Le règlement européen GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne et donc en France. Comment préparer votre association pour être en conformité avec cette nouvelle réglementation?
Comme nous l’avons rappelé dans notre article Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données?, les associations basées en France sont soumises à cette nouvelle réglementation si elles collectent des données personnelles. Mais que doit-on faire en tant qu’association pour devenir conforme au GDPR? Voici 6 conseils pour se préparer:
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
1- Désignez un responsable de la conformité au règlement européen GDPR
Première étape essentielle, désignez au sein de votre organisation la personne qui sera responsable de mettre en place les mesures de conformité. Cette personne est à distinguer d’un délégué à la protection des données dont la désignation est obligatoire en 2018 dans trois cas limités:
- si le traitement [des données personnelles] est effectué par une autorité publique ou un organisme public
- si les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
- si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
A l’exclusion de ces trois cas bien précis et particuliers, votre association n’aura pas l’obligation de nommer un délégué à la protection des données. Par contre, comme nous l’avons mentionné ci-dessus, il est conseillé de désigner au sein de votre organisation une personne qui pourra être responsable de s’informer des obligations auxquelles votre association est potentiellement assujettie, de contrôler le respect du règlement et d’informer votre organe de direction des possibles changements à faire.
2- Effectuez un état des lieux des données récoltées par votre association
Afin de comprendre l’impacte de la nouvelle réglementation, vous devrez analyser:
1- les données personnelles que vous récoltez. Les données personnelles sont définies par le règlement comme : “toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”. Si vous êtes une association, vous collectez probablement des données personnelles telles que le nom, l’adresse, l’âge (pour les clubs sportifs), etc…
2- ce que vous faites de ces données personnelles (quel “traitement” au sens du règlement faites vous)
3- vos objectifs poursuivis par les opérations de traitements de données (connaître vos membres, mieux les servir? leur offrir des cours par tranche d’âge?)
4- vos systèmes: Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise GDPR et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? etc…Si vous pensez acheter un nouveau système, assurez vous que le fournisseur est alerté de cette réglementation.
5- où vont vos données: attention à d’éventuels transferts de données hors de l’Union européenne.
3- Une fois un état des lieux effectué, établissez les actions à mener pour être en conformité avec le règlement européen GDPR
Assurez vous d’établir un calendrier stricte puisque le GDPR ou RGPD sera applicable à partir du 25 mai 2018. Les actions suivantes peuvent être prises quelque soit les conclusions de votre analyse:
1- Une fois que vous avez déterminé quelles sont les données personnelles que vous devez collecter pour faire fonctionner votre association, évitez de collectez les informations superflues. Si votre objectif est de recenser vos membres, collecter des données nécessaires et évitez celles peu nécessaires et plus sensibles telles que données de santé, données relatives aux origines raciales ou ethniques.
2- Rédiger vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement. Les plus importantes étant (cette liste n’est pas complète!) les suivantes:
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- les finalités du traitement;
- si les données sont transférées vers un destinataire dans un pays tiers
- la durée pendant laquelle les données à caractère personnel seront conservées
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données
- le droit d’introduire une réclamation auprès d’une autorité de contrôle
3- Assurez vous de l’obtention du consentement explicite de vos membres ou adhérents et qu’ils comprennent pourquoi ces données sont collectées. Concrètement votre contrat d’adhésion devra comporter des mentions relatives aux données personnelles. Même votre formulaire de contact en ligne devra comporter des mentions (renvoie vers les mentions légales par exemple). Attention, vous devrez être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).
4- Rappelez-vous que vos membres peuvent retirer leur consentement à tout moment dès qu’ils le demande. Donc votre système de gestion devra permettre la modification ou la possibilité d’effacer les données si cela vous est demandé.
5- Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise GDPR et ses implications.
6- Assurez-vous de la sécurité des données. Ou sont-elles stockées? par qui? qui y a accès?
4- Pour les grandes associations: réalisez une analyse d’impact sur la protection des données
La CNIL peut vous donner de nombreuses informations sur ces analyses qui est une pratique recommandée pour s’assurer que votre traitement est conforme au RGPD et respectueux de la vie privée. Une analyse d’impact est parfois obligatoire pour les traitements présentant “un risque élevé pour les droits et libertés des personnes physiques”. La CNIL met à disposition un logiciel libre PIA pour ceux qui désirent utiliser un outil.
5- Informez vos employés / volontaires
Assurez-vous que tout le monde dans votre association est sensibilisé à cette réglementation. Pour nombre d’associations, la collecte de données se fera via un système informatique. Votre système devra vous permettre de recueillir le consentement et de garder les informations de façon sécurisée. Pour les associations qui utilisent du papier, les devoirs d’information sont les mêmes et le consentement doit être similairement éclairé et recueilli par votre organisme.
6- Conservez les documents nécessaires
Étape évidente mais parfois négligée: conservez tous les documents qui prouvent que vous êtes en conformité avec le règlement. Gardez la preuve des consentements recueillis (soit sous forme papier soit dans votre système informatique). Documentez les règles internes que vous avez mises en place en cas de violation du règlement.
7- Adoptez un CRM
Le simple fait de s’équiper d’un logiciel CRM simple ne sera pas suffisant pour les associations. Il faudra s’équiper d’un logiciel dont l’infrastructure est suffisamment solide, établie et capable de se conformer au RGPD. Les amendes sont bien trop lourdes pour les ignorer. Il existe cependant un grand nombre de solutions gratuites pour le associations… Pour les associations souhaitant utiliser un de ces logiciels gratuits, se pose alors une question légitime : lequel d’entre eux choisir, et selon quels critères ? Pourquoi ne pas prendre un logiciel gratuit plutôt qu’un logiciel payant (certes leader mondial, tels que Salesforce ou Blackbaud) ?
Notre équipe a plus de 10 ans d’expérience d’intégration de CRM leaders tels que Salesforce. Certes ces offrent sont payantes, mais si on constate que plus de 12 000 associations utilisent ce produits, il y a une bonne raison à cela. Les offres gratuites n’offrent pas forcément la même sécurité, elles peuvent potentiellement disparaître et ne prennent pas le RGPD autant au sérieux (voir Salesforce et Blackbaud sur le sujet). Chez VerticalSoft, nous avons développé une solution en français, basée sur Salesforce, et donc vous offrant la sécurité de l’infrastructure Salesforce, grâce à notre accord avec Salesforce.org, la fondation de Salesforce. Pour plus d’information, sur nos fonctionnalités, voir notre site web ou contactez nous.
***
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?
***
VerticalSoft est une entreprise de l’économie sociale et solidaire, aidant les associations dans leur transition numérique. Si vous êtes une association de la Loi 1901, vous pouvez bénéficier d’une consultation gratuite sur votre stratégie web, de fundraising et sur l’utilisation du numérique. N’hésitez pas à nous contacter pour nous faire part de vos besoins.
VerticalSoft 