RGPD, Faites le point !

Mon association est-elle en conformité avec le RGPD ?

Le Règlement Européen de Protection des données personnelles (RGPD) applicable dés 2018 est venu renforcer les obligations déjà prévues par la loi Informatique et libertés de 1978. Il prévoit des obligations pour garantir le respect de la vie privée des personnes lorsque leurs données personnelles (nom, prénom, adresses, numéro de téléphone, e mail, image...) sont traitées, notamment par informatique. Le non respect de ces obligations entraîne un risque de sanctions pénales ainsi qu’un fort risque d’image.

• Où en est mon association sur ce point ?
• Comment puis-je assurer sa conformité au RGPD ?

Pour être formé sur ce point, et en savoir plus sur les responsabilités civiles et pénales d'un responsable d'association, inscrivez-vous à notre Journée juridique.

Étape 1 : Mon association est-elle concernée par le RGPD ?

Votre association est soumise aux obligations du RGPD si elle utilise des données personnelles, qui portent sur ses membres ou de tiers, ses salariés ou ses bénévoles, par exemple pour :

• La liste des membres ou sympathisants
• Le traitement des ressources humaines
• Un registre d’événements (baptêmes, mariage, décès...)
• L’envoi d’une newsletter par mail
• Un formulaire de contact sur son site internet
• Un annuaire de membres et sympathisants
• Un système de gestion d’achats ou de commande

Votre association est certainement responsable de différents traitements de données personnelles. Par conséquent, elle doit assurer sa conformité au RGPD.

Étape 2 : Les obligations RGPD

Les obligations à respecter sont les suivantes :

• Tenir un registre de traitements de données personnelles,
• Collecter les données de manière licite et loyale en utilisant des mentions d’information,
• Assurer la sécurité technique des traitements et la confidentialité,
• Nommer un DPO

(détails des obligations et réponses aux questions lors de notre Journée juridique).

Étape 3 : Focus sur la base légale, les données sensibles et les mineurs.

Quelle est la base légale du traitement ?

La base légale est ce qui justifie le traitement des données personnelles. Il s’agit par exemple du contrat pour un membre d’association, un salarié ou un client acheteur, du consentement pour un abonné à la newsletter, une personne qui veut apparaître dans un annuaire ou une personne qui remplit le formulaire de contact du site internet.

Quand la base légale disparaît (retrait du consentement, fin du contrat par exemple), les données ne peuvent plus être traitées, sauf pour des besoins d’archivage ou de preuve en respectant la durée de conservation.

L’appartenance religieuse est une donnée sensible, quelles sont les conséquences ?

En règle générale, la collecte et le traitement de données portant sur l’appartenance religieuse n’est pas recommandée car il s’agit d’une donnée sensible sur les personnes. Si votre association est une association cultuelle ou une œuvre chrétienne, elle devra traiter ce type de données nécessairement en raison de son objet social, s’agissant de ses ressources humaines et de ses membres. Pour les tiers, il conviendra d’éviter de traiter cette donnée sensible ou alors de s’assurer d’avoir obtenu le consentement des intéressés à cet effet.

(détails des limites et précautions à prendre seront abordés lors de notre Journée juridique).

Mineurs, quelles précautions à leur égard ?

Si vous collectez des données personnelles de mineurs, vos mentions d’information devront être tout à fait compréhensibles pour cette tranche d’âge.

La majorité numérique a été fixée à 15 ans en France, ce qui permet à un mineur de consentir seul à un traitement de données à partir de 15 ans. En deçà, c’est le détenteur de l’autorité parentale qui pourra consentir au traitement de données. En outre, le droit à l’oubli, c’est à dire à l’effacement des données, bénéficie d’une procédure accélérée pour les mineurs.

Pour aller plus loin : une journée de formation sur mesure

Le CNEF organise une journée juridique pour tous les responsables d'œuvres et d'Églises, sur le thème des responsabilités civiles et pénales. Le traitement des données personnelles en lien avec le RGPD fera l'objet d'un atelier, à réserver lors de l'inscription, dans la limite des places disponibles !

Informations et inscriptions à la Journée juridique : cliquez ici.