LES
ASSOCIATIONS ET LEURS OBLIGATIONS ENVERS LA CNIL
En France, la loi informatique et libertés de 1978 réformée en 2004
impose des obligations aux collecteurs de données personnelles. Elle prévoit
notamment une obligation de déclaration de fichier auprès de la Commission
Nationale Informatique et Libertés (la “CNIL”) et des conditions de recueil et
d’utilisation devant être conformes à la loi. Or en tant qu’association, il est
tout naturel que vous collectiez ou traitiez des données personnelles de vos
membres ou donateurs. Dès lors quelles sont vos obligations en la matière ?
Pour plus d’informations sur
le nouveau règlement sur la protection des données, RGPD ou GDPR, qui
entrera en vigueur en Mai 2018, cliquez ici.
Que sont les données personnelles ?
La première question à se demander est si votre organisation collecte
des données personnelles telles que définies par la loi. Les données
personnelles sont, selon la CNIL, des données qui permettent d’identifier
directement ou indirectement une personne physique, par référence à un numéro d’identification
ou à un ou plusieurs éléments qui lui sont propres. Ainsi, les données
généralement considérées comme personnelles sont :
· le nom
· les numéros de téléphone
· l’adresse
· les différents numéros d’immatriculation (Sécurité sociale,
automobile,..)
· l’adresse e-mail
· les coordonnées bancaires
· l’adresse IP (son caractère personnel est encore sujet à débat
juridique)
· ou même un recoupement d’informations ( ex: le fils du médecin habitant
au XX rue XX à Paris)
Dès lors qu’un traitement de ces données personnelles est mis en œuvre
par un organisme (ces données sont simplement stockées par exemple), la loi
informatique et libertés s’applique potentiellement et une déclaration à la
CNIL est de rigueur.
Dispense des organismes à but non lucratif
Par exception à cette règle,
les traitements de données personnelles mis en oeuvre par tout organisme à but
non lucratif (association loi 1901, fondations, fonds de dotation) pour la
gestion administrative de leurs membres, bénévoles et donateurs peut être
dispensés de déclaration (les fichiers relatifs aux membres ou aux donateurs
créés à partir de votre site web n’ont pas à être déclarés à la CNIL).
Cette dispense concerne également les annuaires des membres y compris ceux diffusés sur internet ainsi que toute action de prospection
réalisée auprès membres, donateurs.
Attention, cette dispense
concerne uniquement les données relatives à l’identité, l’identité bancaire,
vie associative, et à des fins statistiques les données de connexion. Ainsi, si
votre association collecte des “données sensibles” telles que les
origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, etc…, cette
dispense ne s’applique plus et vous devrez faire une demande d’autorisation à
la CNIL.
Durée de conservation des données
Selon la loi, les données collectées ne peuvent être indéfiniment
conservées. Votre association ne pourra ainsi pas conserver celles-ci au delà
de la démission ou de la radiation du membre (sauf s’il l’accepte de façon
claire par une case a cocher par exemple) et pour les donateurs au delà de deux
sollicitations restées infructueuses. Les informations sur les prospects ne
sont pas conservées après la réalisation de la campagne de prospection.
Consentement requis pour la collecte de données
En tout état de cause, soyez
certain que votre système informatique permette d’informer les personnes lors de la collecte des données, de toute opération visant à diffuser leurs données personnelles, ainsi
que sur leur droit d’opposition (email a l’administrateur permettant une
demande d’opposition par exemple), d’accès et de rectification et sur les
modalités d’exercice de ces droits (pop-up sur votre site lors de l’enregistrement des données).
Votre association devra donc ajouter en bas du bulletin d’adhésion en
ligne, une phrase standard: “Les informations recueillies sont nécessaires pour
votre adhésion. Elles font l’objet d’un traitement informatique et sont
destinées au secrétariat de l’association. En application des articles 39 et
suivants de la loi du 6 janvier 1978 modifiée, l’adhérent bénéficie d’un droit
d’accès et de rectification aux informations qui le concerne.”
De même le consentement des personnes doit être obtenu si l’association
envisage de céder ou louer leurs coordonnées à des fins de prospection
commerciale par voie électronique (par exemple une case à cocher lors de la
souscription).
Les informations légales de votre site internet
Une association qui a un site Internet devra obligatoirement afficher
une page d’ “Informations légales”, reprenant les différentes informations à
propos de l’hébergeur de votre site internet et de son éditeur.
Pour en savoir plus:
Les nouvelles obligations du RGPD
Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) »
PARTAGER :
●
SUR LE MÊME THÈME
Association et RGPD: Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application
Dans
"Association et RGPD (ou GDPR)"
Dans
"Association et RGPD (ou GDPR)"
Dans
"Association et RGPD (ou GDPR)"
Navigation de l’article
ARTICLE PRÉCÉDENTPourquoi VerticalSoft a adopté Salesforce pour les associations ?ARTICLE SUIVANT7 conseils pour moderniser votre association
RÉPONDRE
Aucun commentaire:
Enregistrer un commentaire