Le 1er juillet, ASAH a organisé en collaboration avec Talents et Foi un Webinaire sur le RGPD, auquel une quarantaine de personnes ont assisté. Il a été animé par Justine Bertaud Du Chazaud et Erika Coursaux, deux juristes spécialistes des questions sociales et ressources humaines à la CNIL. Remi Collignon est également intervenu, en tant que Délégué à la Protection des Données (DPO) pour la Conférence des Évêques de France.
Ce Webinaire a permis de sensibiliser les représentants des associations membres au Règlement Général sur la Protection des Données, texte européen qui régule la circulation des données à caractère personnel. Nous avons pu aborder des questions telles que le cadre juridique de la gestion des données personnelles, la circulation de ces données entre les structures ou encore leur sécurité.
La CNIL… c’est quoi ?
La CNIL est une entité qui plane au-dessus de toute structure, privée comme publique, mais qui est finalement mal connue. Il s’agit de la Commission Nationale de l’Informatique et des Libertés. Quelques piqures de rappel sur son rôle et sur les contraintes en termes de gestion des données s’avèrent toujours utiles.
La CNIL est une autorité administrative indépendante, c’est-à-dire qu’elle ne reçoit aucune instruction des juridictions et autres pouvoirs. Elle veille à protéger le citoyen dans ses usages de l’informatique, et protège les libertés individuelles et publiques. La CNIL est l’instance qui veille à l’application du RGPD. Il s’agit d’un texte européen, né en 2016, qui définit les conditions de traitement des données à caractère personnel.
En quoi cela concerne mon association ?
Les structures collectent régulièrement des données privées : on appelle cela le traitement de données à caractère personnel. Il s’agit de toute opération ou ensemble d’opérations portant sur ces données, telles que l’adresse e-mail, l’adresse IP, le numéro de carte bancaire.
Néanmoins, ces données, par leur caractère privé et le cadre juridique qui s’y applique, nécessitent de grandes précautions. Premièrement, des principes légaux sont à respecter.
L’association doit en premier lieu déterminer la base légale, qui conditionne la licéité d’un traitement de données. Elle s’attache ensuite à respecter le principe de proportionnalité, de conservation limitée des données, de confidentialité. La finalité du traitement des données doit toujours être déterminée et explicite, et les personnes concernées disposent d’un certain nombre de droits. Le respect de ces principes est essentiel pour ne pas violer la vie privée des usagers. Il est par ailleurs essentiel de mettre en place des mesures de sécurité, d’utiliser des serveurs cryptés détenant les fichiers de données. Nous vous invitons à consulter le compte rendu du Webinaire ici pour en savoir davantage sur les précautions à mettre en œuvre.
Comment m’assurer que ma structure respecte le RGPD ?
Afin d’avoir une action juste au regard du RGPD, plusieurs instruments peuvent être mis en place par les associations. Le Délégué à la Protection des Données (DPO) est notamment une personne désignée pour faire l’interface et coopérer avec l’autorité, tout en assurant la bonne gestion interne des données.
Pour mettre en place un DPO dans ma structure, il est conseillé de commencer par compléter un formulaire sur le site de la CNIL. Il est possible de rédiger une convention de mutualisation si un DPO est sollicité par plusieurs structures. Il peut également s’agir d’un intervenant externe.
Deux autres outils suggérés par les intervenants sont le registre des activités de traitement, et l’analyse d’impact relative à la protection des données. Il s’agit de deux documents, le premier étant obligatoire. Enfin, une charte informatique peut également être un moyen de former ses bénévoles et rendre lisible l’application du RGPD au sein de la structure.
La CNIL finalise actuellement la production d’un guide de sensibilisation au RGPD, à destination des associations. Celui-ci sera partagé sur les réseaux sociaux dès son obtention. En attendant, vous pouvez consulter le compte-rendu du Webinaire ici ou bien le site de la CNIL.