Régime juridique
Le RGPD dans l'association
Application du RGPD
Fichier de données personnelles
Le règlement général européen sur la protection des données 2016/679 (RGPD), entré en vigueur le 25 mai 2018, s'applique à tout organisme qui manipule et traite des données personnelles, quelle que soit la taille de l’organisme ou son activité.
La plupart des associations collectent de nombreuses informations, parfois sensibles, concernant leurs adhérents, salariés, bénévoles ou donateurs et sont amenées à tenir des fichiers contenant des informations personnelles (les nom et prénom, l'âge, la profession...).
En pratique, chaque association doit donc respecter les exigences du RGPD ; cette obligation s'impose, que le traitement de données personnelles soit tenu de manière automatisée ou manuellement.
Respecter la loi « Informatique et libertés » et le RGPD. La loi 2018-493 du 20 juin 2018 puis plus récemment, la loi 2024-449 du 21 mai 2024 (et l'ordonnance 2024-1019 du 13 novembre 2024) ont modifié la loi 78-17 du 6 janvier 1978 dite « Informatique et Libertés » et l'ont adaptée au cadre européen du RGPD. Elles ne reprennent cependant pas dans sa totalité les dispositions du RGPD, ce règlement s'appliquant directement dans chaque État Membre. Ainsi, afin d'être en conformité avec les exigences de ce règlement, il convient de respecter la loi Informatique et Libertés et le RGPD.
Données sensibles
Ne doivent pas être mentionnées dans le fichier :
-les informations qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle ;
-les informations relatives aux infractions et condamnations ;
-le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou de sécurité sociale).
Néanmoins, ces informations peuvent être mentionnées dans le fichier, notamment si l'adhérent a donné son consentement explicite au traitement des données sensibles, si les données ont été au préalable rendues publiques ou si elles sont nécessaires pour des motifs d'intérêt public (RGPD art. 9, § 2).
Obligations de l'association
Tenir un registre de traitement des données
La tenue d'un registre de traitement des données est obligatoire pour les associations comptant au moins 250 employés. En deçà de ce seuil, il n'est obligatoire que si le traitement des données est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ou s'il n'est pas occasionnel (RGPD art. 30, § 5).
La notion de traitement occasionnel n'est pas définie. Dès lors, une périodicité annuelle est-elle occasionnelle ou non ? Cette incertitude conduit à recommander la tenue d'un registre aux associations de moins de 250 employés.
La tenue du registre permet de prouver la conformité des activités de l'association aux exigences du RGPD en matière de protection des données personnelles (entre autres la gestion de ses membres et donateurs). L'association peut ainsi présenter ce registre à la Commission nationale de l'informatique et des libertés (CNIL) en cas de contrôle.
Le registre recense les informations suivantes (RGPD art. 30, § 1) :
-les coordonnées du responsable du traitement des données ;
-la nature et la finalité poursuivie par le traitement ;
-les catégories de données personnelles collectées et utilisées ainsi que les personnes concernées ;
-les catégories de destinataires auxquels les données sont communiquées ;
-la durée de conservation des données ;
-une description générale des mesures prises afin de sécuriser le traitement des données ;
-le cas échéant, les transferts de données personnelles en dehors de l'Union européenne ou à une organisation internationale.
Finalité du traitement des données. Une association ne peut recueillir des données personnelles que dans un but précis (par exemple, la gestion administrative des donateurs au sein d'une association caritative). Autrement dit, il est interdit de collecter des données sans savoir au préalable l'usage qui en sera fait. Et les données collectées ne pourront pas être réutilisées dans un autre but que celui qui a été initialement fixé.
Faire régulièrement le tri dans les données. Le registre permet de vérifier régulièrement que (CNIL, guide de sensibilisation au RGPD pour les associations) :
-les données sont pertinentes et nécessaires à l'objectif poursuivi (par exemple, pour appliquer un tarif préférentiel, une attestation de quotient familial peut être demandée) ;
-les principes de confidentialité et de sécurité sont bien respectés (l'association doit limiter leur accès aux salariés et bénévoles en charge de les traiter) ;
-les données ne sont pas conservées plus longtemps que nécessaire (voir § 226).
