Le RGPD concerne toute organisme qui collecte et traite des données personnelles : “information se rapportant à une personne physique identifiée ou identifiable”.
Autrement dit, toutes structures, entreprise, artisans, associations, administrations collectant des noms, prénoms, adresses, emails… , est d’office soumise au RGPD, et ce quelque soit le support sur lequel ces informations sont stockées, physique comme numérique.
D'autant plus si les données sont nombreuses ou sensibles, c'est à dire si une violation pourrait entrainer un impact sur la vie privée des personnes concernées.
Les principales avancées du RGPD concernent :
L’information des personnes dont les données sont collectées
Il est aujourd’hui obligatoire de justifier la collecte et l’utilisation d’information et de fournir l’identité de la personne responsable de cette collecte.
La demande d’effacement et le droit à l’oubli
L’article 17 du RGPD prévoit que tout personne concernée peut demander l’effacement de ses données.
Le droit à la portabilité
Il permet à une personne de récupérer l’intégralité de ses données collectées pour les conserver à titre personnel ou les transférer à une autre structure.
L’action collective
Des associations ou des collectifs pourront agir en justice pour faire valoir les droits des personnes en matière de protections des données personnelles
L’opposition
Toute personne peut s’opposer à l’utilisation de ses données, c’est notamment le cas et très utile dans le cas de prospections commerciales.
Les sanctions
Le RGPD met en place des sanctions plus fortes, pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros.
Qu'est ce qu'une donnée sensible ?
Ce sont des informations qui donne des indications sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Cela concerne aussi le traitement des données génétiques, des données biométriques qui permettraient d’identifier une personne physique de manière unique, ou des données relatives à la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le RGPD interdit de recueillir ou d’utiliser ces données, sauf dans certains cas selon la CNIL (Commission nationale de l’informatique et des libertés) :
Si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée)
Si les informations sont rendues publiques par la personne concernée
Si elles sont nécessaires à la sauvegarde de la vie humaine
Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL
Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Concrétement, que devez vous faire ?
Cartographiez l’ensemble des sources et services par lesquels vous traitez ces données personnelles.
Elaborez et tenez à jour votre “registre des traitement” pour recenser d’où proviennent les données dont vous disposez et comment elles sont utilisées. Il s’agit par exemple des inscrits à votre newsletter sur votre outil de mailing, ou encore des participants à vos événements.
Les questions à se poser :
1) Quelles sont les données personnelles détenues
- nom, prénom
- adresse mail, postale
- diverses informations personnelles
2) Quels en sont les modes d'acquisition ?
- inscription en ligne
- carte de visite
- par téléphone
3) Où sont-elles hébergées, conservées, archivées ?
- sur un ordinateur
- sur un logiciel
- sur un téléphone
4) Quelle utilisation avez-vous de ces données ?
- appels aux dons
- invitation à des évènements
- aides bénévoles
5) Qui a accès à ces données et comment ?
- tout le monde, il n'y a pas de protection
- le département de l'administration à l'aide d'un code d'accès..
6) Quelle est la durée de conservation de ces données ?
- depuis l'enregistrement de la donnée
- depuis 3 ans,...
Obtenez de chacun de vos contacts un consentement qui indique qu’il accepte de partager avec vous ses données personnelles. Il est aussi obligatoire de les informer sur les raisons qui vous amènent à conserver leurs données, ainsi que sur la manière dont vous allez les utiliser (envoi de mails, newsletter, etc.).
SOYEZ TRANSPARENT !
Désignez un DPO
Désignez un responsable des données personnelles dans votre organisme. Il s’agit d’une personne identifiée et identifiable qui mènera les actions pour poursuivre la conformité de votre association au RGPD. Cette fonction n’est pas obligatoire dans votre association mais fortement recommandée si vous traitez un très gros volume de données ou si ces données ont un caractère sensible.
Bon à savoir : Si vous avez un site internet, d’autres obligations vous incombent
Choisir une personne qui :
- Sera le “chef d’orchestre” de la mise en place de la RGPD au sein de l’association
- est volontaire
- a des connaissances en informatique, en sécurité en ligne, juridique, nouvelles technologies de l’information et de la communication (NTIC)
Quelles sont les missions du DPO ?
S’assurer que son organisation respecte la législation lorsqu’elle utilise les données à des fins externes et internes :
- informer et conseiller les membres de l’association
- contrôler le respect du règlement en matière de protection des données
- coopérer avec l’autorité de contrôle et être le point de contact de celle-ci
- s’informer sur le contenu des nouvelles obligations
- réaliser l’inventaire des traitements de données de l’association
- concevoir des actions de sensibilisation
- piloter la conformité en continu.
L’essentiel consistera à bien définir les rôles avant de se lancer.
En prenant le temps de désigner le Délégué à la protection des données, faire un état des lieux clair sur les données personnelles détenues par l’association à l’aide d’un registre, vous serez ensuite davantage en mesure de mettre en place les actions.
La règle d’or est d’être le plus transparent possible avec les personnes dont l’association détient des données personnelles : les écouter, répondre à leurs demandes, leur montrer sa bonne intention.