Cybersécurité
Date de publication : 09/03/2022
Solène Girard
Le règlement européen sur la protection des données (RGPD) impose à toutes les structures, y compris associatives, d’administrer avec rigueur et responsabilité les fichiers de données à caractère personnel qu’elles abritent. La récente publication par la Commission nationale de l’informatique et des libertés (Cnil) d’un guide de sensibilisation des associations au RGPD nous donne une occasion de revenir sur les grands principes qui fondent ce règlement et sur la nécessité de l’appliquer correctement.
Les règles qui encadrent la gestion des données à caractère personnel ne sont pas nées avec l’adoption du RGPD le 25 mai 2018. En effet, ce règlement européen a repris les grands principes que portait la loi dite « Informatique et libertés » adoptée en France en 1978. Ce qui a changé, en revanche, c’est l’encadrement du processus de création de ces fichiers ou traitements de données. Jusqu’en 2018, les associations étaient tenues de déclarer la création de ces traitements à la Cnil. S’établissait, dès lors, une sorte de contrôle préalable imposé par le formalisme déclaratif qui permettait aux associations de savoir, peu ou prou, si le fichier ainsi créé répondait aux règles de protection des données personnelles.
Avec l’adoption du RGPD, ce système déclaratif a été abandonné. La gestion administrative de ces traitements de données s’en trouve simplifiée, mais en contrepartie, les associations doivent s’assurer que les fichiers de données à caractère personnel qu’elles abritent soient, en permanence, c’est-à-dire au moment de leur création mais également au fil de leur gestion et jusqu’à leur suppression, administrés en conformité avec le RGPD. La Cnil se réservant la possibilité de contrôler les associations et de leur infliger de fortes amendes en cas de mauvaise gestion.
La notion de donnée personnelle défendue par la règlementation est très large, ce qui a malheureusement pour effet de conduire nombre d’associations à administrer des fichiers « protégés » sans même le savoir. Pour rappel, selon la Cnil, « une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ». Sachant que la personne physique peut être directement ou indirectement identifiée.
Quant au traitement (ou fichier) de données personnelles, il est également appréhendé de manière étendue puisque pour la Cnil, il correspond à « tout maniement de données personnelles » (collecte, utilisation, consultation…). En outre, il faut garder à l’esprit qu’un fichier qui contiendrait des données non personnelles mais dont le croisement permettrait d’identifier des personnes physiques relèverait aussi de cette règlementation.
Pour se mettre en conformité, la première démarche consiste à recenser, dans un registre dédié, tous les fichiers accueillant des données à caractère personnel que gère l’association (fichiers des adhérents, des donateurs, des fournisseurs, des employés et des bénévoles, fichiers paie, fichiers des formations, système de gestion des accès lorsqu’ils sont sécurisés…). Registre dans lequel, pour chaque traitement, doivent être renseignés sa finalité, le type de données personnelles présentes (noms, salaires, adresses…), les personnes ou les services qui peuvent y accéder et, enfin, la durée de conservation de ces données.
Une fois le recensement effectué par l’association, il convient d’analyser chaque traitement pour savoir, d’abord, s’il est bien utile. Rappelons ici que pour être autorisé, un traitement doit répondre à une finalité précise et légitime pour l’association. Un caractère légitime sur lequel la Cnil est revenue à de nombreuses reprises notamment en mai 2020, en sanctionnant d’une amende de 400 000 € un gestionnaire de transport en commun qui avait fait apparaître, dans les dossiers de ses salariés, la mention des jours de grève, alors que seule la mention des jours d’absence (sans précision du motif) était nécessaire pour mener à bien les procédures d’avancement, objets du traitement.
Lorsque les informations traitées se révèlent peu pertinentes et/ou peu utiles à la réalisation des objectifs fixés lors de la création du traitement, il convient de les supprimer. Évidemment, cette suppression doit également s’opérer lorsque les durées de conservation, soit légales, soit établies au commencement du traitement, sont dépassées ou en voie de l’être.
Plus largement, il est conseillé de mettre ces traitements sous clé s’il s’agit d’informations papier, ou sur un espace à accès restreint lorsqu’elles sont numériques. Et attention, les modalités de sécurité doivent être de bon niveau sans quoi, en cas de violation des données, la responsabilité de l’association sera engagée. Ainsi, en 2018, une association d’accueil et d’hébergement de personnes en grandes difficultés s’est vu infliger une amende de 75 000 € par la Cnil pour ne pas avoir, rapidement, sécurisé son site web. Un site web qui permettait, via une simple recherche menée sur Google, d’accéder aux pièces d’identité, bulletins de salaires et avis d’imposition des bénéficiaires de l’association.
Enfin, lorsque l’association va collecter des données personnelles, elle doit, notamment, informer les personnes concernées de la finalité du traitement et du délai de conservation et leur indiquer les modalités d’exercice de leurs droits (droit de s’opposer au traitement, de rectifier les données, de le faire effacer…).
Sur 26 pages, ce document revient, dans un premier chapitre, sur les notions de données personnelles et de fichiers et sur le caractère sensible de certaines de ces informations. Les notions de finalité et de responsable du traitement sont également explicitées pour permettre aux dirigeants des associations de mieux appréhender le sujet.
Le deuxième chapitre s’intéresse aux principes à respecter pour faire en sorte qu’un traitement de données soit conforme au RGPD. Sont ici abordées non seulement la licéité du traitement, sa légitimité et ses règles de durée, mais également l’obligation d’assurer l’absolue sécurité et la confidentialité des données.
Le troisième chapitre revient sur la méthodologie à respecter pour être en conformité et le quatrième expose une dizaine de questions-réponses intéressant spécifiquement les associations.
Solène Girard
Responsable Nationale Marché Economie Sociale
Solène est Responsable nationale de la ligne de marché « Economie Sociale » chez In Extenso. Dans ce cadre, elle anime et coordonne le réseau pour le marché spécifique des associations et de l’économie sociale.