

Le deuxième chapitre s’intéresse aux principes à respecter pour faire en sorte qu’un traitement de données soit conforme au RGPD. Sont ici abordées non seulement la licéité du traitement, sa légitimité et ses règles de durée, mais également l’obligation d’assurer l’absolue sécurité et la confidentialité des données.

Le troisième chapitre revient sur la méthodologie à respecter pour être en conformité et le quatrième expose une dizaine de questions-réponses intéressant spécifiquement les associations.

Attention, en cas de recours à des éditeurs informatiques et des sous-traitants, s’assurer qu’ils peuvent être en mesure de pouvoir respecter les règles du RGPD (suppression de données par exemple).

À lire aussi :
Dématérialisation des factures de l’association

Auteur(s) :

Solène Girard

Responsable Nationale Marché Economie Sociale

Solène est Responsable nationale de la ligne de marché « Economie Sociale » chez In Extenso. Dans ce cadre, elle anime et coordonne le réseau pour le marché spécifique des associations et de l’économie sociale.

Contactez notre expert

Voir d'autres articles

Partagez cet article

newsletter Newsletter

Recevez nos actualités et des invitations à nos événements

*

Les données collectées serviront uniquement pour vous envoyer les lettres d’information. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans chaque envoi. En savoir plus dans notre politique de confidentialité.

Contact rapide
close slider

    Contact rapide

    * champs obligatoires


    Les données collectées marquées d’un * sont obligatoires et serviront uniquement pour répondre à votre demande. En savoir plus dans notre politique de confidentialité .