En tant qu’entreprise, Joinly est tenue de se mettre en conformité avec le Règlement général sur la protection des données. Nous sommes actuellement en train de peaufiner les derniers réglages et notre solution sera bientôt aux normes ! Nous vous parlions il y a peu de ce que vous deviez impérativement savoir en tant qu’association loi 1901.
Voici à présent plus de détails sur la mise à jour de vos données suite à cette réglementation européenne qui, rappelons-le, est entrée en vigueur le 25 mai 2018.
Sommaire :
-
- Les associations concernées par le RGPD
- Votre association est concerné par la réglementation RGPD si…
- Mise à jour de vos données : qu’est-ce que cela signifie pour votre association ?
- Les obligations des associations vis-à-vis de la CNIL et la RGPD
- Comment se mettre rapidement aux normes ?
- Les sanctions en cas de non-conformité au RGPD pour les associations
- Bonus et à savoir
- Réussir votre mise en conformité RGPD pour votre association
Les associations concernées par le RGPD
Il est parfois difficile de déterminer qui est concerné par le Règlement Général sur la Protection des Données. À priori, le RGPD pour les associations concerne tous les organismes associatifs. Il s’applique en effet à toute structure en France qui traite des données personnelles.
Au terme de l’article 4 du RGPD, on entend par données à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable. Le terme traitement quant à lui renvoie à toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données telles que la collecte, l’enregistrement, l’organisation, la structuration la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Il est important de relever qu’il n’existe pas de distinction entre les associations à partir du moment où elles font du traitement de données de leurs adhérents. Ainsi, le RGPD concerne aussi bien les associations loi 1901 que les associations de gestion agréée, les associations reconnues d’utilité publique et les associations de fait.
Votre association est concerné par la réglementation RGPD si…
-
- Vous possédez et traitez un fichier contenant des informations personnelles sur les membres de votre association
- Vous possédez une base de données contacts à qui vous adressez des mails ou des newsletters
- Vous stockez les données personnelles de vos salariés et de vos bénévoles
Comme vous pouvez le constater, le RGPD s’applique véritablement à toute structure récoltant des données personnelles sur ses clients, ses utilisateurs ou ses adhérents. Joinly est également astreint à la mise en conformité. Personne n’y échappe ! Si pour votre association vous récoltez ces types de données, alors vous êtes au bon endroit pour obtenir des informations fiables !
Mise à jour de vos données : qu’est-ce que cela signifie pour votre association ?
Le RGPD pour les associations poursuit un objectif principal, celui de renforcer les droits des personnes en l’occurrence les adhérents en matière de données personnelles. De ce fait, il est impératif de prendre certaines mesures pour être en conformité avec le RGPD pour les associations sportives et autres.
Concrètement, il s’agit de se mettre aux normes vis-à-vis de la nouvelle réglementation en triant les données que vous récoltez et en repensant le cycle de vie des données eu sein de votre association. Par exemple, vous devez désormais vous demandez pourquoi collecter une donnée, et en quoi celle-ci est-elle indispensable pour le bon fonctionnement de votre association.
Dans le même ordre d’idées, il peut être utile de faire le ménage dans les informations que vous détenez. À cet effet, les données à caractère personnel datant de plus de 3 ans doivent être supprimées. Il en est de même en ce qui concerne les données dites à caractère sensible. Il ne serait pas disproportionné de relever que les structures concernées par le RGPD pour les associations doivent garantir à tout moment le respect dudit règlement.
Ce dernier pose en effet le principe d’accountability des responsables des traitements. Deux principes centraux doivent donc être respectés par les mesures prises :
- Le principe de privacy by design qui suppose que l’association doit intégrer la protection des données à caractère personnel dès la conception de projets relatifs au traitement des données ;
- Le principe de privacy by default, qui signifie qu’une fois qu’un service a été communiqué au public, les standards de protection des informations personnelles doivent s’appliquer par défaut.
Les obligations des associations vis-à-vis de la CNIL et la RGPD
Nous arrivons au point le plus important : ce que vous devez faire à court-terme en tant qu’association. Pas de panique, rien d’insurmontable : il suffit ici de montrer que vous faites des efforts pour être en conformité.
