Le règlement n°2016/679, dit règlement général sur la protection des données (RGPD) est un règlement de l’UE qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’UE. Ce règlement invite les entreprises et autres collecteurs de données personnelles à plus de transparence sur le traitement de ces données.
La notion de données personnelles est à comprendre de façon très large. En effet, une donnée personnelle se définie comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette personne peut être identifiée directement ou indirectement. L’identification d’une personne peut être faite à partir d’une seule base de données ou à partir du croisement d’un ensemble de données.
La notion de traitement de données personnelles est également une notion très large. Cette notion se définie comme une opération ou un ensemble d’opérations, portant sur les données personnelles, quel que soit le procédé utilisé. Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions. Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que l’on ne peut pas collecter et traiter des données personnelles simplement au cas où cela nous serait utile un jour.
Il faut donc déterminer qui est concerné par ce règlement européen ? Que faut-il faire pour se mettre en conformité ?
Qui est concerné par le RGPD?
Le RGPD ne fait pas de différence entre les organismes. Ainsi, ce règlement s’applique à toute organisation publique ou privée quelle que soit sa taille, son pays d’implantation et son activité qui traite des données personnelles pour son compte ou non dès lors :
- Qu’elle est établie sur le territoire de l’UE,
- Ou que son activité cible directement des résidents européens.
Toutes les structures FSCF sont donc soumises au RGPD, que ce soit une association, un comité (départemental ou régional).
que faut-il faire pour se mettre en conformité ?
Constituez un registre de vos traitements de données.
Ce document permet de recenser tous les fichiers et d’avoir une vision d’ensemble. Dans un premier temps il faut identifier les activités principales de votre association qui nécessitent la collecte et le traitement de données (licence, inscriptions compétitions, palmarès, etc).
Créez une fiche pour chaque activité recensée en précisant :
- L’objectif poursuivi
- Les catégories de données utilisées
- Qui a accès aux données
- La durée de conservation de ces données
Le registre est placé sous la responsabilité du président de l’association.
Cette première étape vous permettra d’avoir une vision d’ensemble sur vos traitements de données.
Faire le tri dans vos données.
En constituant le registre, cela vous permet de vous interroger sur l’intérêt de telle ou telle base de données en fonction de vos besoins. Est-ce que toutes les données que vous collectez sont nécessaires ?
Pour chaque fiche de registre créée, vérifiez que :
- Les données traitées sont nécessaires à vos activités
- Vous ne traitez aucune donnée dite sensible, ou si c’est le cas, que vous avez bien le droit de les traiter.
- Seules les personnes habilitées ont accès aux données dont elles ont besoin
- Vous ne conservez pas les données au-delà de ce qui est nécessaire.
Respectez les droits des personnes.
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données.
A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc) doit comporter des mentions d’information.
Il faut donc vérifier que l’information comporte les éléments suivants :
- Pourquoi vous collectez les données.
- Ce qui vous autorise à traiter ces données (c’est le fondement juridique, il peut s’agir tout simplement du consentement de la personne).
- Qui a accès aux données
- Combien de temps vous les conservez
- Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits
Il faut permettre aux personnes d’exercer facilement leurs droits. Les personnes dont vous traitez les données ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Les personnes doivent donc avoir les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site internet, prévoyez un formulaire de contact spécifique, un numéro de téléphone, etc. Si les personnes ont un compte en ligne, il faut que les titulaires du compte puissent exercer leurs droits à partir de celui-ci.
Prévoir une procédure interne qui permet le traitement des demandes dans un délai relativement court (1 mois au maximum).
Sécurisez vos données.
Le risque zéro n’existe pas en informatique, il est donc nécessaire de prendre les mesures nécessaires pour garantir au maximum la sécurité des données. Vous êtes tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.
Les mesures relatives à la sécurité des données dépendent bien évidemment de la sensibilité des données qui sont traitées et des risques qui pèsent sur les personnes en cas d’incident.
Le cas de lolit@
En tant qu’association affiliée, comité départemental ou comité régional de la FSCF, vous êtes amenés à utiliser lolit@, le logiciel de gestion des licences et affiliations de la fédération.
En créant une licence ou sur la page d’une association vous renseignez des données personnelles. Cependant nous tenons à vous rappeler que cette base de donnée appartient à la Fédération Sportive et Culturelle de France. Vous n’avez donc pas besoin de protéger cette base donnée, puisque vous n’en êtes pas les propriétaires.
En revanche, toute extraction de Lolita que vous utilisez dans votre association ou structure, en la complétant par d’autres données concernant vos adhérents (ex : montant de cotisation, mode de paiement, …), constitue une base de données dont vous êtes les propriétaires.
Vous trouverez en téléchargement ci-dessous, le glossaire édité par la CNIL, afin de comprendre tous les termes techniques. Vous pouvez consulter le site de la CNIL, ce qui vous permettra d'en apprendre plus sur la RGPD.
(Source : CNIL)