RGPD et associations : comment éviter les sanctions ?

Entré en vigueur depuis maintenant près de neuf mois, le Règlement Général pour la Protection des Données (RGPD), qui s’applique à toutes les structures européennes ou bien traitant les données de citoyens européens, implique de répondre à certaines exigences concernant le traitement de données de ces derniers. Les associations n’y échappent pas et doivent également se mettre en conformité, si ce n’est pas déjà fait, avec ce cadre législatif européen. Les enjeux sont de taille, outre la perte de confiance de leurs adhérents et utilisateurs, les associations risquent de lourdes amendes en cas de non-respect des articles du RGPD. Comme n’importe quelle institution, ces dernières sont amenées à collecter des informations personnelles sur leurs membres, adhérents, donateurs, bénévoles, etc. Elles doivent désormais respecter les exigences du Règlement Général sur la Protection des Données, sous peine de s’exposer à d’importantes sanctions financières. Voici un tour d’horizon des bonnes pratiques à respecter pour une association, afin d’éviter les sanctions RGPD infligées par la CNIL.

Quelles structures sont concernées par le RGPD ?

Rappelons en premier lieu quels sont les organismes qui depuis l’entrée en vigueur du RGPD doivent s’y conformer. Le Règlement Général sur la Protection des Données concerne sans exception toutes les structures amenées à rassembler et traiter des données personnelles. Une donnée personnelle correspond, selon la définition du RGPD, à “toute information se rapportant à une personne physique identifiée ou identifiable (…) directement ou indirectement”. De ce fait, le simple nom d’un adhérent à une association rentre donc dans le cadre de cette définition de données personnelles. De même, une liste de personnes bénévoles au sein d’une association, contenant leurs noms, prénoms, emails, téléphones, adresses, etc, constitue des données personnelles qui doivent être encadrées par la législation du RGPD.

Etant amenées, par leurs fonctions, à traiter des données personnelles d’utilisateurs, les associations doivent avoir entrepris les actions nécessaires à la mise en conformité de leur base de données avec le Règlement Général pour la Protection des Données. En cas de contrôle de la CNIL, les structures associatives sont également tenues de présenter leur plan d’action pour cette mise en conformité. À noter que le RGPD s’applique aussi bien aux données numériques qu’à celles conservées sur papier.

Rappel des grands principes du RGPD

Pour éviter les sanctions RGPD, les associations doivent donc agir de manière à être en conformité avec ce cadre législatif européen. Pour ce faire, elles doivent respecter un certain nombre de critères :

• Obtenir le consentement clair des personnes concernées par le traitement de leurs données personnelles et conserver cet accord.
• Informer dans les 72 heures les utilisateurs concernés en cas de fuite (piratage) de leurs informations personnelles dans la base de données et en informer également la CNIL.
• Collecter uniquement les données personnelles dont la structure a besoin dans le cadre de ses missions.
• Laisser la possibilité aux utilisateurs dont les données ont été collectées de pouvoir accéder à ces dernières, de pouvoir en demander la modification, le transfert ou bien la suppression définitive.
• Recenser de manière précise l’ensemble des documents mis en place et servant au traitement des données personnelles.

Les bonnes pratiques RGPD pour éviter les sanctions

Nommer un DPO

Afin d’être en accord avec les exigences du RGPD, les associations tout comme les autres structures concernées par ce règlement sont dans l’obligation de procéder à la nomination d’un DPO (Data Protection Officer), en français Délégué à la protection des données. Cette personne, qui peut être interne comme externe à la structure associative, fera office de garant de la bonne application du RGPD au sein de l’association. Les qualités du DPO ne sont pas à négliger, puisque le Délégué à la protection des données doit être doté de rigueur, du sens de l’organisation ainsi que de connaissances poussées sur le RGPD et ses exigences.

Faire le bilan en répertoriant et analysant les données personnelles

L’une des premières missions du DPO consiste à répertorier et analyser les données personnelles récoltées et traitées par l’association au sein de laquelle il officie. Le Data Protection Officer doit ainsi être en mesure d’établir une cartographie précise de ces données personnelles ainsi qu’une liste des personnes amenées à les traiter. Ces dernières ont-elles le droit d’y accéder et sont-elles sensibilisées aux bonnes pratiques du RGPD ?

En fonction de ce recensement des données personnelles et des personnes qui y ont accès, le DPO met en place une série de mesures destinées à s’assurer de la protection absolue de ces données et de leur traitement en conformité avec les exigences du RGPD.

Réaliser un registre de traitement est une bonne pratique. Ce registre d’activités permet aux associations et autres structures traitant de données personnelles de disposer d’une vue d’ensemble de leurs activités en recensant l’ensemble des données personnelles transitant par leur organisme. Il faudra par la suite que le DPO s’assure de la sécurité de ces données et que l’ensemble des contrats de l’organisme, ceux de l’association, mais également ceux de ses partenaires, intègrent les bonnes pratiques du RGPD.

Informer les membres de l’association

Les associations ont le devoir d’informer leurs adhérents, donateurs, bénévoles, bénéficiaires, etc, de leurs actions. Il en va de même pour la collecte et le traitement de leurs données personnelles.

Si la structure associative est amenée à collecter et traiter les données de ces derniers, elle doit alors obtenir au préalable leur consentement et les avertir de l’utilisation qui en sera faite.

RGPD : quelles sanctions pour les associations en cas de non-conformité ?

Bien qu’elles ne soient pas la cible principale du Règlement Général pour la Protection des Données – les entreprises et la collecte de données à des fins publicitaires étant principalement visées -, les associations sont tout de même tenues de respecter les principes du RGPD. Ces dernières sont donc susceptibles d’être contrôlées par la CNIL.

En cas d’infraction au RGPD, les sanctions encourues sont particulièrement sévères, puisque la CNIL peut infliger une amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une organisation. La Commission Nationale de L’informatique et des Libertés ne se montre pas plus clémente avec les associations, puisqu’un mois après son entrée en vigueur, l’ADEF (Association pour le Développement des Foyers) a fait l’objet d’une sanction pour une faille de sécurité concernant son site web. Elle a été contrainte de s’acquitter d’une amende de 75 000 euros.