1. Tenir un registre des traitements des données
Le registre des traitements des données est un document relatant l’ensemble du détail de traitement des données au sein de l’association. Pour chaque traitement de données, on doit retrouver plusieurs informations :
- La finalité du traitement
- La catégorie de données personnelles (un nom, un numéro, une donnée de localisation etc.)
- Les objectifs poursuivis par ce traitement (enquête de satisfaction, gestion des recrutements etc.)
- Les acteurs internes ou externes qui traitent ces données
- Les destinataires
En fait, il s’agit de répondre pour chaque traitement aux questions : qui, quoi, pourquoi, où, jusqu’à quand et comment ? Pour vous familiariser avec le jargon, on appelle aussi cela une « cartographie ». Pour vous aider, voici un modèle de registre à télécharger. Celui-ci vous fera gagner un temps précieux !
2. Faire le tri dans les données
C’est la constitution du registre cité plus haut qui va vous permettre de vous interroger sur les données dont votre association a réellement besoin. Profitez-en donc pour faire le tri ! Le but étant de minimiser la collecte d’informations par l’association, se réduisant aux seules informations qui vous sont indispensables. Au revoir la récolte de données inutiles : moins de données collectées signifie moins de risques.
3. Respecter les droits des personnes
Il est désormais indispensable d’informer les personnes lors de toute collecte de données. En premier lieu, le recueil du consentement. Celui-ci doit être visible et explicite lors du recueil de données. Vous devez en outre fournir d’autres informations telles que :
- Pourquoi vous collectez la donnée,
- Ce qui vous autorise à collecter celle-ci,
- Qui a accès aux données collectées,
- Combien de temps vous allez stocker et conserver ces données.
Soyez donc en mesure de justifier la récolte de données auprès des personnes désirant plus d’informations. De plus, n’oubliez pas les mentions légales ! Celles-ci sont à reformuler avec un certain nombre d’informations supplémentaires pour vous assurer qu’elles adhèrent au RGPD.
Un autre point important est de toujours permettre aux personnes d’exercer facilement leurs droits. Gardez en tête que vos membres sont désormais en droit d’accéder à toutes les données que vous conservez sur eux. Et qu’ils peuvent vous demander de supprimer telle ou telle donnée lorsqu’ils le souhaitent ! Facilitez donc l’accès à celles-ci.
4. Sécuriser les données
Si vous êtes une association, en tant que détenteur de données personnelles, vous êtes tenu d’assurer la sécurité de celles-ci. Il y a donc certaines mesures à prendre, et instaurer des réflexes au sein de votre structure est sans aucun doute le meilleur moyen d’assurer cette sécurité. Par exemple, prenez l’habitude de mettre régulièrement à jour votre antivirus, de changer régulièrement de mots de passe ou encore de chiffrer vos données. Si vous êtes victime d’une violation de données personnelles, signalez-le à la CNIL dans les 72 heures suivant la fraude (démarche en ligne sur le site de la CNIL). Si les risques sont importants, vous devrez aussi informer les personnes concernées.
Comment se mettre rapidement aux normes ?
Voici les étapes que vous devez réaliser en premier lieu en tant qu’association pour vous mettre rapidement aux normes :
- Désigner un pilote qui aura pour rôle de mettre en œuvre le RGPD et de suivre son application au sein de la structure. Il sera l’interlocuteur privilégié pour toute question autour de ce règlement.
- Inventorier et identifier les traitements de données. Pour cela, réalisez une cartographie des données, grâce au registre des traitements des données dont nous vous avons parlé juste au-dessus !
- Prioriser les actions à mener, au regard des risques potentiels de vos traitements sur les libertés individuelles des personnes concernées.
- Construire et mettre à jour certains documents pour prouver votre conformité au RGPD, et ainsi anticiper un éventuel contrôle. Cette documentation servira de preuve quant à la conformité de votre structure aux différents principes et règles du RGPD. Tenez donc à jour le registre et les autres documents !
