Depuis le 25 mai 2018, le règlement européen GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est applicable à dans tous les pays de l’Union Européenne et donc en France. Voici un petit rappel des choses à faire pour être en conformité avec le RGPD en 2019.
1- Les étapes préalables essentielles pour votre association
Si vous ne l’avez pas déjà fait en 2018, l’arrivée d’une nouvelle année (et le risque d’amendes! ) devrait vous motiver à prendre le problème du RGPD sérieusement. Vous devriez déjà avoir désigné un responsable de RGPD et avoir effectué un état des lieux des données récoltées par votre association. Si cela n’a pas été fait, il est temps de s’en préoccuper.
Votre responsable peut être n’importe qui dans votre association, employé ou bénévole. Assurez vous que cette personne soit suffisamment expérimentée et soit familière avec le fonctionnement de votre association. Cette personne devra être capable de reconnaître les données personnelles que vous récoltez, de savoir ce que vous en faites et de connaître vos systèmes informatiques. Bref, ne nommez pas le stagiaire qui a commencé il y a un mois !
Faire l’état des données personnelles que vous récoltez peut être complexe selon la complexité et la taille de votre association. Rappelez vous de la définition des données personnelles comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Cela peut être un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Déterminez ce que vous faites de ces données (nous envoyons des appels à dons), déterminez vos objectifs (recevoir plus de dons par exemple), et vérifiez que votre fournisseur actuel de systèmes informatiques maîtrise le RGPD et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? etc…
2- Les étapes essentielles de mise en conformité de votre association au RGPD
Une fois que vous avez déterminé les informations collectées, leurs usages et la qualité de votre système informatique, vous devrez passer à l’action pour être en conformité au RGPD. Chaque association aura des obligations particulières (prenez conseils!), mais au minimum, toutes devront avoir effectué les étapes suivantes:
- Vos mentions légales doivent adhérer à la nouvelle réglementation. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement. Voir Règlement européen sur la protection des données RGPD ou GDPR: Informer les donateurs et membres de votre association, de votre politique de confidentialité
- Vous devez absolument obtenir le consentement explicite de vos membres ou adhérents et qu’ils comprennent pourquoi leurs données sont collectées. Donc pensez à modifier votre site web et votre contrat d’adhésion. Voir Bien gérer le consentement de vos membres et adhérents lors du renouvellement annuel de cotisations
- Permettez à vos membres de retirer leur consentement à tout moment dès qu’ils le demande. Voir Après le RGPD, dois-je demander le consentement des membres de mon association pour collecter leur données personnelles?
- Vérifiez la sécurité des données. Ou sont-elles stockées? par qui? qui y a accès?
- Documentez les règles internes que vous avez mises en place en cas de violation du règlement.
- Utilisez un bon système informatique, un CRM si possible pour la gestion du RGPD. Voir Pourquoi utiliser un CRM ou logiciel de gestion d’association vous aidera à être en conformité avec le RGPD ou GDPR