Analyse d'impact. Certains traitements de données personnelles doivent respecter une contrainte particulière. Ainsi, si un traitement présente un risque élevé pour les droits et libertés des personnes fichées, une analyse d'impact relative à leur protection doit être préalablement réalisée (RGPD art. 35). La CNIL propose pour cela un outil d'analyse sur son site web : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.
Désigner un délégué à la protection des données
Le délégué à la protection des données (ou DPO pour data protection officer) a pour mission principale de veiller à la mise en conformité de l’activité de l’organisme aux exigences du RGPD. Il informe et conseille l'association et les salariés procédant au traitement des données et contrôle le respect du règlement en coopérant avec la CNIL (RGPD art. 38 et 39).
Sa désignation n'est obligatoire que si l’activité principale de l’organisme entraîne un suivi régulier de personnes, une utilisation régulière des données personnelles ou sensibles et un traitement de ces données à grande échelle (notamment dans les associations du secteur social et médico-social) (RGPD art. 37).
Obtenir le consentement des personnes fichées
Pour que le traitement des données personnelles d'un adhérent soit licite, le consentement de cet adhérent est obligatoire. Le consentement ne peut jamais être présumé.
Le consentement d'un adhérent au traitement de ses données doit être libre, spécifique, éclairé et univoque (RGPD art. 4 n° 11). On entend par spécifique le fait que le consentement ne peut être donné que pour un traitement précis et non de manière générale. La mention de demande de consentement est donc obligatoire sur tout formulaire d'adhésion, de don ou tout autre moyen de communication utilisé par l'association.
Pour recueillir le consentement explicite de ses membres, l'association doit :
-rédiger une demande claire de consentement ;
-demander activement le consentement (l'utilisation de cases pré-cochées est proscrite) ;
-conserver les preuves de la demande de consentement et du consentement donné par l'adhérent.
Si l'association omet de recueillir le consentement préalablement au traitement de données personnelles, elle s'expose à des sanctions (voir § 230).
Obligation de transparence. Les bulletins d'adhésion et les mentions légales présentes sur le site web de l'association doivent informer les adhérents sur la collecte, le temps de conservation et la finalité du traitement de leurs données ainsi que sur l'ensemble des droits qui leur sont conférés (sur ces droits, voir § 226).
La CNIL recommande d'indiquer l’identité du responsable de traitement, l’objectif poursuivi par le traitement des données et les droits des personnes concernées en fin de formulaire (bulletin d'adhésion, questionnaire...) et de renvoyer à une mention d’information complète sur le site internet de l’association (CNIL, guide de sensibilisation au RGPD pour les associations).
Prospection par Internet. L’envoi de prospection commerciale par internet est subordonné au recueil du consentement préalable des personnes fichées au moment de la collecte de leurs données. Si la prospection n'est pas de nature commerciale, la personne dont l'adresse de messagerie a été collectée doit être informée d'une future utilisation à des fins de prospection et doit être en mesure de s'y opposer de manière simple et gratuite à tout moment.
Par ailleurs, une association peut utiliser les données d'anciens adhérents pour effectuer des campagnes de relance d'adhésion. La CNIL recommande néanmoins de ne pas conserver les données au-delà de 3 ans ; pendant ce délai, la personne concernée doit pouvoir s'opposer lors de chaque sollicitation, de manière gratuite et simple, à l'utilisation de ses coordonnées (par exemple via un lien de désinscription) (CNIL, guide de sensibilisation au RGPD pour les associations).
Profilage et appel aux dons. Le profilage permet aux associations de rendre les appels aux dons plus efficaces. Cette technique consiste à utiliser les données personnelles d'une personne ou d'une catégorie de personnes afin de pouvoir les analyser et en prédire les préférences personnelles et le comportement. Toute personne a le droit de s'opposer à cette technique. Afin qu'une association puisse l'utiliser, elle doit informer préalablement les personnes concernées et leur proposer une intervention humaine afin de pouvoir exprimer leur point de vue et éventuellement leur opposition à ce traitement des données (RGPD art. 22).