Nous vous conseillons également de faire une documentation spécifique pour gérer les données sensibles, si vous en possédez (par exemple, les informations de santé, de religion ou encore d’origine raciale), et de prévoir une procédure spécifique pour les éventuels transferts de données hors de l’UE (là où le RGPD ne s’applique pas encore). D’ailleurs, retrouvez à cette adresse l’intégralité des 6 étapes de mise aux normes (site de la CNIL).
Les sanctions en cas de non-conformité au RGPD pour les associations
Des sanctions sont encourues en cas de non-conformité au RGPD pour les associations. La CNIL est le seul organe habilité à les appliquer. En l’absence de mises en place des mesures assurant le respect du RGPD pour les associations sportives et autres, la sanction peut prendre la forme d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
D’autres sanctions à caractère administratif peuvent être appliquées par les autorités de contrôle comme :
- Imposer l’obligation de conformité ;
- Faire un rappel à l’ordre ;
- Limiter définitivement ou temporairement le traitement des données.
Bonus et à savoir
Si votre association est de taille importante, nous vous conseillons de prévoir des processus en cas de faille de sécurité, ainsi que des procédures internes pour, par exemple, favoriser la remontée d’informations au pilote désigné.
Réussir votre mise en conformité RGPD pour votre association
Votre association collecte, stocke, utilise ou traite des données à caractère personnel ? Alors, elle doit respecter le Règlement général sur la protection des données (RGPD), et se mettre en conformité.
Ne prenez pas de risques : faites-vous accompagner par des professionnels du droit. La plateforme en ligne Captain Contrat propose aux associations un accompagnement juridique et administratif. Elle vous met en relation avec des avocats spécialisés triés sur le volet afin de vous accompagner dans cette mise en conformité : CGV, politique de confidentialité, relecture de vos contrats, etc.
Cliquez ici pour en découvrir plus sur l’accompagnement proposé par Captain Contrat.
Vous disposez désormais grâce à cet article d’un petit plan d’action qui vous sera grandement utile dans la mise en œuvre du RGPD au sein de votre association. Si vous avez des questions par rapport au RGPD et à sa mise en place au sein de votre association, n’hésitez pas à nous solliciter en publiant un commentaire ci-dessous !
assos loi 1901 : avons nous le droit d’accorder un bonus aux membres du bureau dirigeant ?
Bonjour Ollivier. Merci pour votre intérêt. Si vous parlez de dividendes, alors nous vous vous invitons à accéder à cette adresse
Celle-ci regroupe des informations qui pourraient vous aider.
Nous restons disponible pour toute question, n’hésitez pas à nous contacter.
Bien cordialement,
Maxime E-COTIZ
Bonsoir, mon fils est inscrit dans un clubs de foot pour lequel j’ai fourni des informations personnelles lors de l’inscription. Le club utilisé notre numéro de téléphone pour communiquer par SMS. Mais très récemment les parents se sont retrouvés ajoutés à un groupe WhatsApp sans qu’on demande leur avis. Suite à une remarque de ma part l’association à envoyé un message à tous les parents pour leur dire que maintenant ils communiqueraient uniquement par ce biais et demandaient aux parents de télécharger et d’utiliser ce canal. Est-ce légal ? Comment réagir ? Merci d’avance.
Bonjour Olivier,
Nous comprenons tout à fait l’embarras dans lequel vous vous trouvez. Toutefois, la pratique de votre association est tout à fait légale dans la mesure où, pour vous inscrire à cette dernière, vous avez communiqué des informations personnelles. Si votre association juge que celles-ci sont utiles à son bon fonctionnement, alors elle a un intérêt légitime à utiliser les données qu’elle récolte afin de communiquer avec ses membres. Celle-ci est en effet libre de choisir les modes de communication qu’elle préfère pour vous contacter.
Alors, comment réagir ? Nous vous recommandons, au moins dans un premier temps, de jouer le jeu et de collaborer avec votre association. Cela participera à son bon fonctionnement interne. Cependant, vous pouvez dans un deuxième temps mentionner votre désaccord et ainsi ouvrir le débat sur la question, de manière saine et réfléchie.
Nous sommes à votre disposition pour plus d’informations !
