Vous avez peut-être entendu parler du Règlement Général sur la Protection des Données ou appelé R.G.P.D. Ce nouveau règlement européen a été mis en place depuis le 25 mai 2018.
Les associations, les collectivités, les entreprises et même leurs sous-traitants sont concernés par cette obligation de protéger les données personnelles de leurs clients avec des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel. Google et Facebook ont été récemment condamnés par la commission européenne.
Les fichiers informatiques comme les dossiers « papier » sont concernés par ce règlement.
Entreprises, collectivités, associations… en quoi consiste le RGPD
Le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits :
- à l’information,
- d’accès,
- de rectification (ex. changement d'adresse),
- d’opposition,
- à la portabilité,
- à la limitation du traitement,
- d’effacement,
- de définir des directives relatives au sort de leurs données personnelles après leur mort.
En outre, chaque propriétaire de liste d’emails ou d’adresses postales ne doit collecter que les informations strictement nécessaires à son activité. Vous n’avez pas à donner votre date de naissance pour un site de ventes en ligne et n’oubliez pas que votre date d’anniversaire peut permettre de reconstituer en partie votre numéro de sécurité sociale…
Lorsque vous avez fait la demande d’un droit d’accès auprès d’une association et que vous souhaitez le supprimer, l’association doit vous répondre dans un délai d’un mois. Si vous recevez une infolettre commerciale ou une newsletter et que vous souhaitez vous désabonner, l’entreprise doit vous retirer de ses listes dans le même délai.
J’ai fait l’expérience pour un de mes clients qui était noyé d’envois publicitaires chaque jour. Nous avons demandé le désabonnement sur le formulaire automatique… rien ne s’est passé, il continuait de recevoir des publicités quotidiennement. J’ai donc envoyé un email au responsable de la communication du site internet évoquant le non-respect du dispositif RGPD. Sous 48h nous avions un email d’excuses avec une confirmation de la suppression de l’adresse mail de leur liste de clients.
Qu’est-ce qu’une donnée personnelle ?
Selon la C.N.I.L, une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :
- directement (exemple : nom, prénom) ;
- indirectement comme un identifiant (n° client), un numéro (de téléphone) ou un email,
- à partir d’une seule donnée (numéro de sécurité sociale ou fiscal),
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
A ces données classiques s’ajoutent les données « sensibles » comme l’origine ethnique, les opinions politiques, les convictions religieuses, philosophiques ou l’appartenance syndicale.
Cela concerne aussi le traitement des données génétiques, des données biométriques qui permettraient d’identifier une personne physique de manière unique, ou des données relatives à la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le RGPD interdit de recueillir ou d’utiliser ces données, sauf dans certains cas selon la CNIL
En quoi consiste ce fameux « traitement des données » ?
C’est la collecte, l’enregistrement, la conservation, l’extraction, la modification et la segmentation de vos données personnelles. Avec ce dispositif, une entreprise peut, par exemple, vous envoyer des publicités ciblées.
Ce qui change avec le R.G.P.D. c’est que toute personne qui gère des données doit le faire dans un objectif, un but précis. Les entreprises, collectivités ou associations ne peuvent collecter des informations « au cas où… », si une association vous demande votre activité sportive préférée, elle doit le justifier.
Avant de remplir un formulaire de façon automatique, il faut se demander : est-ce indispensable de communiquer telle ou telle information ? Est-ce qu’une association a besoin de ma date de naissance pour collecter des dons ?
RGPD : plan d’actions
La suite de cet article concerne plus les personnes travaillant dans des associations, parmi mes clients, nombreux sont bénévoles dans des clubs.
Il est important, en tant que secrétaire, trésorier ou président de connaître ce nouveau règlement de protection des données pour se mettre en conformité.
Les questions à se poser :
1. Quelles sont les données personnelles détenues actuellement ?
- Nom, prénom
- Adresse mail, postale
- Diverses informations personnelles,
- Possédez-vous des données « sensibles » ? Si c’est le cas en avez-vous le droit ?
- Faut-il trier certaines informations et en supprimer ?
2. Comment ces données sont-elles collectées ?
- Inscription en ligne avec la case à cocher pour avoir l’accord du traitement des données
- Formulaire papier signé avec mention du RGPD, l’adhérent est informé de ses droits et de l’objectif de cette collecte d’informations.
- Par téléphone puis retranscrit sur un cahier, sans l’accord des intéressés,
3. Où sont-elles conservées, archivées ?
- Sur l’ordinateur de l’association, une sauvegarde est faite chaque mois et un antivirus a été installé pour protéger les fichiers
- Sur des fichiers papier
- Sur un logiciel gratuit
- Sur un téléphone…
4. Quelle utilisation faites-vous de ces informations ?
- Invitation à des événements,
- Suivi de l'actualité du club
- Inscription à des activités régulières,
- Envoi de factures,
- Participation à des actions bénévoles,
5. Qui a accès à ces données et comment ?
- Tout le monde, les formulaires papier sont archivés dans des classeurs,
- Le bureau de l’association, un responsable DPO* a même été désigné pour s’en occuper. Il a mis en place des mots de passe sécurisés et il sait qu’il doit contacter la CNIL dans les 72h en cas de piratage,
*Data Protection Officer en Anglais
6. Quelle est la durée de conservation de ces données ?
- Depuis l’enregistrement de l’adhésion,
- Depuis 3 ans,
- Notre fichier est trié chaque année, les adhérents qui quittent l’association sont supprimés du fichier,
7. Est-ce que chaque adhérent sait qu’il a un droit d’accès sur ses données ?
- Oui, il peut le faire par mail, par courrier postal, par téléphone,
- Oui, il a son propre espace adhérent en ligne,
- Je ne sais pas…je pense que les adhérents sont au courant,
Résumé d'une mise en place du RGPD
En consultant plusieurs sites comme celui de la C.N.I.L. (Commission Nationale Informatique et Libertés) et de l’I.N.C. (Institut national de la consommation), j’ai essayé de condenser les informations pour être la plus exhaustive possible mais je vous conseille d’aller consulter ces sites régulièrement pour vous mettre à jour si vous êtes en responsabilité d’un club ou d’une association !
Ayez en tête que la transparence envers vos adhérents est une règle à respecter. Ils ont le droit de savoir à quoi leurs informations personnelles vont vous servir. En mettant en place le RGPD, vous faites preuve de sérieux et d’un vrai sens des responsabilités en évitant tout risque de sanctions. En protégeant efficacement ces informations, vous évitez toute perte de données, ce qui peut être nuisible à la réputation de votre club.