Cookies et autres collectes sur internet. Lorsque l’association utilise, sur son site internet, des procédés de collecte automatisés (ex. : cookies, applets Java ou autres traceurs), les utilisateurs doivent être informés de la finalité de l’utilisation de ces procédés et doivent donner un consentement explicite préalablement à l'utilisation de tels procédés (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Ils doivent également être en mesure de retirer leur consentement, facilement et à tout moment.
La CNIL a adopté des lignes directrices concernant l'usage des cookies et autres traceurs. Les utilisateurs doivent notamment pouvoir refuser les cookies aussi facilement qu’il leur est proposé de les accepter. Ainsi, l’interface de recueil du consentement doit comprendre non seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ». La CNIL suggère, par ailleurs, que les sites internet, qui généralement conservent pendant une certaine durée le consentement des internautes à l'utilisation des traceurs, conservent également les refus pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites. En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation (CNIL, délibérations nos 2020-091 et 2020-092 du 17 septembre 2020 ).
Mécanisme du « double opt-in ». Certaines associations, lors d'une demande de consentement sur internet, appliquent le mécanisme du double opt-in : la demande de consentement est suivie de l'envoi par e-mail d'une demande de confirmation à l'adhérent, afin qu'il valide son consentement (par le biais d'un lien dans l'e-mail par exemple).
Sécuriser les fichiers
L’association est tenue de prendre toutes les précautions nécessaires afin de préserver la sécurité des données de ses adhérents et, notamment, d'empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Elle doit sécuriser le traitement des données personnelles de ses adhérents et notifier d'éventuelles violations à la CNIL et à la personne concernée (RGPD art. 32 à 34). Le RGPD rappelle qu'il est essentiel de minimiser les risques de fuite de données et de piratage. Pour garantir la confidentialité des données, il est donc imposé aux organismes traitant des données personnelles d'utiliser la pseudonymisation et le cryptage des données (RGPD art. 32, § 1-a).
Bonnes pratiques. Il est recommandé aux associations de sécuriser les postes de travail des salariés et bénévoles en mettant en place, pour chacun, un identifiant propre avec un mot de passe personnel suffisamment complexe, régulièrement mis à jour et stocké de façon sécurisée au sein du système d'information.
La CNIL rappelle, en outre, aux associations de bien fermer les armoires et bureaux à clé et de limiter les accès aux locaux et serveurs ainsi qu'aux documents papiers aux personnes en ayant nécessité.
Lors de la suppression des données personnelles conservées sur format papier, la CNIL préconise l'utilisation de conteneurs pour documents confidentiels ou de déchiqueteurs (CNIL, guide de sensibilisation au RGPD pour les associations).
Fuite de données. En cas de perte ou de divulgation de données (e-mails transmis aux mauvais destinataires, vols d'ordinateurs, ...), l'association doit documenter l'incident ; en cas de contrôle, ce document sera vérifié par la CNIL. En outre, si l'incident fait courir un risque pour les droits et libertés des personnes fichées, l'association doit en informer la CNIL dans les 72h (CNIL, guide de sensibilisation au RGPD pour les associations).
Association subventionnée. Une commune ne peut pas demander aux associations qu'elle subventionne de lui transmettre le fichier de ses adhérents (CNIL, guide de sensibilisation au RGPD pour les associations). En revanche, elle peut demander la copie certifiée du budget et des comptes de l'exercice écoulé, ainsi que la communication de tous les documents faisant apparaître les résultats de l'activité de l'association (voir § 368).
Droit des personnes fichées
De nombreux droits conférés aux personnes fichées
Les droits des personnes fichées sont les suivants :
-droit à l'information (voir § 227) ;
-droit d'accès à ses données personnelles (voir § 228) ;
-droit à la rectification des données personnelles (voir § 228) ;
-droit à la limitation du traitement des données personnelles (voir § 228) ;
-droit d'opposition au traitement des données personnelles (voir § 229) ;
-droit à l'oubli (voir ci-après) ;
-droit à la portabilité de ses données personnelles (voir ci-après).
