Cet article est en réponse à de nombreuses associations avec qui nous travaillons et qui se demande quel contrôle la CNIl effectuera à partir du 25 mai 2018, c’est à dire à partir de la date de l’entrée en application du règlement général sur la protection des données (RGPD).
Rappel sur ce qu’est le RGPD
Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR), constitue le texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne (source Wikipedia). Ce règlement impose des obligations pour tout organisme qui collecte des données personnelles. Toutes les associations sont concernées.
Quels sont les pouvoirs de la CNIL?
La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement. Donc votre association peut être soumise à un control à tout moment, car la CNIL est responsable de vérifier l’application de la loi informatique et libertés sur le terrain. Elle est également responsable de vérifier de l’application du règlement. Les contrôles peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. En général la CNIL décide de réaliser un contrôle soit sur les bases suivantes:
- programme annuel des contrôles
- plaintes reçues
- informations figurant dans les médias
- faire suite à un précédent contrôle.
Le RGPD entraîne de lourde peine en cas de non conformité: que sera la politique initiale de la CNIL?
Selon la communication de la CNIL sur ce sujet, la commission distingue 2 types d’obligations s’imposant aux professionnels.
- Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés. Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.
- En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes.
On doit en conclure que si votre association est de bonne foi, est en train de se mettre en conformité, et a déjà effectué certaines démarches pour être en conformité, alors les contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction.
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?
Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD
VerticalSoft 