RGPD: quelles implications pour votre association?
Le règlement général sur la protection des données (RGPD), entré en vigueur le 24 mai 2016, sera applicable dès le 25 mai 2018. Les associations ayant régulièrement une activité économique et qui collectent, traitent et stockent des données personnelles devront s’y conformer.
Tous les acteurs manipulant des données doivent appliquer cette nouvelle réglementation. Conçue pour renforcer les droits des citoyens en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d’être contrôlées.
Aucune exception
Les associations ayant une activité économique, les fondations, les entreprises, les collectivités, etc. doivent avoir un plan d’actions pour sécuriser leurs données. Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone, etc.), les fichiers de contacts à qui vous envoyez des mails ou des newsletters…
Pour garantir la protection des données
– Faire le tri des données personnelles pour ne garder que celles qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (art.5).
– Obtenir le consentement des personnes (avec possibilité de modification ou d’effacement).
– Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles : identité et coordonnées de la structure, mention des droits des personnes au regard de leurs données (droit d’accès, de rectification ou de retrait), usage et délai de conservation de ces données.
– Si votre base a été piratée, vous devrez informer la CNIL et les personnes concernées dans les 72 heures.