En France, la loi informatique et libertés de 1978 réformée en 2004 impose des obligations aux collecteurs de données personnelles. Elle prévoit notamment une obligation de déclaration de fichier auprès de la Commission Nationale Informatique et Libertés (la “CNIL”) et des conditions de recueil et d’utilisation devant être conformes à la loi. Or en tant qu’association, il est tout naturel que vous collectiez ou traitiez des données personnelles de vos membres ou donateurs. Dès lors quelles sont vos obligations en la matière ?
Pour plus d’informations sur le nouveau règlement sur la protection des données, RGPD ou GDPR, qui entrera en vigueur en Mai 2018, cliquez ici.
Que sont les données personnelles ?
La première question à se demander est si votre organisation collecte des données personnelles telles que définies par la loi. Les données personnelles sont, selon la CNIL, des données qui permettent d’identifier directement ou indirectement une personne physique, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Ainsi, les données généralement considérées comme personnelles sont :
- le nom
- les numéros de téléphone
- l’adresse
- les différents numéros d’immatriculation (Sécurité sociale, automobile,..)
- l’adresse e-mail
- les coordonnées bancaires
- l’adresse IP (son caractère personnel est encore sujet à débat juridique)
- ou même un recoupement d’informations ( ex: le fils du médecin habitant au XX rue XX à Paris)
Dès lors qu’un traitement de ces données personnelles est mis en œuvre par un organisme (ces données sont simplement stockées par exemple), la loi informatique et libertés s’applique potentiellement et une déclaration à la CNIL est de rigueur.
Dispense des organismes à but non lucratif
Par exception à cette règle, les traitements de données personnelles mis en oeuvre par tout organisme à but non lucratif (association loi 1901, fondations, fonds de dotation) pour la gestion administrative de leurs membres, bénévoles et donateurs peut être dispensés de déclaration (les fichiers relatifs aux membres ou aux donateurs créés à partir de votre site web n’ont pas à être déclarés à la CNIL). Cette dispense concerne également les annuaires des membres y compris ceux diffusés sur internet ainsi que toute action de prospection réalisée auprès membres, donateurs.
Attention, cette dispense concerne uniquement les données relatives à l’identité, l’identité bancaire, vie associative, et à des fins statistiques les données de connexion. Ainsi, si votre association collecte des “données sensibles” telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des personnes, les infractions, condamnations ou mesure de justice, etc…, cette dispense ne s’applique plus et vous devrez faire une demande d’autorisation à la CNIL.
Durée de conservation des données
Selon la loi, les données collectées ne peuvent être indéfiniment conservées. Votre association ne pourra ainsi pas conserver celles-ci au delà de la démission ou de la radiation du membre (sauf s’il l’accepte de façon claire par une case a cocher par exemple) et pour les donateurs au delà de deux sollicitations restées infructueuses. Les informations sur les prospects ne sont pas conservées après la réalisation de la campagne de prospection.
Consentement requis pour la collecte de données
En tout état de cause, soyez certain que votre système informatique permette d’informer les personnes lors de la collecte des données, de toute opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition (email a l’administrateur permettant une demande d’opposition par exemple), d’accès et de rectification et sur les modalités d’exercice de ces droits (pop-up sur votre site lors de l’enregistrement des données).
Votre association devra donc ajouter en bas du bulletin d’adhésion en ligne, une phrase standard: “Les informations recueillies sont nécessaires pour votre adhésion. Elles font l’objet d’un traitement informatique et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, l’adhérent bénéficie d’un droit d’accès et de rectification aux informations qui le concerne.”
De même le consentement des personnes doit être obtenu si l’association envisage de céder ou louer leurs coordonnées à des fins de prospection commerciale par voie électronique (par exemple une case à cocher lors de la souscription).
Les informations légales de votre site internet
Une association qui a un site Internet devra obligatoirement afficher une page d’ “Informations légales”, reprenant les différentes informations à propos de l’hébergeur de votre site internet et de son éditeur.
Pour en savoir plus:
https://www.legifrance.gouv.fr/jo_pdf.donumJO=0&dateJO=20100707&numTexte=76&pageDebut=&pageFin=
https://www.cnil.fr/fr/les-fichiers-des-associations-en-questions
Les nouvelles obligations du RGPD
VerticalSoft 