Le nouveau règlement européen sur la protection des données personnelles (RGPD) entrera en application le 25 mai 2018. Votre association y sera soumise, qu’elle soit petite ou grande, dès lors qu’elle collecte et traite des données personnelles. Nous avons une série d’emails pour vous aider à vous rappeler des différentes étapes que vous devrez accomplir pour être en conformité avec ce règlement. Dans ce post nous vous rappelons l’obligation potentielle de désigner un DPO et les avantages, dans tous les cas de figures, de désigner un pilote pour la mise en conformité.
Qui est le DPO? et quand doit-on nommer un DPO?
Le terme DPO est une abréviation anglaise pour Data Protection Officer. Vous le retrouverez désigné dans les articles comme DPO ou DPD, délégué à la protection des données, en francais. L’article 37 du RGPD établit 3 cas dans lesquels un DPO doit obligatoirement être nommé:
a) votre organisation est une autorité publique ou un organisme public;
b) les activités de base de votre organisation consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de votre organisation consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Donc si votre association n’entre pas dans un de ces 3 cas, elle n’aura aucune obligation légale de nommer un DPO.
Est-il recommandé de désigner un “pilote” pour être en conformité?
Nous avons continuellement conseillé à nos clients de désigner une personne responsable de la mise en conformité avec le RGPD. Un “pilote” si vous préférez, qui sera au coeur des étapes à suivre. Il peut en effet être difficile pour une association, même petite, de faire le point sur les données collectées (surtout si elles sont collectées de plusieures façons, par des formulaires sur le site web, des formulaires papiers, par téléphone, etc…). Chacun travaille parfois sur son propre projet: le fundraiser est préoccupé par la gestion des donateurs, le responsable des volontaires est préoccupé par la gestion de ces derniers, le responsable de cours (d’un club sportif) est préoccupé par le gestion de ses élèves. Bref, personnes n’a vraiment de vue d’ensemble. Désigner un “pilote”, même si vous n’y êtes pas obligé, vous permet d’avoir un point central d’analyse. L’idée est que ce “pilote” assume en un sens les responsabilités du DPO. Cela signifie que cette personne sera responsable des points suivants:
a) informer et conseiller l’association et ses salariés (ou volontaires) des obligations qui leur incombent en vertu du règlement; il pourra par exemple assurer l’éducation et la formation du personnel. Surtout cette personne sera responsable de savoir quelles données personnelles sont collectées (et par quel moyen), si elles sont nécessaires et quelle protection est assurée sur celles ci.
b) contrôler le respect du règlement;
c) faire office de point de contact et coopérer avec la CNIL si votre association vient à être contrôlée.
Le RGPD arrive. Préparez-vous!
Rappel: Votre association a-t elle désigné un pilote pour la mise en conformité avec le RGPD?
Rappel: votre association a t’elle mise à jour sa politique de confidentialité?
Rappel: mettez à jour le formulaire de dons en ligne de votre association avec l’arrivée du RGPD!
Rappel: avez-vous mis la newsletter de votre association en conformité avec le RGPD?
Rappel: quels outils pour aider votre association à être en conformité avec le RGPD?
VerticalSoft 
4 réflexions sur « Rappel: Votre association a-t elle désigné un pilote pour la mise en conformité avec le RGPD? »