Comme nous l’avons écrit plusieures fois, depuis le 25 mai 2018, le règlement européen GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est applicable dans tous les pays de l’Union Européenne et donc en France. En gros le RGPD réglemente la collecte et l’usage des données personnelles, sensibles ou non. Le RGPD touche également à la sécurité des données. En tant que “responsable d’un fichier” (on entend par là votre association qui est responsable de son fichier de membres ou de donateurs ou de bénévoles, etc…), votre association est astreinte à une obligation de sécurité : elle doit notamment prendre les mesures nécessaires pour garantir la sécurité des données qu’elle a collectées et éviter leur divulgation à des tiers non autorisés. Respecter le RGPD est essentiel. La CNIL a déjà imposé de nombreuses sanctions y compris à des associations. Alors comment garantir la sécurité des données personnelles de mes membres ?
Peut-on réellement garantir la sécurité des données personnelles de mes membres ?
Malheureusement non. Rien ne peut être garanti à 100%. C’est la seule réponse honnête que nous pouvons vous donner, et ce, quelque soit le système que vous utilisez. Par contre votre association devra, et tant que responsable d’un fichier, 1) identifier les risques sur la vie privée des personnes concernées engendrés par son traitement, puis 2) déterminer les moyens adéquats pour les réduire. En pratique que recommandons nous aux associations avec qui nous travaillons?
1- Désignez un responsable de RGPD et effectuez un état des lieux des données récoltées par votre association
La première chose à faire est bien entendu de s’informer sur le RGPD, de désigner un responsable et de faire une analyse de ce que votre association collecte comme donnée personnelle. Désigner un responsable est fortement recommandé car c’est une tâche relativement compliquée qui nécessite la coordination entre toutes les personnes de votre association. Désignez une personne suffisamment expérimentée et familière avec le fonctionnement de votre association car elle sera responsable de reconnaître ce qu’est une donnée personnelle et de comprendre comment cette données est utilisée au sein de votre organisation. Cette personne devra estimer et répertorier les risques que vous pouvez encourir.
Pour faire l’état des lieux, assurez vous de bien comprendre ce que sont des données personnelles. Cela peut être un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Puis, déterminez ce que vous faites de ces données (nous envoyons des appels à dons, nous envoyons une newsletter etc…). Finalement, déterminez vos objectifs (recevoir plus de dons par exemple).
2- Comment passer à l’action pour être en conformité avec le RGPD
Chaque association aura des obligations particulières (prenez conseils!), mais au minimum, toutes devront avoir effectué les étapes suivantes:
a- Vos mentions légales doivent adhérer au RGPD. Celles-ci devront comporter un certain nombre d’information que vous pouvez retrouver dans les articles 12, 13 et 14 du règlement. N’hésitez pas a regarder sur le site de la CNIL ou dans nos archives ou nous avons expliqué en détails les étapes à suivre.
b- Vous devez absolument obtenir le consentement explicite de vos membres ou adhérents et qu’ils comprennent pourquoi leurs données sont collectées. Donc pensez à modifier votre site web et votre contrat d’adhésion.
c- Permettez à vos membres de retirer leur consentement à tout moment dès qu’ils le demande.
d- Vérifiez la sécurité des données. Ou sont-elles stockées? par qui? qui y a accès?
e- Documentez les règles internes que vous avez mises en place en cas de violation du règlement.
f- Utilisez un bon système informatique, un CRM si possible pour la gestion du RGPD.
Quel système informatique ou non dois je utiliser pour respecter le RGPD?
Cette question nous est souvent posée et la réponse est difficile car cela dépend de votre association et de ses moyens. Nous recommandons toujours aux associations de se moderniser et d’utiliser un système informatique solide, mais cela n’est pas toujours possible. Si votre association en a les moyens, choisissez fournisseur de systèmes informatiques qui maîtrise le RGPD et ses implications. Où les données sont elles stockées? qui y a accès? quelle est la sécurité? etc… Votre système devra vous permettre de collecter le consentement des personnes, de le dater et éventuellement de le révoquer.
Voir notre guide:
VerticalSoft 