Les associations qui collectent des informations personnelles sur leurs membres, bénévoles, adhérents sont concernées !

Le Règlement Général sur la Protection des Données (RGPD) rentre en application le 25 mai 2018. Il renforce les obligations des acteurs traitant des données personnelles et s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu’elle est établie sur le territoire de l’Union européenne ; que son activité cible directement des résidents européens.

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». La RGPD s’applique aussi bien aux données papier qu’aux données numériques.

Il faut comprendre les notions clés du RGPD. En effet, collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce que vous faites de leurs données et de respecter leurs droits. En tant que responsable d’un traitement de données, vous devez prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée des personnes concernées.

https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes

Par où commencer ?

Voici les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.

Connectez-vous à la CNIL.

https://www.cnil.fr/fr/rgpd-par-ou-commencer

Ainsi, les organismes concernés doivent, à la date du 25 mai 2018, avoir au moins entrepris les actions nécessaires à la mise en conformité de votre base de données. En cas de contrôle, ils doivent être en mesure de présenter leur plan d’action et montrer les premières étapes mises en place pour être en conformité.

Etre en conformité avec le RGPD, qu’est-ce que cela veut dire ?

Cela signifie qu’il faudra dorénavant et pour les informations personnelles déjà stockées :

  • Demander et sauvegarder le consentement des personnes pour le traitement des données les concernant.
  • Informer la CNIL et les personnes concernées (dans les 72 heures) si leurs données personnelles ont été piratées dans votre base.
  • Collecter uniquement les renseignements dont vous avez besoin.
  • Laisser la possibilité aux personnes, dont les données sont collectées, de connaître les éléments que vous conservez sur elles.
  • Tracer l’ensemble des documents mis en place servant au traitement des données personnelles.