Bien cordialement,
L’équipe E-Cotiz
Est-ce normal d’avoir été contraint de payer 1788 € à « COGF les documents.fr » après un démarchage voir « harcèlement » téléphonique de lmeur part
pour se mettre soi disant en conformité et recevoir au final un registre RGPD auquel on ne comprend rien.
Bonjour,
Merci pour votre interrogation. Cependant, vu le peu d’éléments que vous nous avez donné, il nous est difficile en l’état de vous apporter une réponse claire à votre problématique. Nous vous invitons ainsi à lire attentivement les conditions générales du site LesDocuments.fr. Vous devriez y trouver une réponse.
N’hésitez pas à revenir vers nous : nous restons à votre disposition.
L’équipe E-Cotiz
Bonjour
Le RGPD est-il de rigueur en communication interne au sein d’une association et plus particulièrement d’un membre du CA qui envoie des informations pratiques aux membres de l’association ??
Merci !
Bonjour. Merci pour votre demande. Le RGPD s’applique à tout type de structure, et donc également aux associations. A notre sens, la base du traitement qui peut s’appliquer ici est soit l’intérêt légitime soit le consentement.
Dans le premier cas, aucune restriction s’applique pour vous puisqu’on part du principe que vos adhérents vous ont volontairement donnés des informations personnelles lors de leur inscription/réinscription. Néanmoins, dans le deuxième cas, il est alors nécessaire pour vous de demander à l’ensemble de vos membres le consentement explicite à l’utilisation de leurs données personnelles.
Nous restons à votre disposition !
L’équipe E-Cotiz
Bonjour, lors des renouvellements de licence ou prise de nouvelles adhésions, une information doit elle être faite aux adhérents à ce sujet ?
Merci d’avance.
Bonjour,
La prise ou le renouvellement de licences se fait toujours à la demande de l’adhérent. Dans ce sens, aucune action d’information doit être réalisée envers ce dernier, puisqu’il est logiquement au courant de la situation. Vous pouvez cependant le tenir au courant de l’évolution de sa demande, bien entendu.
Nous restons à votre disposition si vous avez d’autres questions.
Bonne journée à vous,
L’équipe E-Cotiz
je suis président d’une petite association qui s’appelle « les sarments solidaires » .voir notre site : http://les-sarments-solidaires.saintmedardasso.fr/
j’ai un fichier excel avec un onglet par année ou les noms, prénoms ,N° de téléphone, adresse postale et adresse mail sont indiquées pour chaque adhérents.
Ensuite dans mes adresses mails, j’ai crée 2 groupes : celui des adhérents et celui des sympathisants avec l’adresse mail pour chaque personne.
Que dois je faire pour me mettre en conformité.
Merci pour votre réponse
Bonjour François,
Vu les éléments que vous nous avez communiqués, il nous est difficile de répondre en l’état. Par ailleurs, nous vous rappelons que nous ne sommes pas experts du sujet et nous vous invitons à consulter le site internet de la CNIL qui dispose des dernières ressources pour accompagner les associations dans leur mise en conformité.
Toutefois, nous pouvons tenter de vous aiguiller. La création de votre fichier Excel est un premier pas dans votre mise en conformité. Par la suite, nous vous invitons à créer et renseigner un registre des traitements (téléchargez ici un modèle de registre), rédiger une notice d’informations expliquant les tenants et aboutissants de la gestion des données personnelles de vos adhérents et sympathisants. Suite à cela, il ne tiendra qu’à vous de respecter les engagements que vous avez pris en la matière par la création des documents cités plus haut.
Nous restons à votre disposition pour plus d’informations.
L’équipe E-Cotiz
Bonsoir,
Faisant partie du bureau d’une association de GYM DOUCE nous avons donc collecté les données personnelles des adhérentes et adhérents aux fins d’envoyer les invitations et informations diverses et variées à chacune et chacun.
Au sein de notre association est employée notre animatrice de sport.
A ce jour elle exige d’avoir toutes les coordonnées personnelles, adresse, téléphone, mail,… pour dit-elle « prendre de leurs nouvelles car dans l’intérêt des adhérentes et adhérents c’est à moi seule que les personnes doivent m’informer .!!!
