RGPD, les associations, toutes concernées ?

, par  Julie GOMMES

À partir de l’atelier découverte du 22 février, nous nous demandons comment appréhender la RGPD en tant qu’association.

La RGPD, c’est quoi ?

C’est la Réglementation Générale sur la Protection des Données qui sera applicable à compter du 25 mai 2018. Elle vise à améliorer la protection des données personnelles recueillies par les entreprises, les administrations mais aussi les associations.

Elle oblige les détenteurs de données personnelles à justifier et à minimiser leurs pratiques de rétention de telles données.
Elle oblige à rechercher le consentement des personnes concernées en
amont de la collecte et de l’utilisation des données et à être transparent vis-à-vis d’elles quant aux traitements de données les concernant.
Elle oblige à renforcer la vigilance quant à nos récoltes de données personnelles et à améliorer la garantie concernant leurs conservations.

Mais ma structure elle est toute petite...

Et je ne fais que ramasser des adresses mails, ou demander leur âge à mes adhérent-es pour faire des statistiques.. Je ne stocke rien, d’ailleurs, tout est dans le cloud.

La réglementation s’applique tout de même. Et oui, les contrôles et les sanctions prévus ne vous atteindront pas nécessairement, mais la conformité avec la loi est obligatoire et travailler sur ces données sur un ordinateur de bureau représente déjà un traitement. Ce traitement doit donc être justifié par un besoin et communiqué au fournisseur de la donnée.

C’est aussi une occasion à saisir pour réfléchir à nos captations de données personnelles pas nécessairement fondées et à nos pratiques parfois légères sur le consentement ou la confidentialité des données à caractère personnel.

C’est quoi une donnée personnelle ?

Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Exemples : date de naissance, filiation, adresse, n° de téléphone, adresse mail, n° de sécurité sociale, religion, appartenance à un syndicat...

Un traitement sur ces données, c’est l’ensemble des opérations sur ces données, donc c’est très large, et notamment la conservation dans des bases de données (fichier tableur, liste mail, etc.).

Comment faire pour aller vers la conformité ?

Il y a deux étapes :
- le registre : l’outil pour faire l’état des lieux, dont vous trouverez ci-dessous un exemple de tableau ;

Registre des traitements
Un exemple de registre

- le PIA : l’outil pour réfléchir aux risques face à l’actuel état des lieux pour proposer des améliorations. Cette étape s’impose dans un certain nombre de cas de traitements présentant des risques pour les droits et libertés mais n’est pas obligatoire pour des situations assez courantes pour les associations (mailing list notamment).

L’idée générale est la suivante : vous déterminez les finalités du recueil de données personnelles, vous délimitez les durées de rétention, en minimisant la conservation et l’étendue des données conservées aux seules fins considérées et vous mettez ensuite en place un traitement dont les risques peuvent être analysés. Ces risques peuvent être d’ordre physique, technique mais aussi humain (vol de données, fuite suite au mauvais usage d’un logiciel, même sans le faire exprès).

Le but est de parvenir à avoir une bonne visibilité des données personnelles que vous recueillez et de réfléchir aux risques éventuels et aux pistes d’améliorations dans la collecte, afin de pouvoir présenter l’ensemble en cas de contrôle.

Il s’agit bien d’un fichier vivant, à entretenir au même titre que d’autres documents de votre association.

Si vous souhaitez en savoir plus, outre la présentation faite par Julie Gommes lors de l’atelier ci-dessous, vous pouvez consulter le site de la CNIL, qui peut être un peu touffu mais qui constitue la référence juridique en France sur ce sujet :
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Et Facebook alors ?

Oui, Facebook et les GAFAM aussi doivent se conformer à la loi : ils y travaillent.

Certaines associations, comme La Quadrature du Net, souhaitent profiter de l’occasion pour contester aussi le modèle économique basé sur le commerce des données personnelles. Vous trouverez plus d’infos ici :
https://www.laquadrature.net/fr/campagne_gafam

Voir en ligne : La CNIL vous accompagne vers la RGPD

Annonces