Votre association et la réglementation des formulaires de contact

Si le site de votre association comporte des formulaires en ligne de collecte d’information, sous quelque forme que ce soit et pour quelque raison que ce soit, il existe une obligation particulière issue de la loi « informatique et libertés » (Article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.).

Déclaration à la CNIL

Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l’informatique et des libertés (Cnil) sous forme d’une :

• déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l’objet d’une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles, etc.), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d’une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail, etc.),
• déclaration simplifiée valant engagement de conformité, pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes. Par exemple, les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d’un site web, qui ne bénéficient ni d’une dispense, ni d’une procédure allégée, doivent faire l’objet d’une déclaration normale.

Exception pour les associations: la dispense n° 8 (Délibération CNIL n° 2010-229 du 10 juin 2010)

Ne sont pas soumises à l’obligation de déclaration à la Cnil, les données concernant notamment :

• des activités exclusivement personnelles (rédaction d’un blog par exemple),
• les membres et contacts d’une association à caractère politique, syndical ou religieux (attention si la collecte d’information ne concerne pas uniquement les membres de l’association mais par exemple les participants à un évènement sportif que vous organisez, il faut faire une déclaration normale et bien sûr respecter les principes de la loi « informatique et libertés »)
• l’activité professionnelle d’un artiste (écrivain, cinéaste, éditeur…),
• les opérations courantes de l’entreprise (comptabilité, fichiers de fournisseurs, gestion des paies, registre unique du personnel, déclarations sociales obligatoires, etc.).

Plus particulièrement pour les associations, celles-ci ne peuvent bénéficier de la dispense de la déclaration que si les conditions suivantes sont satisfaites:

Finalités du traitement (Article 2):

l’enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations, conformément aux dispositions statutaires qui régissent les intéressés;

d’établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres ou de contacts, notamment en vue d’adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l’objet statutaire de l’organisme ;

d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet. Le traitement peut avoir également pour finalité la tenue d’annuaire d’anciens élèves ou d’étudiants ;

d’effectuer par tout moyen de communication des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects. Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.

Les données traitées bénéficiant de l’exonération (Article 3):

l’identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;

les informations relatives à la gestion administrative de l’organisme : état des cotisations, position vis-à-vis de l’association, informations strictement liées à l’objet statutaire de l’organisme, identité bancaire pour la gestion des dons ;

données de connexion (date, heure, adresse internet protocole de l’ordinateur du visiteur, page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.

Les données traitées exclues de l’exonération (Article 3):

les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (art. 8 de la loi du 6 janvier 1978 modifiée) ;

les données concernant les infractions, condamnations ou mesures de sûreté (art. 9 de la loi du 6 janvier 1978 modifiée) ;

les données relatives aux difficultés sociales et économiques des personnes ;

le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou numéro de sécurité sociale).

Information et consentement des personnes concernées (Article 4)

Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de leurs droits.

Durée de conservation (Article 5)

Les données à caractère personnel ne peuvent être conservées après la démission, la radiation ou le départ, sauf accord exprès de l’intéressé.

S’agissant des donateurs, la commission recommande qu’elles ne soient pas conservées au-delà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de prendre toutes mesures utiles pour s’assurer que les données sont exactes, complètes et mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des sollicitations. En tout état de cause, les données doivent être conservées pour une durée limitée.

Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées.

En cas d’établissement d’annuaire (Article 6)

En cas d’établissement d’annuaire des associations : Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes concernées doivent en être préalablement informées et doivent être mises en mesure de s’opposer à ce que tout ou partie des données les concernant soit publié.

La commission recommande à cet égard que l’accès à l’annuaire par le biais d’internet soit en accès restreint et que les personnes aient la possibilité d’indiquer les informations qu’elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version web que papier de l’annuaire. Les personnes figurant dans l’annuaire doivent également avoir été mises en mesure de s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.

La prospection de nouveaux membres (Article 6)

En cas d’opérations relatives à des actions de prospection auprès des membres, donateurs et prospects : Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais, à tout moment et sans justification.

Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie électronique, les personnes concernées doivent préalablement consentir à une telle utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins commerciales.

La CNIL a rappelé que le responsable du traitement qui utilise des données issues d’un fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s’assurer que les personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des fins de prospection.

La CNIL recommande que les messages de sollicitations indiquent aux personnes démarchées l’origine des informations utilisées pour leur faire parvenir ce message lorsque les données n’ont pas été recueillies directement par l’organisme à l’origine du message. Si les données à caractère personnel ont été collectées via un formulaire, le droit d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.

En savoir plus

Délibération n° 2010-229 du 10 juin 2010 dispensant de déclaration les traitements automatisés de données à caractère personnel mis en œouvre par des organismes à but non lucratif abrogeant et remplaçant la délibération n° 2006-130 du 9 mai 2006 (décision de dispense de déclaration n° 8)

En pratique

Même si l’on bénéficie d’une dispense, il est nécessaire d’informer les personnes de la collecte de leurs données. À ce titre, il faut indiquer :

1. l’identité de la personne qui assure la gestion des données personnelles ;
2. à quoi est destinée la collecte des données personnelles ;
3. le caractère obligatoire ou facultatif de donner ses données ;
4. les conséquences éventuelles, à son égard, d’un défaut de réponse ;
5. à qui sont transmises les données ;
6. les droits dont disposent les personnes dont les données sont collectées (accès, opposition, rectification et suppression des données) ;
7. si des transferts de données à caractère personnel sont envisagés à destination d’un État non membre de la Communauté européenne.

Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d’ aide à la déclaration sur le site de la Cnil. https://www.cnil.fr/fr/declarer-un-fichier

Exemple de texte

“

TRAITEMENT DES DONNÉES NOMINATIVES: En effectuant un don sur ce site, vos nom et coordonnées seront conservés notamment afin d’éditer votre reçu fiscal. 
De même, si vous êtes abonné(e) à une de nos listes de diffusion, vos coordonnées seront conservées à l’usage exclusif de notre association. Elle ne seront ni cédées, ni louées, ni échangées.
 Conformément à la loi informatique et libertés du 6 janvier 1978, vous disposez d’un droit d’accès, de suppression et de rectification aux données personnelles vous concernant en vous adressant à notre association sur : XXXX@XXX.com”

Auteur : Sophie Gioanni

Sophie est chargée du développement international de VerticalSoft.com. VerticalSoft est un logiciel de gestion en ligne, tout-en-un, permettant de gérer et promouvoir votre association, fondation ou toute organisation à but non lucratif. Voir tous les articles par Sophie Gioanni