Blog Données personnelles

Un nouveau guide publié par la CNIL à l’attention des associations pour les aider à appliquer le RGPD

Il existe en France un million trois cent mille (1.300.000) associations dont les secteurs d’activité sont extrêmement variés.

A l’instar des sociétés, les associations sont amenées à collecter et traiter de nombreuses données à caractère personnel dans le cadre de leurs activités (p. ex. gestion des adhésions, réalisation d’une collecte de dons) et sont, dès lors, soumises au Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le « RGPD  »).

La Commission Nationale de l’Informatique et des Libertés (ci-après désignée la « CNIL  ») constate que trois ans après l’entrée en vigueur du RGPD, de nombreuses associations ne disposent pas encore de ressources dédiées à la protection des données.

Dans ce contexte, la CNIL a adopté un guide de sensibilisation à l’attention des associations afin de les aider et les accompagner dans le cadre de leur mise en conformité au RGPD (ci-après désigné le « Guide  »).

Ce Guide est composé de quatre parties qui rappellent respectivement les principales notions à connaître et les grands principes à respecter et présentent les grandes étapes de la mise en conformité, et une foire aux questions.

Sur les notions de la protection des données et les grands principes à respecter, la CNIL reprend ses présentations habituelles accessibles sur son site et insiste particulièrement sur les mesures à mettre en place pour assurer la sécurité des données. Rappelons que les condamnations prononcées par la CNIL à l’encontre des associations, l’ont été en raison d’un défaut de sécurité (Délibération SAN-2018-003 du 21 juin 2018 ; Délibération SAN-2018-010 du 6 septembre 2018).

Les étapes de la mise en conformité sont maintenant connues mais la Commission a souhaité les rappeler. Afin de se mettre en conformité avec le RGPD, les associations doivent passer par plusieurs étapes :

  1. Elaborer un registre des activités de traitement ;
  2. Faire un tri dans les données personnelles dont elles disposent pour ne conserver que celles qui sont nécessaires au regard des finalités déterminées ;
  3. Informer l’ensemble des personnes concernées par un traitement de données mis en œuvre ;
  4. Organiser et faciliter l’exercice des droits des personnes concernées ;
  5. Sécuriser les données personnelles dont elles disposent.

Enfin, la foire aux questions proposée répond à des questions régulièrement posées par des associations à la CNIL et reste très intéressante à cet égard. Par exemple, la foire aux questions fait référence aux questions suivantes.

  • Les communes peuvent-elles demander aux associations qu’elles subventionnent de leur transmettre le fichier de leurs adhérents ? Non
  • Une association peut-elle communiquer des renseignements sur ses adhérents à des tiers autorisés ? Oui, à condition que cette communication repose sur un texte juridique
  • Un membre de l’association peut-il exiger la communication de la liste des autres adhérents ? Oui, si, et seulement si, les statuts de l’association prévoient cette possibilité
  • Une association peut-elle publier des photos de ses membres sur son site Internet ou au sein de sa revue ? Oui, si la personne concernée a donné son accord préalable et écrit à cette diffusion ;
  • Une association peut-elle collecter le casier judiciaire de ses salariés/bénévoles ? Non ;
  • Une association peut-elle échanger les informations de ses adhérents à une autre association à des fins de prospection ? Oui, sous réserve de respecter les règles relatives à la prospection caritative ou, le cas échéant, les règles relatives à la prospection commerciale.

D’autres exemples très pratiques et concrets accompagnent ce Guide.