La CNIL s’intéresse-t-elle (enfin) aux associations ?

La CNIL s’intéresse-t-elle (enfin) aux associations ?
Article RGPD

Les associations, comme tout organisme, sont à l’origine de traitement de données à caractère personnel. Et comme pour tout organisme, hormis quelques exceptions, ces traitements sont soumis à l’application du fameux « RGPD ».

Jusqu’à présent la CNIL n’avait pas visé directement les associations dans ses publications, un guide leur étant directement adressé est donc le bienvenu !

Quels sont les apports de la CNIL ?

Dans ce guide à destination des associations, la CNIL rappelle les définitions et notions clés, illustrées par des pratiques associatives. Par exemple, une donnée à caractère personnel peut être, en plus des classiques noms et prénoms d’une personne physique, un numéro d’adhérent, ou encore sa photographie.

La CNIL fait également le point sur l’utilisation de catégories particulières de données (dites « données sensibles ») par ces organismes. Pour rappel, le traitement de ces données est interdit par le RGPD, et n’est autorisé que dans des cas bien précis. Certains traitements mis en œuvre par les organismes à but non lucratif et associations font partie des exceptions listées par le RGPD.

Cela peut concerner deux cas :

  • L’organisme peut traiter des données sensibles avec le consentement de la personne concernée (sauf si cela est interdit par la loi) ;
  • L’organisme poursuit un objectif politique, philosophique, religieux ou syndical, et traite les données correspondantes (politique, philosophique, religieuse ou syndicale) des membres actuels ou anciens de l’association, ou des personnes entretenant avec l’organisme des contacts réguliers en liaison avec ses finalités.

Quel plan d’actions pour les associations ?

Comme tout organisme concerné par l’application du RGPD, les associations doivent respecter le fameux principe d’accountability : c’est-à-dire qu’elles doivent être en mesure de démontrer leur conformité à tout moment, et notamment lors de contrôle de la CNIL.

Pour accompagner ces organismes, la CNIL propose son classique plan d’actions en 5 étapes :

  • Première étape : la cartographie des activités de traitements

Il s’agit pour les organismes de recenser leurs activités de traitements afin de tenir un document essentiel : le registre des activités de traitement. On vous expliquait d’ailleurs ici comment tenir ce document !

En plus d’être une obligation prévue par le RGPD, le registre est un réel outil de conformité qui vous permettra de vérifier si vos activités répondent bien aux obligations du règlement, et le cas échéant, de prévoir des correctifs.

  • Deuxième étape : faites du tri !

Car un des défauts les plus observés correspond aux collectes disproportionnées de données : vous collectez des informations qui s’avèrent inutiles. Ces informations doivent être détruites et leur collecte arrêtée pour le futur.

  • Troisième et quatrième étape : soyez transparents et soyez prêts à répondre aux droits des personnes concernées.

Cela veut dire qu’il faut prévoir d’informer les personnes du traitement de leurs données mais également de leurs donner les moyens d’exercer leurs droits (accès, rectification, suppression, etc.).

Pour en savoir plus sur ce sujet, vous pouvez regarder notre mini-série sur les droits des personnes, en commençant par le droit à l’information, ici.

  • Et enfin, dernière étape : sécurisez vos traitements.

Votre objectif ? Limiter le risque de violations de données à caractère personnel en adoptant les mesures de sécurité adaptées !

La CNIL complète son guide par une FAQ répondant ainsi aux dernières questions que vous pourriez vous posez sur la mise en conformité d’une association. Alors n’attendez plus ! Allez consulter ce guide sans plus tarder !

Il vous reste des questions ? N’hésitez pas à nous contacter !

Source complémentaire : Le Guide de la CNIL en question : https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide_association.pdf

Partager l'article

Articles similaires

[ EPISODE 3 ] – Qui sont les responsables conjoints ?
Article RGPD

[ EPISODE 3 ] – Qui sont les responsables conjoints ?

Prévu à l’article 26 du RGPD, la qualification de responsables conjoints du traitement est utilisée lorsque deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement.  C’est-à-dire pourquoi et comment les données seront traitées !
Lire la suite
[ EPISODE 2 ] – Qui est le sous-traitant  ?
Article RGPD

[ EPISODE 2 ] – Qui est le sous-traitant ?

Episode 2- Nous poursuivons notre série sur les acteurs du RGPD avec les sous-traitants
Lire la suite