Règles et bonnes pratiques de l’usage des données par les bénévoles
La France dispose d’un tissu associatif particulièrement riche, recensant plus de 1,3 million d’associations aux profils très divers, tant en termes de taille que de secteurs d’activité (caritatif, politique , sportif , social, etc.). Toutes ces associations partagent un trait commun : elles sont nécessairement amenées à traiter des données personnelles. Les risques d’atteinte à la vie privée des personnes concernées (usagers, adhérents, bénéficiaires, etc.) peuvent être importants en cas de divulgation de ces informations personnelles à des tiers et ce, quelle que soit la taille de la structure.
Il est donc essentiel que ces associations préservent les droits et libertés des personnes concernées par les traitements, afin de créer un environnement de confiance avec l’ensemble de l’écosystème associatif (bénévoles, adhérents, donateurs, etc.). La création de cet espace de confiance implique que les associations soient en mesure de démontrer leur conformité à la règlementation sur la protection des données personnelles et en premier lieu, aux obligations posées par le RGPD.
Toutefois, étant concentrées sur leurs missions, certaines structures ne disposent pas toujours de ressources dédiées spécifiquement à la protection des données. C’est pour cette raison que la CNIL – l’autorité publique garante du respect de la règlementation sur la protection des données personnelles – a publié un guide de sensibilisation au RGPD[1]. Ce guide vise à présenter les principales notions, les grands principes de la règlementation sur la protection des données personnelles, les grandes étapes de la mise en conformité d’une association et les questions récurrentes du secteur sur le sujet.
Dans cette optique de sensibilisation, nous vous présentons 4 réflexes à adopter inspirés de ce guide pour que les bénévoles poursuivent leur action associative conformément à la règlementation sur la protection des données personnelles.
1. Informer les personnes sur les traitements mis en œuvre par l’association
Lorsqu’il s’agit d’être transparent, le RGPD prévoit un ensemble d’informations concernant chaque traitement qui doit obligatoirement être présenté aux personnes concernées. L’intérêt de cette obligation est notamment de permettre aux personnes concernées par les traitements d’exercer les droits sur leurs données personnelles que leur consacre le RGPD.
Pour s’affranchir de cette obligation, les associations devront préalablement avoir rédigé un document d’information comprenant l’ensemble des éléments mentionnés aux articles 13 & 14 RGPD comme, par exemple, dans une « Charte de protection des données des bénévoles ». Cela permettra de répondre facilement aux obligations d’information des personnes concernées lorsque les bénévoles créent un nouveau formulaire collectant des données personnelles en insérant une mention avec un contenu allégé et qui renverra au document d’information générique. Cette mention devra a minima préciser l’identité du responsable de traitement, l’objectif poursuivi par ce traitement et les droits des personnes et renvoyer vers ce document.
2. Minimiser les données personnelles utilisées dans les traitements associatifs.
Le RGPD pose comme obligation que les données personnelles utilisées dans un traitement spécifique doivent être en lien avec l’objectif de ce traitement et strictement nécessaires à l’accomplissement de cet objectif. Les associations doivent donc être particulièrement vigilantes au moment de la conception des formulaires d’adhésion ou dans la distribution de questionnaires nominatifs à ne collecter que les données nécessaires pour atteindre la finalité de ce traitement.
A titre d’exemple, la CNIL considère que les informations relatives à la situation matrimoniale d’une personne n’apparaissent pas nécessaires dans le cadre de l’inscription à une activité sportive. Comme tout responsable de traitement, les associations doivent également être particulièrement vigilantes lorsqu’un traitement implique de recourir à des données sensibles[2].
Dans ce contexte, une association organisant des sorties extra-scolaires peut collecter des informations relatives à la santé des enfants (ex. : allergie, etc.) sous réserve qu’elle a préalablement recueilli l’accord du représentant légal. À l’inverse, une association n’est pas autorisée à collecter l’extrait du casier judiciaire de ses bénévoles ou de ses salariés.
Dans le même esprit, un parti politique est autorisé à recueillir les opinions politiques de ses membres. Ce parti peut aussi traiter les opinions politiques des personnes avec lesquelles il entretient des contacts réguliers en lien avec ses missions sous réserve que ces informations sensibles ne soient pas communiquées en dehors de cet organisme (à moins que la personne concernée ne l’ait expressément autorisé).
