Les associations sont soumises au RGPD
Toute association qui collecte et traite des donnees personnelles est soumise au RGPD, quelle que soit sa taille ou son domaine d’activite. La gestion des adherents, des benevoles, des donateurs, des beneficiaires ou des salaries implique necessairement le traitement de donnees personnelles.
Les petites associations beneficient d’une certaine souplesse dans les modalites de mise en conformite, mais les principes fondamentaux du RGPD s’appliquent a toutes : licéite du traitement, finalite determinee, minimisation des donnees, exactitude, limitation de la conservation et securite.
Les traitements courants des associations
La gestion des membres et des cotisations constitue le traitement le plus courant. L’association collecte les nom, prenom, adresse, email, telephone et informations de paiement de ses adherents. Ce traitement repose generalement sur l’execution du contrat d’adhesion ou sur l’interet legitime de l’association.
La communication associative (newsletter, invitations aux evenements, appels aux dons) doit respecter les regles de la prospection electronique. Les associations beneficient du regime B2B pour les communications a leurs adherents actuels, mais doivent obtenir le consentement pour prospecter aupres de personnes n’ayant pas de relation existante avec l’association.
Les associations intervenant dans le domaine social, sanitaire ou caritatif traitent frequemment des donnees sensibles : donnees de sante, donnees relatives aux opinions religieuses ou philosophiques, donnees sur la situation sociale. Ces traitements requierent une vigilance particuliere et doivent reposer sur une base legale specifique prevue a l’article 9 du RGPD.
Les obligations pratiques de mise en conformite
L’association doit tenir un registre des traitements documentant l’ensemble des traitements de donnees personnelles mis en oeuvre. Meme les associations de moins de 250 membres doivent tenir ce registre pour les traitements non occasionnels.
La designation d’un DPO est obligatoire pour les associations qui traitent des donnees sensibles a grande echelle ou dont l’activite implique un suivi regulier et systematique des personnes. Pour les autres associations, la designation d’un referent protection des donnees est recommandee.
Les durees de conservation doivent etre definies pour chaque categorie de donnees. Les donnees des anciens adherents doivent etre supprimees ou archivees apres un delai raisonnable. Les donnees des donateurs sont conservees conformement aux obligations fiscales (emission de recus fiscaux).
La securite des donnees associatives
Les associations sont souvent moins sensibilisees aux enjeux de cybersecurite. Pourtant, elles traitent des donnees personnelles qui meritent une protection adequate. Les mesures de securite de base doivent etre mises en oeuvre : mots de passe robustes, antivirus a jour, sauvegardes regulieres, chiffrement des donnees sensibles.
Le partage des fichiers d’adherents entre benevoles doit etre encadre. L’utilisation de tableurs partages sur des services cloud gratuits sans garanties de securite appropriees presente des risques significatifs. Les associations doivent privilegier des outils de gestion des adherents offrant un niveau de securite adequat.
