Accueil / Etudes de Cas / RGPD Partie 1 : tous concernés, même les associations !

Ce nouveau Règlement Européen concerne la protection des données personnelles et vient remplacer les missions attribuées à la CNIL en France, tout en renforçant la sécurité.

Applicable à partir de mai 2018, la réforme de la protection des données poursuit 3 objectifs :

  1. Renforcer les droits des personnes notamment par la création d’un droit à la portabilité des données personnelles.
  2. Responsabiliser les acteurs traitant des données.
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données notamment transnationales.

 

Etes-vous concerné par cette Réglementation Européenne sur la protection des données ?

Oui,  si vous avez un fichier des membres de votre association et que vous stockez leurs données personnelles (date de naissance, adresse mail etc..).

Oui,  si  vous avez un fichier de contacts à qui vous envoyer des emailings / newsletter.

Oui,  si vous avez des salariés et que vous stockez leurs données personnelles.

 

Quels sont les grands principes de la RGPD ?

  • Vous devez vous assurer que l’individu vous ait donné son consentement « éclairé » pour faire partie de votre fichier ; c’est-à-dire qu’il doit être en mesure de savoir quelles informations vous stockez à son sujet et quel en est votre usage.
  • Vous devez justifier la raison pour laquelle vous stockez ces données.
  • Vous devez prévoir la possibilité pour l’individu de demander la suppression de ses données personnelles au moins aussi facilement qu’il a donné son consentement (droit à l’oubli).

 

De quel type de données parle-t-on pour une association professionnelle ?

Les entreprises (et les associations) devront tenir un registre complet de toutes les activités de traitement des données personnelles. A titre d’exemple, voici les informations que doit contenir ce registre pour une liste des membres d’une association.

1 - Finalité du traitement :

Sous-finalité 1 : Paiement de la cotisation annuelle.

Sous-finalité 2 : Envoi d’information concernant la profession (Evénement / Bourse de recherche / Evolution de la règlementation / Campagnes d’information / Nouvelles études ...).

Sous-finalité 3 : Etude des profils des membres pour pouvoir mieux cibler le recrutement de nouveaux membres.

Sous-finalité 4 : Remboursement des frais de transports pour les réunions organisées par l’association (comité scientifique, réunion du bureau etc...).

 

2 - Catégories de données personnelles concernées :

Données d’identification

Civilité, Titre, Prénom, Nom, Adresse, Code Postal, Ville, Pays, Email, Etablissement, Sexe, Téléphone, Sur-spécialité, Activité principale, Mode d’exercice, Date de naissance, numéro RPPS, Fonction, Type de membre, Numéro de membre, Nationalité, Information de parrainage (Nom et prénom du parrain, email).

Vie Personnelle

 

Information d’ordre économique et financière 

Date de paiement, Moyen de paiement, Banque émettrice du chèque, IBAN.

Données de connexion 

Login, Mot de passe.

Données de localisation 

 

 

3 - Catégories de personnes concernées : Membres de l’association

4 - Les destinataires : Membres de l’association

 

Comment concrétiser la mise en place de la RGPD dans votre association ?

Le RGPD prévoit une méthodologie de mise en place dont vous trouverez sur le site de la CNIL les 6 étapes à suivre, pour vous mettre en conformité avec cette nouvelle réglementation : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

 

Quelques recommandations pour mieux appréhender ces 6 étapes :

Etape 1 : Désigner un pilote

Le rôle du pilote est d’être le référent dans votre association sur la protection des données.

En cas de contrôle, c’est lui qui sera interviewé et qui devra pouvoir montrer que vous avez mis en place, les mesures qui garantissent la protection des données personnelles de vos membres et de vos salariés.

Le délégué général est donc en la plu part du temps la personne la plus approprié pour ce rôle.

Etape 2 et 6 : Identifier vos données et les documenter

Il faut lors de cette étape définir à quoi vous servent toutes les données personnelles que vous stockez (nommé « Traitement » dans le règlement RGPD). Chaque traitement doit être répertorié dans le registre : il existe un modèle de fichier à compléter disponible via le lien suivant : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles (Modèle de registre réglement européen). C’est le registre qui sera audité en cas de contrôle et qui permettra de voir si vous avez bien appliqué vos obligations RGPD.

Pour chacun de vos traitements identifiés, il faudra éventuellement justifier, si cela ne parait pas évident, pourquoi telle ou telle donnée est nécessaire à ce traitement. Dans l’exemple précédent, prenons le cas du numéro RPPS pour pouvoir gérer des membres. Il faudra alors compléter le registre en expliquant que le numéro RPPS est nécessaire pour vous s’assurer que le membre est bien déclaré en tant que médecin et qu’à ce titre il a le droit d’avoir accès à des informations scientifiques disponibles dans l’espace membre sur votre site.

Il y a également une documentation spécifique à prévoir si vous stockez des données sensibles (analyse d’impact sur la protection des données). Sont considérés comme données sensibles les informations sur la santé, l’origine raciale ou ethnique, les opinions politiques ou religieuses etc… Il n’y a à priori pas de données sensibles stockées par l’association, mais pensez à bien vérifier.

De même, si vous transférez une partie des données personnelles que vous stockez, en dehors de l’Europe (par exemple, vous envoyez la liste de vos membres à une association ou à un prestataire américain)  alors vous devez vous assurez qu’il respecte les mêmes règles que celles imposées par le RGPD même si celle si ne sont pas obligatoire dans son pays. Dans le doute, nous vous conseillons de vous abstenir.

Etape 3,4 et 5 : se conformer aux normes RGPD 

Focus sur le recueil du consentement

Il doit correspondre à l’usage que du fichier (vous ne pouvez pas tout faire par défaut). Vous devez demander à vos membres quel type d’information ils acceptent de recevoir et de quelle façon ils souhaitent les recevoir (mail, sms, courrier postal). La mise à jour du consentement doit être faite pendant l’année 2018.

Dans une prochaine newsletter Colloquium, nous vous livrerons des conseils pratiques sur les modalités de recueil du consentement notamment pour les newsletters.

Quels sont les risques de non-respect de cette réglementation ? 

Avant tout la RGPD a été mis en place pour les grandes entreprises du web ainsi que toutes les start-ups, les applications mobiles ou sites internet qui stockent de nombreuses informations personnelles. Vous n’êtes pas, en tant qu’association, les premiers concernés par cette réglementation. Mais en cas de contrôle, il semble important de montrer votre bonne foi et d’être en mesure de présenter ce que vous avez mis en place pour cartographier vos données et bien sûr de démontrer que vous n’utilisez pas ces données sans autorisation ou sans contrôle. La sanction en cas de non-conformité est de 4% du CA ou 20 millions d’€. 

RGPD : Règlement Général de Protection des Données. GDPR, General Data Protection Regulation (en anglais)

Elvire de Chalus

Directeur général

e.dechalus@clq-group.com

Partager cet article