
Le fichier des adhérents

Le fichier des adhérents c’est quoi exactement ? Comment bien le gérer ? Quelles sont les obligations à respecter ? On fait le tour.
Le fichier des adhérents est un document papier ou informatique comprenant les informations personnelles des membres de l’association (nom et prénom, adresse, rôle dans l’association, compétences particulières, etc).
Dès qu’un nouvel adhérent intègre l’association, son nom doit y être ajouté et, lorsqu’il la quitte ou est radié pour telle ou telle raison, son nom doit en être retiré. L’association est notamment tenue d’informer les adhérents de l’existence de ce fichier, de leurs droits d’opposition, d’accès et de rectification.
Aujourd’hui, avec la digitalisation du fichier des adhérents et des logiciels spécialisés, la gestion est encore plus simple. Cependant, il est important de soulever que le fichier des adhérents est soumis à une réglementation particulière, renforcée par le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018, de même que les adhérents conservent des droits sur les informations renseignées.
Fichier des adhérents : Est-il concerné par le RGPD ?
Aux yeux du RGPD une donnée personnelle est toute information permettant d’identifier une personne directement (nom, prénom, etc.) ou indirectement (numéro de sécurité sociale, numéro de téléphone, etc.).
Si le fichier des adhérents faisait déjà l’objet de mesures protectrices avant l’entrée en vigueur du RGPD, ce dernier va plus loin. Par exemple le RGPD supprime la déclaration du fichier des adhérents à la CNIL, mais en contrepartie les associations sont désormais pleinement responsables des données qu’elles traitent.
Les principales modifications concernent :
- l’information des adhérents dont les données sont collectées : il est obligatoire de justifier la collecte, l’utilisation d’informations et de fournir l’identité de la personne responsable de cette collecte ;
- le droit à la portabilité : un adhérent a la possibilité de récupérer l’intégralité des données collectées à son sujet pour les conserver à titre personnel ou les transférer à une autre structure ;
- l’opposition : tout adhérent peut s’opposer à l’utilisation des données qui le concernent ;
- la demande d’effacement et le droit à l’oubli : tout adhérent peut demander l’effacement de ses données ;
- l’action de groupe : des associations ou des collectifs peuvent agir en justice pour faire valoir les droits des adhérents en matière de protection des données personnelles ;
Bon à savoir : Le RGPD concerne toutes les structures, entreprises et associations, qui collectent les données personnelles d’une personne physique, peu importe l’endroit où elles sont stockées (papier, ordinateurs, serveurs, mobiles, emails, traçage – même non identifié – des visiteurs du site internet de l’association, etc.)
Méthodologie en 6 étapes pour se mettre en conformité.
Désignation d’un référent au sein de l’association – L’association doit commencer par désigner la personne responsable du traitement de ces données et la mise en conformité de l’organisation.
Répertorier et analyser les données auxquelles l’association a accès – L’association doit identifier parmi ses activités celles qui nécessitent la collecte et le traitement de données personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des donateurs, des adhérents ou des usagers ou encore les enquêtes statistiques.
Faire le tri dans les données – Pour chaque fiche de registre, l’association doit vérifier :
- que seules les données strictement nécessaires à la poursuite de ses objectifs sont collectées et traitées ;
- que l’association ne traite aucune donnée dite « sensible » ou, si c’est le cas, qu’elle a bien le droit de les traiter ;
- que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
- que l’association ne conserve pas les données au-delà de la durée nécessaire.
Gérer les risques – Une analyse d’impact doit obligatoirement être menée quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées
Organiser les processus internes :
- minimiser les données qui doivent être collectées,
- sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des personnes amenées à collecter des données personnelles,
- définir les modalités d’exercice des droits d’accès, de rectification, d’opposition, de droit à la portabilité et de retrait du consentement,
- anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
Documenter la mise en conformité – L’association doit regrouper tous les documents lui permettant de prouver sa mise conformité avec le RGPD en cas de contrôle.
Sources Helloasso et Assistant Juridique.