RGPD: quelles implications pour votre association?
Le règlement général sur la protection des données (RGPD), entré en vigueur le 24 mai 2016, sera applicable dès le 25 mai 2018. Les associations ayant régulièrement une activité économique et qui collectent, traitent et stockent des données personnelles devront s’y conformer.
Tous les acteurs manipulant des données doivent appliquer cette nouvelle réglementation. Conçue pour renforcer les droits des citoyens en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d’être contrôlées.
Aucune exception
Les associations ayant une activité économique, les fondations, les entreprises, les collectivités, etc. doivent avoir un plan d’actions pour sécuriser leurs données. Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone, etc.), les fichiers de contacts à qui vous envoyez des mails ou des newsletters…
Pour garantir la protection des données
– Faire le tri des données personnelles pour ne garder que celles qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (art.5).
– Obtenir le consentement des personnes (avec possibilité de modification ou d’effacement).
– Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles : identité et coordonnées de la structure, mention des droits des personnes au regard de leurs données (droit d’accès, de rectification ou de retrait), usage et délai de conservation de ces données.
– Si votre base a été piratée, vous devrez informer la CNIL et les personnes concernées dans les 72 heures.
Document à téléchargerRGPD: quelles conséquences pour les PME?
Mieux encadrer la collecte et l’utilisation des données personnelles : tel est l’objectif du Règlement général sur la protection des données personnelles (RGPD) entrant en vigueur le 25 mai. Un texte qui s’impose à toutes les entreprises, PME et TPE comprises.
Un prénom et un nom, une adresse postale, un identifiant de connexion à un site internet, un numéro de sécurité sociale, des éléments concernant les habitudes d’achats, des données de santé… Autant d’éléments qui constituent des données personnelles, permettant d’identifier des individus, dont la collecte et le traitement sont désormais encadrés par le Règlement général sur la protection des données personnelles (RGPD). Un cadre juridique commun à l’ensemble de l’Union européenne qui s’impose à toutes les structures, y compris les entreprises étrangères dès lors qu’elles traitent des données de ressortissants du Vieux Continent.
RGPD – Réglement général sur la protection des données: tous concernés!
Alors que les données à caractère personnel sont aujourd’hui qualifiées de « nouvel or noir » ou encore de « trésor caché des entreprises », le 25 mai 2018, entrera en vigueur le Règlement européen 2016/619 relatif à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données dit « RGPD ».
Les administrations, les associations, les grands groupes, les PME et les startups, quel que soit leur niveau de développement, sont contraints de s’intéresser aux apports du RGPD mais surtout, elles doivent prendre les mesures nécessaires pour se mettre en conformité.
Les obligations mises à la charge des organismes par le RGPD sont nombreuses et ambitieuses et visent à améliorer la protection et la confidentialité des informations que votre organisme est susceptible de détenir sur des personnes physiques notamment les clients, prospects ou encore les salariés.
Le RGPD a également pour objectif :
D’uniformiser la règlementation au niveau européen,
De renforcer le droit des personnes dont les données sont collectées avec notamment la consécration
de nouveaux droits comme le droit à l’effacement ou à la portabilité des données,
De responsabiliser davantage les entreprises en développant l’auto-contrôle.
Protection des données personnelles: moins d’un an pour se mettre en conformité
Le traitement informatisé de données personnelles (fichiers comportant des noms, prénoms, photos ou vidéos de personnes, données biométriques, etc.) fait l’objet d’une protection qui impose actuellement aux entreprises procédant à ce type de traitement de les déclarer au préalable à la Commission nationale informatique et libertés (CNIL). Un règlement européen du 27 avril 2016 réforme cette protection notamment en supprimant la plupart des déclarations, mais il n’en découle pas pour autant un allègement des obligations pour les entreprises.
Qui est concerné par la protection des données personnelles ?
Cette réforme concerne les employeurs qui peuvent pour de multiples raisons traiter des données personnelles par informatique : gestion administrative des ressources humaines (gestion des dossiers du personnel, tenue d’un annuaire interne, d’un organigramme), contrôle et surveillance (écoute et enregistrement des appels téléphoniques, système de vidéosurveillance, utilisation de données biométriques, de la géolocalisation, contrôle de l’accès aux locaux), etc.
Héberger ses données en externe: comment choisir son prestataire?
Confier à un prestataire le soin de conserver ses données en externe, voire de gérer à distance l’ensemble de son système d’information, est une décision stratégique. Voici quatre points à vérifier avant de signer un contrat.
Des hébergeurs excellents, il y en a partout dans le monde. Pourtant, mieux vaut privilégier un prestataire européen. La raison ? « Lorsque les données sont hébergées hors de l’Union européenne, les entreprises ont obligation d’en informer leurs clients », explique Michel Guillout, responsable informatique et qualité du cabinet d’expertise comptable Cigeco, membre du groupement France Défi.
Une préférence dictée également par le fait que la réglementation appliquée aux données est celle du pays où elles sont stockées. Aux États-Unis, par exemple, le Patriot Act autorise l’administration américaine à accéder, sous conditions, aux données informatiques des entreprises et des particuliers. Cela dit, les grands acteurs américains de l’hébergement ne conservent pas forcément les données outre-Atlantique car elles disposent de data center en Europe.
A vérifier avant de signer un contrat, en n’oubliant pas les lieux de conservation lorsque, par sécurité, le stockage est répliqué sur plusieurs serveurs … Michel Guillout suggère de privilégier des sites français. « En raison d’une législation particulièrement stricte en matière de protection des données et d’un contrôle strict des prestataires », précise-t-il.