RGPD et associations

• 29 novembre 2021
• Administrateur
• Adhésions, RessourcesGérer
• No Comments

La France dispose d’un tissu associatif particulièrement riche, recensant plus de 1,3 million d’associations aux profils divers, tant en termes de taille que de secteurs d’activité (caritatif, politique, sportif, social etc.)

Concentrées sur leurs missions, certaines structures n’ont pas toujours de ressources dédiées à la protection des données. Pourtant, la plupart d’entre elles collectent de nombreuses informations, parfois sensibles, qui concernent des publics variés. Il peut s’agir de leurs adhérents, des éventuelles personnes accompagnées, de leurs salariés, de bénévoles ou encore de donateurs.

Si certaines associations se sentent assez éloignées de l’enjeu, il s’avère qu’à priori, elles sont TOUTES concernées. Pour bien comprendre dans quelle mesure, il faut appréhender le RGPD non pas d’un point de vue commercial (vente, utilisations des données dans un objectif marketing), ce qui pourrait limiter l’application aux associations, mais d’un point de vue des données personnelles.

Méthodologie en 6 étapes pour se mettre en conformité.

Etape 1 : Désignation d’un référent au sein de l’association – L’association doit commencer par désigner la personne responsable du traitement de ces données et la mise en conformité de l’organisation.

Etape 2 : Répertorier et analyser les données auxquelles l’association a accès – L’association doit identifier parmi ses activités celles qui nécessitent la collecte et le traitement de données personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des donateurs, des adhérents ou des usagers ou encore les enquêtes statistiques.

Etape 3 : Faire le tri dans les données – Pour chaque fiche de registre, l’association doit vérifier :

• que seules les données strictement nécessaires à la poursuite de ses objectifs sont collectées et traitées ;
• que l’association ne traite aucune donnée dite « sensible » ou, si c’est le cas, qu’elle a bien le droit de les traiter ;
• que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• que l’association ne conserve pas les données au-delà de la durée nécessaire.

Etape 4 : Gérer les risques – Une analyse d’impact doit obligatoirement être menée quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées

 Etape 5 : Organiser les processus internes :

• minimiser les données qui doivent être collectées,
• sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des personnes amenées à collecter des données personnelles,
• définir les modalités d’exercice des droits d’accès, de rectification, d’opposition, de droit à la portabilité et de retrait du consentement,
• anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

 Etape 6 : Documenter la mise en conformité – L’association doit regrouper tous les documents lui permettant de prouver sa mise conformité avec le RGPD en cas de contrôle.

Sources : Helloasso et La CNIL.