Les membres du bureau ont décidé dernièrement de ne pas accéder à sa demande mettant en avant la protection des données personnelles. Nous avons suggéré à l’animatrice qu’elle demande elle-même les adresses qu’elle souhaite aux différents adhérents.
Avons nous bien réagi ? Je redis bien l’animatrice est salariée de l’association.
Merci de votre rapide réponse.
Cordialement
Bonjour Françoise,
Merci pour l’intérêt que vous portez à notre article. Si l’animatrice de sport est salariée de votre association, alors sa demande est tout à fait légitime. Le responsable du traitement de ces données reste le bureau et/ou le président.
Le RGPD repose sur la notion de traitement. Ainsi, votre association doit définir la base légale du traitement : l’intérêt légitime ou le consentement. Si vous optez pour le consentement, pensez à systématiquement demander celui-ci sur vos formulaires de collecte de données. Quoi qu’il en soit, les données devront être stockées dans un fichier sécurisé (si vous utilisez un fichier Excel alors celui-ci devra être zippé et protégé par un mot de passe).
Vous devrez également définir un délai de stockage des données et vous assurer de la bonne mise à jour/modification/suppression des données le cas échéant. Veuillez également noter que toute personne demandant à avoir accès aux données personnelles que vous disposez sur elle a droit de regard et de suppression sur celles-ci.
Nous vous rappelons que nous ne sommes pas experts du sujet et nous vous invitons à consulter le site internet de la CNIL qui dispose des dernières ressources pour accompagner et guider les association dans leur mise en conformité.
Nous restons à votre disposition !
L’équipe E-Cotiz
Bonjour,
dans une association de 50 à 100 adhérents, pouvons nous confier les données informatiques à quelqu’un de l’extérieur ?
Cdlt
Bonjour Jacky,
Vous pouvez tout à fait déléguer la gestion des données de votre association tant que la personne en charge de cette gestion vous garantit la bonne conformité avec le RGPD du traitement de ces dernières.
Vous devez également préciser dans votre registre des traitements cette particularité quant à la gestion des données de vos adhérents.
L’équipe E-Cotiz vous souhaite une bonne fin de journée !
Maxime d’E-Cotiz
Bonjour,
Je suis président d’une association qui compte 250 adhérents, multi-activités avec pour certaines obligation de renouveler une licence annuellement, nous devons évidemment collecter les données personnelles, devons-nous faire remplir un bulletin d’adhésion chaque année? avec demande d’accord d’utilisation des données personnelles.
Merci
Bonjour Daniel,
Tout dépend de la base légale que vous optez pour ce traitement. Si vous partez du principe que dans ce cas, il s’agit d’un intérêt légitime, alors vous n’avez pas besoin de demander d’accord.
Par contre, si vous optez pour le consentement, alors oui vous devez obtenir chaque année le consentement des vos adhérents pour les données personnelles que vous souhaitez collecter.
Nous restons à votre disposition pour toute autre demande.
Bonne journée à vous,
L’équipe d’E-Cotiz
Bonjour
j’ai besoin d’avoir la confirmation de cette information : , on parle d’un délai de trois à partir du 25 mai 2018 pour la mise en conformité RGPD
Bonjour,
Je pense que vous avez oublié un mot ! Parlez-vous de 3 ans ? Merci à vous.
Cordialement,
L’équipe d’E-Cotiz
Bonjour,
Une association du personnel peut-elle se servir des données personnelles des agents adhérents au comité d’entreprise qui le précédait avant l’harmonisation suite à la fusion des régions ? Fonctionnaire territoriale, je suis en litige avec le président de cette amicale,
auparavant trésorier du Cos. Au moment de l’adhésion à l’amicale, nous avons découvert que c’était notre date de naissance qui nous permettait de nous connecter, puis que nos données étaient déjà enregistrées. le président estime qu’il avait le droit d’utiliser les fichiers du COS sans avoir à demander notre consentement. Je ne cautionne pas ce procédé, d’autant plus que nous n en avions pas été informés. Il est protégé par un élu et la hiérarchie mais je ne veux rien lâcher. Pouvez-vous me donner votre avis ?