Droit à l'oubli. Les données personnelles d'une personne ne peuvent pas être conservées indéfiniment, à moins qu'un texte légal ne l'autorise. C'est à l'association de définir une durée légitime de conservation des données en fonction de la finalité de leur traitement (RGPD art. 17). Elle peut pour cela suivre les recommandations de la CNIL, qui préconise, par exemple :
-de supprimer les données recueillies dans le cadre d'une prospection dans les 3 mois qui suivent l'absence de réponse à la sollicitation ;
-de supprimer les données d'anciens membres au plus tard 3 ans après la fin de l'adhésion.
Droit à la portabilité. Toute personne fichée peut demander à récupérer ses données pour les transmettre à une autre association de son choix. L'association ne peut pas s'y opposer et doit être en mesure de proposer un dispositif permettant la portabilité des données (RGPD art. 20).
Faciliter l'exercice des droits des personnes fichées. L'association doit permettre aux personnes fichées d'exercer facilement leurs droits à l'aide, par exemple, d'un formulaire de contact spécifique ou d'une adresse de messagerie dédiée. La CNIL recommande de mettre en place un processus interne permettant de répondre aux personnes concernées dans des délais courts, qui ne peuvent excéder 3 mois (CNIL, guide de sensibilisation au RGPD pour les associations).
Droit d'information des personnes fichées
Les personnes auprès desquelles sont recueillies les données personnelles doivent être informées (loi 78-17 du 6 janvier 1978, art. 116 ; RGPD art. 13) :
-de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
-le cas échéant, des coordonnées du délégué à la protection des données ;
-de la finalité poursuivie par le traitement auquel les données sont destinées ;
-du caractère obligatoire ou facultatif des réponses ;
-des conséquences éventuelles d'un défaut de réponse ;
-des destinataires ou catégories de destinataires des données ;
-de l'ensemble des droits qui leur sont conférés, notamment le droit d'accès et de rectification des données ;
-le cas échéant, d'un transfert des données envisagé hors Union Européenne ;
-de la durée de conservation des données dans le registre de l'association.
Les adhérents doivent connaître l'ampleur du traitement de leurs données personnelles ainsi que les risques et garanties liés au traitement, préalablement à la collecte des données afin de pouvoir donner un consentement clair et non équivoque au traitement des données. Les informations doivent donc être délivrées au plus tard au moment de la collecte des données par l'association (RGPD art. 13).
Droit d’accès
Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la confirmation que des données personnelles la concernant font, ou non, l’objet de ce traitement. Dans l'affirmative, l'intéressé a notamment le droit d'accéder aux informations relatives (loi 78-17 du 6 janvier 1978, art. 105 ; RGPD art. 15, § 1) :
-aux finalités du traitement, aux catégories de données personnelles traitées et aux destinataires, ou aux catégories de destinataires, auxquels les données sont communiquées ;
-à la durée de conservation envisagée des données ;
-à l'existence du droit de demander la rectification ou l'effacement des données, ainsi que du droit de demander une limitation du traitement de ces données ;
-au droit d'introduire une réclamation auprès de la CNIL ;
-à l'existence d'une prise de décision automatisée, y compris le profilage ;
-à la communication des données personnelles en cours de traitement ainsi que toute information disponible quant à l’origine de celles-ci.
Droit à une copie. Une copie des données à caractère personnel doit être délivrée à l’intéressé à sa demande. Il peut lui être réclamé le paiement d’une somme, mais celle-ci ne peut excéder le coût de la reproduction (RGPD art. 15, § 3).
Droit à la limitation du traitement. Toute personne fichée peut contester auprès de l'association l’exactitude des données la concernant ; l'association dispose alors d'un délai raisonnable pour procéder à la vérification des données. Pendant ce délai, la personne peut demander à l'association de geler ses données ; autrement dit, l'association devra les conserver sans pour autant pouvoir les utiliser le temps de la vérification (RGPD art. 18).
Droit à la rectification. Toute personne fichée peut demander la rectification des données la concernant à l'association, dans les meilleurs délais. Elle peut aussi demander que certaines données soient complétées au moyen d'une déclaration complémentaire (RGPD art. 16).
Possibilité de refus du responsable du traitement. Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées (RGPD art. 12, § 5, b).
