Les associations sont soumises à l’application du Règlement Général sur la Protection des Données (RGPD) quelle que soit leur taille.
Le Règlement Général sur la Protection des Données (RGPD), ou Règlement (UE) 2016/679 est le texte européen applicable en matière de protection des données à caractère personnel. Il a été adopté par le Parlement européen le 27 avril 2016 ( voir la définition complète dans la FAQ DU RGPD). Il s’applique au traitement automatisé ou non automatisé en tout ou en partie de données à caractère personnel contenues ou appelées à figurer dans un fichier.
L’application difficile mais nécessaire du RGPD aux associations
Les associations sont soumises à l’application du RGPD quelle que soit leur taille. Déjà que certaines d’entre elles peinent à rassembler les ressources nécessaires pour accomplir leurs missions et assurer leur raison d’être, disposer de ressources dédiées spécifiquement à la protection des données s’apparente à “une mission presque impossible” .
Mais c’est à juste titre que ce texte s’applique aux associations au regard de nombreuses informations qu’elles traitent sur les personnes dans le cadre de leurs activités.
Elles doivent donc s’assurer que le traitement de leurs fichiers numériques ou papiers et services numériques sont, en permanence, conformes au RGPD.
Elles doivent respecter certaines obligations du RGPD notamment : établir et tenir à jour un registre de leur traitement ; effectuer dans certains cas des analyses d’impact sur la vie privée de leur traitement, encadrer la sous-traitance des traitements ; prendre les mesures organisationnelles et techniques pour garantir la sécurité des données ; respecter le droit des personnes concernées par leur traitement; informer la CNIL, voire les personnes concernées, des violations éventuelles de sécurité de données personnelles.
L’application du RGPD pourrait permettre de réduire les risques d’atteinte à la vie privée des personnes concernées (usagers, adhérents, bénéficiaires, etc.).
Désignation non obligatoire d’un DPO de certaines associations
Le délégué à protection des données ( DPD) ou Data Protection Officer ( DPO) en anglais est le « chef d’orchestre » de la conformité en matière de protection des données au sein d’un organisme( voir la définition complète dans la FAQ DU RGPD). La désignation d’un DPO est obligatoire pour certaines entités publiques comme privées tel que prévu à l’article 37 du RGPD.
En ce qui concerne les associations, la désignation n’est pas obligatoire, sauf dans certains cas, notamment pour une association du secteur social et médico-social dans la mesure où elle traite des données sensibles à grande échelle.
En revanche, les associations ont tout intérêt à se doter d’une telle fonction non seulement pour veiller au bon respect de la réglementation en matière de protection des données pour leurs activités, mais aussi, pour éviter une sanction de la CNIL pouvant aller jusqu’à 20 millions d’euros en cas de manquement à la réglementation en la matière.
Les associations ont la possibilité de désigner un DPO interne, externe ou mutualisé ou même de confier cette mission à une personne compétente.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
Bibliographie:
- RGPD
- Site de la CNIL
- Guide de sensibilisation au RGPD pour les associations de la CNIL