Cordialement
Bonjour Sandrine,
Votre cas est intéressant. Etant donnée que nous ne sommes pas des experts du sujet, il est difficile de nous substituer à un expert du Règlement Général sur la Protection des Données (RGPD). Dans ce sens, nous vous invitons à vous rapprocher au plus vite du DPO (Data Protection Officer) de l’entreprise à laquelle est rattachée votre association. Les questions à se poser sont : une notice d’information (document régissant l’utilisation des données personnelles) a-t-elle été mise à disposition des adhérents de l’association en question ? Sinon, acceptez-vous des CGU ou une charte dans lesquelles seraient mentionnées les dispositions prises à l’encontre du RGPD ? En outre, une des dispositions première du RGPD est de prôner la transparence des données personnelles, et vous êtes légitime à demander des informations quant à ces faits que vous nous remontez. Néanmoins, concernant la notion de consentement, elle n’est en aucun cas obligatoire. Il s’agit là d’une base légale de traitement qui puerait tout aussi bien reposer sur l’exécution du contrat, l’obligation légale, l’exécution d’une mission d’intérêt public ou encore l’intérêt légitime. Enfin, vous êtes-vous renseigné sur le fait que ces données soient publiques ou non ?
Retrouvez olus d’infos ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2
Nous vous souhaitons une bonne journée !
L’équipe d’E-Cotiz
Bonjour
Nous sommes une chorale sous le régime associatif. Nous organisons tous les 2 à 3 ans un stage de chant. Pour cela nous contactons par mail d’anciens participants pour les informer de la tenue de ce stage et leurs données la possibilité de s’inscrire. Nous avons généralement 200 à 300 participants. Une participation financière est demandée essentiellement pour couvrir les frais de location de la salle et rémunération des animateurs. Nous avons jusqu’à présent stocké les données (noms prénoms adresse tel mails) sur un fichier Excel. Ces données ont été recueillies lors de précédentes inscription aux stages dont le dernier date de Mars 2018, ces personnes ne sont donc pas membres de notre association. Ce stockage est-il encore légal ? Est-il légal de refaire un mailing pour transmettre les bulletins d’inscription ? Sinon comment faire pour être dans la légalité ?
Bonjour,
Nous vous remercions pour votre message.
Tout dépend du motif de contact des anciens participants et si vous avez une preuve ou non de leur consentement.
En effet, la notion de RGPD repose beaucoup sur la capacité ou non de justifier que votre interlocuteur a donné son consentement pour l’utilisation de données personnelles.
Dans votre cas, vous pourriez recontacter vos participants si vous disposez de leur accord (lors du précédent stage, les participants avaient ils coché une case vous autorisant à leur envoyer les dates de vos futures stages ?). Cela peut se matérialiser par un accord via une case à cocher ou une réponse par oui ou non.
Dans le cas où vous ne disposeriez pas d’une preuve de consentement, vous avez la possibilité de les contacter pour un motif lié à l’intérêt légitime. Dans votre cas, cela semble légitime et pertinent. Autrement dit, vous considérez que ces participants, ayant déjà été intéressés par votre stage en 2018 pourraient avoir envie de revenir. De part l’activité de votre association, vous pouvez leur envoyer un mail pour leur proposer de revenir. Attention, nous vous conseillons d’insérer sur votre bulletin papier ou en ligne une case liée au RGPD.
Par exemple : Autorisez vous notre association à vous contacter lors des prochains évènements ?
Cette question peut paraitre anodine mais sa réponse vous permet d’appuyer encore plus votre légitimé à contacter des anciens participants qui ne seraient pas adhérents à votre association.
Avec le consentement, vous n’aurez rien à vous reprocher.
Pour finir, dans le cas où une personne refuse, vous devrez respecter son choix.
N’hésitez pas à revenir vers nous en cas de question ou pour nous préciser un petit plus votre fonctionnement à l’adresse support@joinly.com
Nous vous souhaitons une agréable journée
L’équipe Joinly.