Menu Accueil

Que doit faire mon association avant l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD)?

L’entrée en application du règlement européen sur la protection des données personnelles (RGPD) s’approche et de nombreuses associations avec qui nous travaillons se demandent si elles ont un risque d’être contrôlées par la CNIL ou même sanctionnées en cas de non respect du RGPD. Voici un rappel de l’approche de la CNIL et de ce que vous pouvez faire pour préparer votre association avant l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD).

Quelle sera l’approche de la CNIL après l’entrée en vigueur du RGPD?

Dans un article publié sur le site web lesechos.fr, Isabelle Falque-Pierrotin, présidente de la CNIL, précise que sa première démarche continuera “d’accompagner les entreprises pendant plusieurs mois”. « Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018. » a-t-elle ajouté. Ce commentaire vaut également pour les associations qui sont également soumises au RGPD dès lors qu’elle collectent et traitent des données dites personnelles.

Que doit faire mon association d’ici à l’entrée en vigueur du règlement?

Vous pouvez dès aujourd’hui prendre quelques mesures pour vous préparer à l’arrivée du RGPD.

Première étape: Effectuez une analyse des données que vous récoltez

Cette étape est essentielle pour vous préparer.

  • Quelles données récoltez vous?
  • Que faites vous de ces données personnelles? les revendez vous ou non? les utilisez vous pour faire des appels à dons?
  • Quel sont vos objectifs poursuivis ? mieux connaître vos membres, mieux les servir? leur offrir des cours par tranche d’âge?
  • Quel système utilisez vous? si vous êtes encore sur excel, réfléchissez à deux fois. Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise GDPR et ses implications. Si vous pensez acheter un nouveau système, assurez vous que le fournisseur est alerté de cette réglementation.
  • Où vont vos données: attention à d’éventuels transferts de données hors de l’Union européenne.

Deuxième étape: que devez vous faire pour être en conformité avec le règlement européen RGPD?

  • Ne collectez que les informations nécessaires et évitez les données sensibles
  • Rédiger vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation.
  • Le consentement des membres, adhérents ou donateur est-il proprement collecté?
  • Changez vos formulaires d’inscription en ligne, formulaires de dons en ligne et formulaires d’adhésion à votre newsletter pour refléter les conditions du RGPD
  • Vos membres peuvent retirer leur consentement à tout moment dès qu’ils le demande: Donc votre système de gestion devra permettre la modification ou la possibilité d’effacer les données si cela vous est demandé.

Troisième étape: Conservez les documents nécessaires

Étape évidente mais parfois négligée: conservez tous les documents qui prouvent que vous êtes en conformité avec le règlement. Gardez la preuve des consentements recueillis (soit sous forme papier soit dans votre système informatique). Documentez les règles internes que vous avez mises en place en cas de violation du règlement.

Quatrième étape: si vous ne l’avez pas déjà fait, adoptez un CRM

Le simple fait de s’équiper d’un logiciel CRM simple ne sera pas suffisant pour les associations. Il faudra s’équiper d’un logiciel dont l’infrastructure est suffisamment solide, établie et capable de se conformer au RGPD. Les amendes sont bien trop lourdes pour les ignorer. Il existe cependant un grand nombre de solutions gratuites pour le associations… Pour les associations souhaitant utiliser un de ces logiciels gratuits, se pose alors une question légitime : lequel d’entre eux choisir, et selon quels critères ? Pourquoi ne pas prendre un logiciel gratuit plutôt qu’un logiciel payant (certes leader mondial, tels que Salesforce ou Blackbaud) ?

Notre équipe a plus de 10 ans d’expérience d’intégration de CRM leaders tels que Salesforce. Certes ces offrent sont payantes, mais si on constate que plus de 12 000 associations utilisent ce produits, il y a une bonne raison à cela. Les offres gratuites n’offrent pas forcément la même sécurité, elles peuvent potentiellement disparaître et ne prennent pas le RGPD autant au sérieux (voir Salesforce et Blackbaud sur le sujet). Chez VerticalSoft, nous avons développé une solution en français, basée sur Salesforce, et donc vous offrant la sécurité de l’infrastructure Salesforce, grâce à notre accord avec Salesforce.org, la fondation de Salesforce. Pour plus d’information, sur nos fonctionnalités, voir notre site web ou contactez nous.

Cinquième étape: Informez vos employés / volontaires

Assurez-vous que tout le monde dans votre association est sensibilisé à cette réglementation.

Est-il nécessaire de désigner délégué à la protection des données?

Non, sauf dans 3 cas:

  1. si le traitement [des données personnelles] est effectué par une autorité publique ou un organisme public
  2. si les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  3. si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Même si vous n’en n’avez pas l’obligation, il est conseillé de désigner au sein de votre organisation une personne qui pourra être responsable de s’informer des obligations auxquelles votre association est potentiellement assujettie, de contrôler le respect du règlement et d’informer votre organe de direction des possibles changements à faire.

Est-il nécessaire de réaliser une analyse d’impact sur la protection des données

Non, sauf si les traitements présentant “un risque élevé pour les droits et libertés des personnes physiques”.

Pour plus d’information, notre guide sur le RGPD peut vous apporter quelques réponses.

Catégories :Association et RGPD (ou GDPR)

Tagué:

Sophie Gioanni

Sophie est chargée du développement international de VerticalSoft.com. VerticalSoft est un logiciel de gestion en ligne, tout-en-un, permettant de gérer et promouvoir votre association, fondation ou toute organisation à but non lucratif.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s

%d blogueurs aiment cette page :