Le Règlement sur la protection des données personnelles (RGPD) est entré en vigueur en 2016 et mis en application depuis le 25 mai 2018. Tous les acteurs qui récoltent et stockent des informations personnelles doivent s’y conformer. Ce règlement ne s’applique donc pas seulement aux entreprises : les associations sont elles aussi directement concernées.
Dans quelle mesure ? Quels sont les enjeux du RGPD pour une association ? Comment se mettre en conformité avec la Loi ? Explications.
Parcourez les sujets de l'article
Sommaire
Qu’est ce que le RGPD ?
RGPD signifie « Règlement Général sur la Protection des Données ». Il encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Mis en application en France le 25 mai 2018, ce règlement renforce les obligations en matière de transparence des traitements et de respect des droits des personnes sur les données les concernant.
En quoi les associations sont-elles concernées par ce règlement RGPD ?
Le RGPD s’applique à toutes les entités qui rassemblent et traitent des données personnelles. Une donnée personnelle correspond, selon la définition du RGPD, à « toute information se rapportant à une personne physique identifiée ou identifiable. ». Exemple : nom, prénom, adresse mail, numéro de téléphone, adresse postale, pièce d’identité…
Si une association est amenée à collecter des informations personnelles sur ses membres, adhérents, donateurs, bénévoles… elle est alors concernée par le RGPD et doit s’y conformer. Association de loi 1901 ou association reconnue d’utilité publique, toutes les associations sont soumises à ce règlement.
- À noter : le RGPD s’applique à toutes les données personnelles, qu’elles soient enregistrées sur un document numérique ou conservées sur format papier.
Conformité RGPD : pourquoi est-ce important pour les associations ?
Le RGPD apporte un cadre juridique relatif à la protection des données, et permet de lutter contre les dangers de la cybercriminalité et de l’exploitation frauduleuse de données personnelles.
La protection des informations à caractère personnel est d’autant plus importante pour les associations qui œuvrent dans le secteur social (protection de l’enfance, protection des femmes battues, dépendance de drogue, réinsertion après une sortie de prison, santé, orientation sexuelle…). Il ne s’agit alors plus seulement d’informations personnelles, mais de données dites « sensibles ». Des informations qui, si elles étaient révélées, pourraient entraîner des conséquences particulièrement graves sur la vie privée des personnes concernées.
Pour conserver la confiance de ses membres, une association se doit de garantir une bonne utilisation et une protection optimale de leurs données personnelles.
Non-conformité RGPD : quels sont les risques ?
En cas de méconnaissance ou de non-application du RGPD, la CNIL peut appliquer des sanctions. En effet, si aucune mesure n’a été prise pour assurer la protection des données personnelles récoltées et stockées par l’association, celle-ci risque une forte amende et/ou des sanctions administratives dissuasives, qui peuvent aller d’un simple rappel à la loi à la limitation définitive ou temporaire du traitement des données.
Bien que les risques légaux et financiers soient réels, c’est aussi l’image de l’association qui se trouve impactée par le non-respect du RGPD, tout comme la confiance accordée par les bénéficiaires à l’association. Il est donc crucial pour toute structure associative de prendre les mesures adéquates pour sécuriser les données personnelles récoltées.
te pour les associations qui œuvrent dans le secteur social (protection de l’enfance, protection des femmes battues, dépendance de drogue, réinsertion après une sortie de prison, santé, orientation sexuelle…). Il ne s’agit alors plus seulement d’informations personnelles, mais de données dites « sensibles ». Des informations qui, si elles étaient révélées, pourraient entraîner des conséquences particulièrement graves sur la vie privée des personnes concernées.
Pour conserver la confiance de ses membres, une association se doit de garantir une bonne utilisation et une protection optimale de leurs données personnelles.
Mise en conformité des associations au RGPD : comment procéder ?
Les associations doivent adopter des mesures techniques et organisationnelles pour garantir une protection des données tout au long de leur cycle de vie. Elles doivent aussi être en mesure de démontrer à tout instant qu’elles offrent un niveau optimal de sécurité aux données traitées.
Le processus de mise en conformité nécessite de passer par plusieurs étapes importantes :
# Étape 1 : sensibiliser les collaborateurs de l’association aux bonnes pratiques du RGPD et au respect de ces obligations. Des formations sont nécessaires pour responsabiliser les salariés et/ou bénévoles de l’association afin qu’ils puissent découvrir et mieux appréhender le RGPD.
# Étape 2 : réaliser un état des lieux des données collectées. Avant d’entamer le processus de mise en conformité, il est essentiel de prendre conscience de la quantité de données qui sont collectées. Analysées, exploitées ou tout simplement stockées, ces données personnelles doivent être réunies dans un ou plusieurs documents, et sécurisées.
# Étape 3 : analyser les risques et gérer un plan d’actions. Il s’agit de mettre en place le registre des traitements.
# Étape 4 : assurer la communication auprès des collaborateurs, membres, adhérents, bénévoles… via une transparence des traitements des données et l’information des personnes concernées sur leurs droits. Les actions menées en matière de collecte et de traitement des données personnelles doivent être portées à la connaissance des adhérents, donateurs, bénévoles et bénéficiaires de l’association. Si elle est amenée à collecter et traiter ces informations, l’association doit alors obtenir au préalable leur consentement, les avertir de l’utilisation qui en sera faite et leur accorder un droit d’accès, de rectification et de suppression sur ces données.
- L’objectif final de ces quatre étapes est de réaliser la mise en conformité RGPD des données et donc de leur sécurisation.
Faire accompagner son association par un prestataire externe
Respecter les dispositions du RGPD constitue un véritable challenge pour les associations. Le RGPD est pleinement applicable depuis plus de trois ans : la mise en conformité devient urgente à la fois pour limiter les risques de sanctions, mais surtout pour limiter les risques de fuite de données sensibles.
Se conformer au RGPD nécessite un examen complet afin de savoir qui a accès à quoi et où se trouvent les données. Les mesures à prendre, informatiques ou physiques, dépendront ensuite de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes concernées en cas d’incident.
Le service informatique d’Altonéo vous propose des solutions pour aider votre association à répondre à ses obligations en matière de protection des données personnelles. Nos experts dédiés aux structures associatives vous accompagnent dans toutes vos démarches de mise en conformité.
Faire appel à un prestataire tel qu’Altonéo vous offre plusieurs garanties :
- La certitude de répondre à vos obligations.
- Le bénéfice d’un accompagnement permanent : votre interlocuteur dédié répond à toutes vos questions, vous informe sur les évolutions du règlement en temps réel et vous aide à réaliser la mise en conformité RGPD de votre association.
- La réalisation des démarches, telles qu’elles doivent être effectuées : dans le strict respect de la Loi.
Les solutions d’accompagnement RGPD du groupe Altonéo
Quels que soient vos besoins et votre degré de maturité sur le sujet du RGPD, notre service informatique vous apporte une solution adaptée et 100 % personnalisée. Notre accompagnement auprès des associations s’articule autour de 3 offres :
- Une sensibilisation des collaborateurs au RGPD.
- Une aide au démarrage de la mise en conformité RGPD.
- L’apport d’un regard extérieur sur vos pratiques en termes de RGPD.
Vous avez des questions sur l’application du RGPD pour votre association ?
Référent : Service informatique Altonéo