Une association doit-elle déclarer à la CNIL le fichier de membres, bénévoles et donateurs ?

Cet article fait suite à une série de petits articles relatifs aux obligations des associations vis-à-vis de la CNIL. Pour les obligations des associations après l’entrée en vigueur du nouveau règlement européen sur la protection des données, voir :

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Principe de base: déclaration des fichiers

Une association est naturellement amenée à collecter beaucoup d’informations à caractère personnel sur ses membres, ses adhérents, ses volontaires ou ses donateurs. Un bulletin d’inscription pourra par exemple comporter les informations suivantes: le nom, le prénom et l’adresse des personnes. Ces données ayant par définition un caractère personnel, elles seront protégées par la loi « informatique et libertés » du 6 janvier 1978. Cette loi prévoit que les fichiers doivent être déclarés auprès de la CNIL.

Dispense de déclaration n°8 pour les associations

La délibération no 2010-229 du 10 juin 2010 dispense de déclaration les traitements automatisés de données à caractère personnel mis en œuvre par des organismes à but non lucratif. Donc les associations n’ont, en général (voir les exceptions ci dessous), pas a déclarer à la CNIL leurs fichiers de membres, donateurs, volontaires ou adhérents.

Attention les traitements doivent avoir pour seules finalités :

– l’enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs (gestion des cotisations)

– d’établir des statistiques ou des listes de membres ou de contacts.

– d’établir des annuaires de membres.

– d’effectuer par tout moyen de communication des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects.

Les données traitées pour la réalisation des finalités sont :

– l’identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;– les informations relatives à la gestion administrative de l’organisme : état des cotisations, position vis-à-vis de l’association, informations strictement liées à l’objet statutaire de l’organisme, identité bancaire pour la gestion des dons

– données de connexion (date, heure, adresse internet protocole de l’ordinateur du visiteur, page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.

Ne peuvent bénéficier de l’exonération les traitements comportant les données sensibles telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci , les données concernant les infractions, condamnations, les données relatives aux difficultés sociales et économiques des personnes, et le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou numéro de sécurité sociale).

Combien de temps mon association peut-elle garder ces données?

Les données à caractère personnel ne peuvent être conservées après la démission, la radiation ou le départ du membres (sauf accord exprès). Dans le cas des donateurs, les données ne peuvent pas être conservées au-delà de deux sollicitations restées infructueuses. Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées.

Mon association bénéficie de la dispense, est ce qu’elle n’a donc aucune obligation ?

Non, votre association doit tout de même respecter la loi et devra d’informer les personnes lors de la collecte des données, de toute opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition (email à l’administrateur permettant une demande d’opposition par exemple), d’accès et de rectification et sur les modalités d’exercice de ces droits (pop-up sur votre site lors de l’enregistrement des données).

Qu’en est-il des obligations des associations après l’entrée en vigueur du nouveau règlement européen sur la protection des données (RGPD)

Pour plus d’information sur ce sujet, voir Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s