L’année scolaire a démarré, et les abonnements à votre association sportive ou locale se renouvellent. Mais voilà, cette année est différente car au mois de Mai, le RGPD ou Règlement Général pour la Protection des Données est entré en vigueur. Ce règlement a entraîné un changement radical pour les entreprises et associations sur la façon dont ces entités sont autorisés à collecter des données personnelles. Voici les points clés à se noter pour être en conformité avec ces nouvelles dispositions.
Rappel: le RGPD c’est quoi?
Le règlement européen GDPR (en anglais) ou RGPD est entré en vigueur dans toute l’Europe le 25 mai 2018 dernier. Il en découle que les associations basées en France sont soumises à cette nouvelle réglementation si elles collectent des données personnelles.
Déterminez quelles données doivent absolument être collectées par votre association
C’est la rentrée et un bon moment pour vous assurer que les données que vous collectez vous sont absolument nécessaires.
1- Définition des données personnelles: celles-ci sont “toutes informations se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”. En résumé, si votre association collecte au minimum nom et prénom, vous collectez des données personnelles et devez respecter le RGPD.
2- Collectez vous les bonnes données? Assurez vous que les données que vous collectez sont nécessaires aux objectifs que vous poursuivez. Désirez vous connaître vos membres, mieux les servir? leur offrir des cours par tranche d’âge?. Bref, ne collectez que ce qui est absolument nécessaire. Si votre objectif est de recenser vos membres, collecter des données nécessaires et évitez celles peu nécessaires et plus sensibles telles que données de santé, données relatives aux origines raciales ou éthniques.
3- Avez vous les bons systèmes? Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise RGPD et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? etc…Chez VerticalSoft, nous pouvons vous accompagner dans la mise en place d’un système conforme.
Quelles actions votre association doit-elle mener pour être en conformité avec le règlement ?
Voici quelques étapes nécessaires a suivre:
1- Changez vos mentions légales pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement.
2- Assurez vous de l’obtention du consentement explicite de vos membres ou adhérents et qu’ils comprennent pourquoi ces données sont collectées. Ici vous devrez vous assurer que tous vos formulaires d’adhésion, de dons ou de communication comportent les mentions de demande du consentement (voir nos autres articles pour rendre vos formulaire conforme).
3- Permettez à vos membres de retirer facilement leur consentement à tout moment dès qu’ils le demande. Donc votre système de gestion devra permettre la modification ou la possibilité d’effacer les données si cela vous est demandé.
4- Pour les grandes associations: réalisez une analyse d’impact sur la protection des données. La CNIL peut vous donner de nombreuses informations sur ces analyses qui est une pratique recommandée pour s’assurer que votre traitement est conforme au RGPD et respectueux de la vie privée. Une analyse d’impact est parfois obligatoire pour les traitements présentant “un risque élevé pour les droits et libertés des personnes physiques” (http://www.privacy-regulation.eu/fr/35.htm). La CNIL met à disposition un logiciel libre PIA pour ceux qui désirent utiliser un outil.
5- Informez vos employés / volontaires: Assurez-vous que tout le monde dans votre association est sensibilisé à cette réglementation. Pour nombre d’associations, la collecte de données se fera via un système informatique. Votre système devra vous permettre de recueillir le consentement et de garder les informations de façon sécurisée. Pour les associations qui utilisent du papier, les devoirs d’information sont les mêmes et le consentement doit être similairement éclairé et recueilli par votre organisme.
Bonne chance pour votre rentrée. En cas de question sur le RGPD, n’hésitez pas à contacter l’équipe de VerticalSoft.
VerticalSoft 