Le 25 mai dernier, le règlement général de protection des données (RGPD) est entré en vigueur. Depuis cette date, toutes les structures collectant et traitant les données personnelles doivent se conformer aux prescriptions de ce règlement en ce qui concerne l’exploitation de la donnée personnelle. Petit éclairage pour nos associations affiliées.
Qu’est-ce qu’une donnée personnelle ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
- Directement (exemple : nom, prénom)
- Indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- À partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
- À partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
Etes-vous concerné.e par le règlement ?
Si votre structure collecte des données sur vos membres, vous êtes concerné.e par ce règlement. La CNIL avait bien conscience que toutes les structures ne seraient pas prêtes le 25 mai. Les structures associatives ne sont pas prioritaires de ce nouveau règlement. Cependant, ce règlement fait office de loi et à ce titre chacun doit s’y conformer. Les associations doivent ainsi formaliser leur réflexion sur les données qu’elles collectent et sur ce qu’elles en font.
Les étapes de la démarche
La CNIL a fait paraître à ce sujet un guide pratique à 6 étapes qui se veut à la fois clair, concis et délivre toutes les solutions pour être conforme au RGPD.
Il y 6 bons réflexes qui constituent une bonne protection des données personnelles :
- Ne collectez que les données vraiment nécessaires
- Soyez transparent.e et délivrez une information claire
- Pensez aux droits des personnes
- Gardez la maîtrise des données récoltées
- Identifiez les risques
- Sécurisez vos données
La mise en conformité de Filéo
En ce qui concerne Filéo, la Fédération se charge de modifier certains paramétrages, notamment l’archivage et la suppression de l’antériorité des adhésions à partir d’un certain nombre d’années. Sur ce volet, vous n’aurez rien à faire. Tout cela vous sera détaillé dans une communication plus précise à la rentrée 2018.
Une foire aux questions qui répond à vos questions sur le RGPD
En attendant d’avoir des éléments plus détaillés et surtout si vous avez votre propre base de données (en plus de Filéo), le Mouvement associatif a publié une foire aux questions qui revient sur le RGPD pour les associations. Celle-ci reprend un ensemble de cas pratiques pour répondre à vos interrogations sur le RGPD.
Foire aux questions du Mouvement Associatif
Pour en savoir plus : le site de la CNIL, Cnil.fr