3. Respecter la finalité du traitement (ou du fichier constitué) définie initialement.
Dans le jargon RGPD, la finalité correspond à l’objectif poursuivi par l’association qui organise ce traitement de données personnelles. Ce principe a pour conséquence qu’un traitement de données personnelles est licite sous réserve qu’il répond à un objectif identifié au préalable à la mise en place du traitement par l’association. L’association ne pourra donc pas s’écarter de l’objectif de ce traitement pour réutiliser les données personnelles pour un autre objectif. Pour illustrer ce premier principe, la règlementation sur la protection des données personnelles interdit, par exemple, de réutiliser un fichier de recrutement constitué des candidatures à un poste de bénévole et/ou de salarié pour promouvoir l’action de l’association à ces candidats.
Ce principe de finalité ne doit pas être compris de manière trop restrictive et les associations bénéficient de certaines autorisations en lien avec la spécificité de leur statut. Ainsi, une association est autorisée à utiliser les données de ses adhérents pour organiser des campagnes annuelles de relance des adhésions. Lorsque ce traitement de données personnelles est réalisé via des outils de mailing, la relance doit toutefois être réalisée sous certaines conditions :
(i) l’adhérent ne doit pas s’être opposé à ce traitement,
(ii) l’adhérent doit avoir été en contact avec l’association depuis moins de 3 ans
(iii) le message de relance doit contenir un lien permettant de se désinscrire de la liste de diffusion.
La définition d’une finalité pour chaque traitement de données personnelles implique d’identifier une base légale à ce traitement, ce qui participe donc à sa licéité. Le RGPD prévoit 6 bases légales distinctes[3] susceptibles de rendre licite les traitements réalisés par les associations.
4. Limiter la conservation et assurer la sécurité des données personnelles
Le RGPD interdit la conservation illimitée dans le temps des données personnelles. Au stade de la création d’un fichier recensant des données personnelles, les bénévoles devront définir une « date limite de conservation » de ce fichier et surtout ne pas la dépasser. Le respect de cette obligation n’entraîne pas la purge systématique des bases de données personnelles mais impose plutôt de prévoir une durée de rétention et des modalités de gestion de la conservation (archivage et/ou suppression).
Les bénévoles sont les éléments clés de la sécurité et de la confidentialité des données. En effet, les données personnelles ne doivent pas uniquement être sécurisées sur le plan informatique. En complément et selon la sensibilité ou encore le volume des données traitées, l’association doit mettre en place une politique de renouvellement de mots de passe complexes, une gestion des habilitations d’accès aux données. À ce sujet, la CNIL a défini une checklist de sécurité pour accompagner les associations dans l’évaluation de la sécurité de leurs traitements de données personnelles :
Voici quelques vérifications que vous pouvez déjà effectuer :
Les accès aux locaux sont-ils sécurisés ? (ex. : alarme, système de vidéosurveillance, etc.)
Les armoires et coffres-forts sont-ils fermés clés systématiquement ?
Les comptes utilisateurs sont-ils protégés par des mots de passe d'une complexité suffisante ?
Les comptes utilisateurs sont-ils supprimés au départ d'un utilisateur ?
Des profils distincts sont-ils prévus selon les besoins des utilisateurs pour accéder aux données ? Les postes de travail sont-ils sécurisés (ex. : verrouillage automatique de session, antivirus et logiciels à jour) ?
Les membres de l'association sont-ils sensibilisés la protection de la vie privée ?
Une charte informatique est-elle signée ?
Des mobiles multifonctions (smartphones), ordinateurs portables ou clés USB sont-ils utilisés ? Leur usage est-il encadré ?
Des procédures de sauvegardes régulières et de récupération des données en cas d'incident sont-elles mises en place ?
Votre site web utilise-t-il un protocole sécurisé pour les pages sur lesquelles Sont affichées ou transmises des données personnelles (ex. : authentification. formulaire en ligne) ?
Enfin, l’exigence de confidentialité qui pèse sur les associations a des conséquences concrètes dans leur action. Par exemple, une association n’est pas tenue de communiquer la liste de ses adhérents à une commune qui en ferait la demande (même si cette dernière lui accorde une subvention). A l’inverse, une association est autorisée à communiquer des renseignements sur ses adhérents à un organisme externe à condition que :
(i) La demande de communication est écrite et cite le fondement juridique encadrant cette communication ;
(ii) Ce fondement juridique cite explicitement l’organisme comme étant autorisé à recevoir ces informations
(iii) La fréquence et le volume de données communiquées n’excède pas ce qui est prévu par ce texte.
La mise en œuvre de ces bonnes pratiques ne va pas de soi. Elle suppose souvent de changer quelques habitudes des bénévoles, et nécessite de débuter par un état des lieux complet des pratiques actuelles.
Un article de Damien Altersitz et Justine Cabanis
[1] Disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide_association.pdf
[2] La définition d’une donnée sensible est prévue à l’article 9 RGPD : « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »
[3] Voir Art. 6 RGPD
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante :