Depuis le 25 mai dernier, le Règlement Général sur la Protection des Données personnelles (RGPD), est pleinement entré en vigueur. Ce nouveau règlement vient modifier en profondeur la manière des entreprises et des organisations de traiter les données personnelles qu’elles collectent. Mais les associations n’y échappent également pas. Tour d’horizon sur les impacts du RGPD sur les associations.

RGPD : les associations sont aussi concernées

Contrairement à ce que l’on pourrait penser, le RGPD ne s’applique pas seulement à une catégorie définie d’entreprises ou d’organisations. En réalité, il concerne toutes les structures qui manipulent des données personnelles : « toute information se rapportant à une personne physique identifiée ou identifiable ». Vous l’aurez compris, les données personnelles sont une notion relativement large (nom, adresse, numéro de téléphone, matricule…).
Qu’est-ce que cela à avoir avec une association ? Et bien, les associations manipulent des données personnelles : celles de leurs adhérents. Donc, elles sont également soumises au RGPD. En d’autres mots, à partir du moment où votre association collecte et traite (classement, recensement…) les données personnelles de ses membres, vous devrez vous plier aux nouvelles obligations en matière de protection des données et commencer un processus de mise en conformité. En cas de contrôle de la CNIL, vous devrez être en mesure de présenter un document retraçant les mesures adoptées pour optimiser la sécurité des données collectées.

Pratiquement, le RGPD implique quoi pour une association ?

Le RGPD oblige les associations à mener plusieurs actions :

  • Demander expressément le consentement des personnes (adhérents, bénévoles, donateurs…) pour le traitement des données les concernant ;
  • Notifier la CNIL en cas de violation des données personnelles (fuites, piratages, dommages…) ;
  • Ne collecter que les informations utiles (minimisation) ;
  • Garantir aux personnes concernées l’exercice des droits qui leur ont été octroyés par le RGPD : droit à l’oubli, droit de suppression, droit d’accès, droit à la portabilité, droit de modification… ;
  • Mettre en place des mesures de sécurité pour maximiser la protection des données : encodage des données, révision de la politique de confidentialité, définition des accès…

Non-conformité avec le RGPD : quelles sont les sanctions que risquent les associations ?

Heureusement, les associations ne sont pas spécialement ciblées par le RGPD. En effet, ce dernier a été surtout instauré pour encadrer les actions des entreprises qui font du traitement des données leur activité principale, que l’entreprise soit européenne ou non. Malgré tout, le risque d’être sanctionné en cas de non-conformité est réel s’il y a contrôle. Et les sanctions encourues ne sont pas légères. Les sanctions financières peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Le RGPD constitue une véritable révolution dans le monde de la protection des données personnelles. En plus de donner aux citoyens européens les pleins pouvoirs sur leurs données, le RGPD vient mettre fin aux pratiques malhonnêtes et non respectueuses de la vie privée de certaines entreprises, surtout celles qui voient internet comme un simple outil de collecte de données, un moyen de booster les ventes.

Attention aux fichiers de vos anciens adhérents ou annuaires : c’est un traitement, et il faut obtenir le consentement des personnes… une bonne occasion de les mettre à jour !