Dans le cadre de leurs activités, les associations sportives collectent de nombreuses informations sur leurs membres. Quelle que soit la taille de la structure, les risques d’atteinte à la vie privée des personnes concernées peuvent être importants en cas de divulgation de ces données à des tiers non autorisés… Que doivent donc faire ces associations pour être en conformité avec le tout nouveau RGPD ?
Adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’Union européenne, le RGPD (règlement général sur la protection des données) est entré en vigueur le 25 mai 2018.
Visant à protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, le RGPD vient changer la logique qui existait depuis la loi « informatique, fichiers et libertés » du 6 janvier 1978, à savoir les déclarations préalables auprès de la Cnil (Commission nationale informatique et libertés), en instaurant une logique de responsabilisation.
Désormais, une association ne déclare plus ses fichiers à la Cnil (sauf exception dans le domaine de la santé) avant leur traitement, mais doit s’assurer qu’ils sont conformes au règlement. Pour démontrer qu’elle respecte les « règles », une asso va créer un registre permettant d’avoir une vue centralisée des activités de traitement. Sont précisés dedans : le nom et les coordonnées du/de la responsable de traitement et du/de la délégué·e à la protection des données (dont nous parlons un peu plus bas), le but de chaque fichier, les catégories de données collectées et personnes concernées, la durée de conservation, le(s) personnes ayant accès au(x) fichier(s) et les mesures de sécurité mises en œuvre afin de les protéger.
Une association doit choisir un sous-traitant qui présente des garanties répondant aux exigences du RGPD si elle délègue certaines activités, mais elle doit surtout sécuriser les données personnelles de ses adhérent·es. Cela concerne les données automatisées, mais également les données papier. Ainsi l’asso doit mettre en place des mesures empêchant l’accès illégitime aux données (armoires et coffres-forts fermés, suppression des comptes d’un ordinateur après utilisation, site internet authentifié « https », procédure de sauvegardes régulières et de récupération des données en cas d’incident, antivirus et logiciels à jour etc.) pour limiter les risques.
Lorsque quelqu’un souhaite accéder, rectifier, supprimer ou encore limiter au/le traitement de ses données personnelles, l’association doit mettre en place une procédure pour répondre à sa demande. Dans le cas d’une violation de données, les articles 33 et 34 du règlement prévoient la notification à l’autorité de contrôle (la Commission nationale informatique et libertés, donc) dans les 72 heures qui suivent à moins qu’elle n’engendre pas de risque et la communication de cette violation à la/aux personne(s) concernée(s) dans les plus brefs délais.
Enfin, une association peut réaliser une « analyse d’impact sur la vie privée ». Cela se produit lorsqu’elle estime qu’un fichier contient un grand nombre de données sensibles ou s’il contient les données de personnes considérées comme vulnérables.
Délégué·e à la protection des données
Le traitement des données devant être licite, loyal et transparent, une association doit identifier une base légale applicable. Cette dernière peut être : l’accord des personnes concernées, l’exécution d’un contrat, l’accomplissement d’une mission d’intérêt général, la nécessité d’un traitement à la sauvegarde des intérêts vitaux, la satisfaction de l’intérêt légitime de l’asso et le respect d’une obligation légale imposant le traitement.
L’association doit également déterminer la finalité du traitement en identifiant l’objectif poursuivi. Le ou la responsable doit minimiser les informations collectées pour ne traiter que les données pertinentes par rapport à l’objectif recherché. Les données personnelles doivent être exactes et celles inexactes seront évidemment rectifiées ou effacées. Le traitement des données doit garantir le respect de la sécurité et de la confidentialité. Quant à la durée de conservation des données, elle ne peut pas excéder leur finalité.
Enfin, terminons par un focus sur le DTO (data protection officer ou « délégué·e à la protection des données ») dans le milieu associatif. La désignation d’un·e DPO chargé de piloter la mise en conformité au RGPD par une association n’est pas obligatoire (sauf pour une association dans le secteur médico-social), mais, afin de consolider les relations de confiance avec les personnes concernées et limiter les risques juridiques, une association a tout de même intérêt à se doter d’un ou d’une délégué·e à la protection des données. Si le/a délégué·e peut être externe à l’asso, cette dernière peut aussi choisir un·e de ses membres comme référent·e.
Ahmadou Tidiane Ly, juriste et référent RGPD à la FSGT
Bien décidée à accompagner ses différentes structures (Comités, Commissions fédérales d’activités et associations), la FSGT a réalisé un guide sur le RGPD. Un guide à retrouver ici !