Droit d’opposition
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant, y compris un profilage (RGPD art. 21, § 1). Est néanmoins laissée au responsable du traitement la possibilité de justifier le traitement des données par l'existence d'un motif légitime et impérieux qui serait de nature à prévaloir sur le droit d'opposition de la personne fichée.
Sanctions
L'association s'expose en cas de violation d'une des dispositions du RGPD à des amendes administratives pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires global, le montant le plus élevé étant retenu (RGPD art. 83). La CNIL tient compte de la gravité et de la nature de la violation pour décider du montant de l'amende.
De plus, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (RGPD art. 82, al. 1er). Le responsable du traitement peut s'exonérer de sa responsabilité que s'il parvient à prouver que ce préjudice ne lui est pas personnellement imputable.
Sanctions pénales. Des sanctions pénales sont également prévues en cas de violation des droits des personnes fichées ; elles sont listées dans le code pénal aux articles L. 226-16 à L. 226-24.
Ainsi, le fait pour une association de procéder ou de faire procéder, y compris par négligence, au traitement de données personnelles sans respecter les formalités préalables de rigueur (notamment obtenir le consentement de la personne concernée) peut être sanctionné principalement d'une amende pouvant atteindre 1,5 M €. La condamnation de l'association peut être publiée par voie de presse ou par tout autre moyen de communication électronique (c. pén. art. 226-16 et 226-24). Les mêmes peines sont prévues en cas de conservation des données au-delà de la durée nécessaire (c. pén. art. 226-20).
Transfert de données entre associations
Pas d'interdiction de principe
Les organismes à objet « caritatif », dont font partie les associations ou fondations faisant appel à la générosité du public, peuvent se transmettre entre eux, ou à des sociétés commerciales, les données de leurs donateurs à des fins de prospection dès lors qu'ils respectent le RGPD.
Les règles à respecter varient selon l'objectif caritatif (voir § 232) ou commercial (voir § 234) de la réutilisation des données transférées.
Sociétés commerciales. Les sociétés commerciales qui souhaitent céder ou louer des fichiers de prospects à des associations pour de la prospection caritative sont soumises aux mêmes règles (CNIL, la transmission de fichiers de donateurs ou de contacts entre associations et fondations, 20 juin 2022).
Prospection caritative
Informer les donateurs
Peu importe la forme de prospection choisie (par voie postale, par télécommunication ou par voie numérique), l'organisme qui transmet des informations sur ses donateurs ou autres contacts dans un but caritatif doit les informer au plus tard au moment de la collecte initiale de leurs données :
-de leur utilisation à des fins de prospection caritative ;
-de leur possible transmission à des partenaires du secteur caritatif à des fins de prospection caritative.
Opposition au transfert des données
Les personnes dont les données sont transmises à des fins caritatives doivent être en mesure de refuser l'utilisation de leurs données, de manière simple et gratuite, par exemple en cochant une case mise à leur disposition lors de la collecte des données, puis à tout moment (notamment lors de chaque contact).
La CNIL propose, sur son site internet, les deux modèles d'information suivants (CNIL, La transmission de fichiers de donateurs ou de contacts entre associations et fondations, 20 juin 2022).
|
Modèles d'information avec case à cocher |
|
|---|---|
|
Modèle 1 |
Modèle 2 |
|
« Je m’oppose à ce que mes coordonnées postales et/ou mon adresse électronique soient transmises aux partenaires [lien vers la liste des partenaires] de l’association A à des fins de prospection caritative par courrier postal et/ou par courrier électronique. » |
« Je m’oppose à recevoir des sollicitations à des fins caritatives de partenaires de l’association A par courrier postal ou courrier électronique. » |
Prospection commerciale
Si une association ou fondation faisant appel à la générosité du public souhaite transmettre les fichiers de ses donateurs pour de la prospection commerciale (par exemple dans le cadre d’un démarchage pour vendre des services en rapport à la responsabilité sociétale des entreprises - ou RSE - auprès d’entreprises), les règles applicables sont plus exigeantes.
Dans ce cas, les organismes doivent obligatoirement avoir recueilli le consentement explicite des donateurs préalablement à la transmission de leurs données, au moment de la collecte de leur adresse électronique (RGPD art. 7 ; c. postes et communications électroniques art. L. 34-5).
