La CNIL s’intéresse-t-elle (enfin) aux associations ?

La CNIL s’intéresse-t-elle (enfin) aux associations ?
Article RGPD

Les associations, comme tout organisme, sont à l’origine de traitement de données à caractère personnel. Et comme pour tout organisme, hormis quelques exceptions, ces traitements sont soumis à l’application du fameux « RGPD ».

Jusqu’à présent la CNIL n’avait pas visé directement les associations dans ses publications, un guide leur étant directement adressé est donc le bienvenu !

Quels sont les apports de la CNIL ?

Dans ce guide à destination des associations, la CNIL rappelle les définitions et notions clés, illustrées par des pratiques associatives. Par exemple, une donnée à caractère personnel peut être, en plus des classiques noms et prénoms d’une personne physique, un numéro d’adhérent, ou encore sa photographie.

La CNIL fait également le point sur l’utilisation de catégories particulières de données (dites « données sensibles ») par ces organismes. Pour rappel, le traitement de ces données est interdit par le RGPD, et n’est autorisé que dans des cas bien précis. Certains traitements mis en œuvre par les organismes à but non lucratif et associations font partie des exceptions listées par le RGPD.

Cela peut concerner deux cas :

  • L’organisme peut traiter des données sensibles avec le consentement de la personne concernée (sauf si cela est interdit par la loi) ;
  • L’organisme poursuit un objectif politique, philosophique, religieux ou syndical, et traite les données correspondantes (politique, philosophique, religieuse ou syndicale) des membres actuels ou anciens de l’association, ou des personnes entretenant avec l’organisme des contacts réguliers en liaison avec ses finalités.

Quel plan d’actions pour les associations ?

Comme tout organisme concerné par l’application du RGPD, les associations doivent respecter le fameux principe d’accountability : c’est-à-dire qu’elles doivent être en mesure de démontrer leur conformité à tout moment, et notamment lors de contrôle de la CNIL.

Pour accompagner ces organismes, la CNIL propose son classique plan d’actions en 5 étapes :

  • Première étape : la cartographie des activités de traitements

Il s’agit pour les organismes de recenser leurs activités de traitements afin de tenir un document essentiel : le registre des activités de traitement. On vous expliquait d’ailleurs ici comment tenir ce document !

En plus d’être une obligation prévue par le RGPD, le registre est un réel outil de conformité qui vous permettra de vérifier si vos activités répondent bien aux obligations du règlement, et le cas échéant, de prévoir des correctifs.

  • Deuxième étape : faites du tri !

Car un des défauts les plus observés correspond aux collectes disproportionnées de données : vous collectez des informations qui s’avèrent inutiles. Ces informations doivent être détruites et leur collecte arrêtée pour le futur.

  • Troisième et quatrième étape : soyez transparents et soyez prêts à répondre aux droits des personnes concernées.

Cela veut dire qu’il faut prévoir d’informer les personnes du traitement de leurs données mais également de leurs donner les moyens d’exercer leurs droits (accès, rectification, suppression, etc.).

Pour en savoir plus sur ce sujet, vous pouvez regarder notre mini-série sur les droits des personnes, en commençant par le droit à l’information, ici.

  • Et enfin, dernière étape : sécurisez vos traitements.

Votre objectif ? Limiter le risque de violations de données à caractère personnel en adoptant les mesures de sécurité adaptées !

La CNIL complète son guide par une FAQ répondant ainsi aux dernières questions que vous pourriez vous posez sur la mise en conformité d’une association. Alors n’attendez plus ! Allez consulter ce guide sans plus tarder !

Il vous reste des questions ? N’hésitez pas à nous contacter !

Source complémentaire : Le Guide de la CNIL en question : https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide_association.pdf

Partager l'article

Articles similaires

Meta, encore sanctionné pour violation de la protection des données
Article RGPD Minute RGPD

Meta, encore sanctionné pour violation de la protection des données

Le groupe Meta se retrouve une nouvelle fois dans la ligne de mire des autorités pour une affaire datant de 2019. Vendredi 27 septembre, le géant américain a écopé d’une nouvelle amende de 91 millions d’euros, infligée par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande.
Lire la suite
Minute RGPD : L’usage de l’IA dans le secteur de la santé, l’équilibre est-il possible ?
Article RGPD Minute RGPD

Minute RGPD : L’usage de l’IA dans le secteur de la santé, l’équilibre est-il possible ?

L'intelligence artificielle (IA) est au cœur des débats publics, notamment en raison de son immense potentiel de transformation.   Ces dernières années, des avancées notables comme le traitement du langage naturel, l'apprentissage automatique ou l'imagerie médicale assistée par IA ont souligné l'urgence de réguler ces technologies afin d'éviter tout dérapage.
Lire la suite