Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Ce nouveau règlement européen s’appliquera à toute entité qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Quelles sont les implications de cette nouvelle régulation pour votre association ?
Dans un prochain article, vous pourrez découvrir comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?
Pour voir vos obligations actuelles envers la CNIL, voir Les associations et leurs obligations envers la CNIL.
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Le GDPR est-il applicable à une association?
L’objectif principal de cette nouvelle réglementation reste similaire à ce qui est actuellement en place: le GDPR est conçu pour renforcer les droits des consommateurs en matière de protection des données tout en rendant la législation sur la sécurité des données uniforme dans toute l’Union Européenne. Dès lors, cette nouvelle réglementation s’applique à tous les acteurs économiques et sociaux ayant des activités de traitement et/ou de manipulation de données à caractère personnel concernant directement des citoyens européens. Les entreprises sont bien évidemment concernées, mais également les associations, administrations, ou toutes autres entitées collectant des données personnelles.
Quelles sont les données considérées comme personnelles?
Les “données à caractère personnel” sont définies comme toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique. En tant qu’association, vous collectez et conservez une quantité importante de données personnelles. Des données bancaires aux données démographiques de vos contacts, les données personnelles sont au cœur de votre activité quotidienne, culturelle ou sociale. Ainsi, pour votre association, lorsque l’on parle de données personnelles, on inclut donc les informations sur vos membres, volontaires, donateurs, employés, partenaires,et même vos contacts via votre site web.
En quoi le GDPR diffère-t-il des réglementations existantes?
Nous mentionnerons les quatre différences les plus importantes pour votre association entre l’ancienne et la nouvelle régulation:
1- Une portée géographique plus large: Le GDPR étend la portée des lois sur la protection des données. À partir de 2018, si vous collectez des données auprès de ressortissants de l’Union Européenne, même si votre organisation est située en dehors de l’Union Européenne – cette réglementation s’appliquera à vous.
2- Sanctions: Selon la nouvelle réglementation, l’amende maximale pour non-conformité peut atteindre 4% du chiffre d’affaires global (ou 20 millions d’euros – le chiffre le plus élevé).
3- Consentement du consommateur: Les organisations traitant des données personnelles doivent être claires et directes quant à la raison pour laquelle elles veulent collecter ces données. De plus, le règlement précise que ces traitements ne sont licites que si la personne concernée a donné son consentement de façon claire, indubitable et démontrable a posteriori. Enfin, les organisations doivent faire en sorte que les consommateurs puissent retirer leur consentement. Les obligations du GDPR supposent donc qu’une organisation doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement.
4- Obligation de signaler les violations de données: Selon les termes de la nouvelle réglementation, les organisations seront tenues de signaler les violations de données à leurs autorités de surveillance dans les 72 heures suivant la découverte d’une violation. Donc en tant qu’association, vous devez être en mesure de déceler si l’intégrité de vos données a été compromise et y remédier promptement, tout en consignant et notifiant l’événement.
Le GDPR s’applique-t-il à mon association ou mon club sportif basé en France ?
Oui. Votre association est basée en France et collecte des données de ressortissants de l’Union Européenne.
Quelles sont les conséquences de ne pas adhérer aux nouvelles directives?
La non-conformité n’est pas une option! La raison étant que les entreprises qui ne respectent pas ces nouvelles obligations pourraient faire face à des pénalités et des amendes sévères. Voir Sanctions ci-dessus.
Que dois-je faire en tant qu’association pour devenir conforme au GDPR?
Premièrement, il est important de commencer dès maintenant. Vous devrez vous assurer que votre système actuel et que les procédures de contrôle existantes répondent aux exigences du GDPR. Effectuez un état des lieux des données récoltées par votre association, de leur traitement, et des moyens de contrôle en place. Déterminez également les zones de risques vis-à-vis des exigences du GDPR.
Quelles actions concrètes mon association doit-elle prendre?
- Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise GDPR et ses implications.
- Si vous pensez acheter un nouveau système, assurez vous que le fournisseur est alerté de cette réglementation.
- Déterminer de quelles sont les données personnelles que vous devez collecter. La nouvelle réglementation impose de ne collecter sur informatique que les données qui sont strictement nécessaires à vos objectifs. Evitez de collecter des données peu nécessaires et plus sensibles telles que données de santé, données relatives aux origines raciales ou ethniques).
- Décidez comment vous formulerez vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certains nombres d’information (identité de l’organisation, mention des droits des personnes au regard de leurs données, etc.).
- Assurez vous de l’obtention du consentement explicite de vos utilisateurs et qu’ils comprennent pourquoi ces données sont collectées. Ce consentement pourra être retiré à tout moment par les individus le demandant, donc vous devrez pouvoir modifier ou effacer ces données si cela vous est demandé. Attention, vous devrez être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).
- Evaluez la sécurité de vos données et identifiez les améliorations nécessaires pour assurer la conformité aux nouvelles réglementations. N’oubliez pas qu’il y a de lourdes pénalités si vous ne respectez pas les nouvelles directives.
Est ce que VerticalSoft peut nous aider avec cette nouvelle réglementation ?
Oui. VerticalSoft est en partenariat avec Salesforce. Salesforce a un site entier dédié à ce problème. Ils restent le leader dans le domaine de la gestion des données. VerticalSoft a également un système de “opt-in” et “opt-out” permettant de gérer plus facilement la collecte du consentement de vos membres, contacts ou volontaires. Voir ici comment VerticalSoft peut vous aider. Contactez nous !
Pour plus de détails, la CNIL dispose de toutes les informations nécessaires.
***
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Comment gérer les membres d’une association en accordance avec le RGPD?
La CNIL clarifie quel impact aura le RGPD sur le monde associatif
Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?
***
VerticalSoft 