Collecte des informations et données personnelles

RGPD : collecte des informations et donnees personnelles

RGPD : de quoi parle-t-on ?

Qu'est-ce qu'une donnée personnelle ?

La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :

directement (exemple : nom, prénom),
ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN),
à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité. Cette notion est également très large.

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : tenue d’un fichier de ses adhérents, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc. Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Qu’est-ce que le RGPD ?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…). Ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Il est entré en application le 25 mai 2018.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Masquer

Les bons reflexes

Pertinence

Ne collectez que les données vraiment nécessaires : Quel est mon objectif ? Quelles données sont indispensables pour atteindre mon objectif ? Ai-je le droit de collecter ces données ? Est-ce pertinent ? Les adhérents concernés sont-ils d'accord ?

Transparence

Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les adhérents dont vous traitez les données.

Respect des droits

Vous devez répondre dans les meilleurs délais, aux demandes de rectification, consultation ou de suppression des données.

Maîtrise

Le partage et la circulation des données personnelles doivent être encadrées et contractualisées afin de leur assurer une protection à tout moment.

Gestion des risques

Identifiez les risques : vous traitez énormément de données ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s'appliquer.

Sécurité

Sécurisez vos données : les mesures de sécurité informatique mais aussi physique doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d'incident. Masquer

Passez à l'action en 5 étapes

1 - Désignez un pilote

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.

2 - Constituez un registre de vos traitements de données

Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble. Identifiez les activités principales de l'association qui nécessitent la collecte et le traitement de données.
(Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques d'adhésion, gestion des manifestations.......). Ce registre est prévu par l'article 30 du RGPD. Il participe à la documentation de la conformité.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

L’objectif poursuivi (la finalité - exemple : la fidélisation des adhérents),
Les catégories de données utilisées (exemple pour l'adhésion : nom, prénom, date de naissance, adresse, etc.),
Qui a accès aux données (le destinataire - exemple : trésorier, secrétaire, entraîneur, Conseil d'Administration, partenaires, hébergeurs.............),
,La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel et durée de conservation en archive).

Le registre est placé sous la responsabilité du président de l'association. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’association susceptibles de traiter des données personnelles. En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

3 - Faites le tri de vos données

La constitution du registre vous permet de vous interroger sur les données dont votre association a réellement besoin. Pour chaque fiche de registre créée, vérifiez que :

les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos adhérents ont des enfants de moins de 6 ans, si vous n’offrez aucune activité d'éveil de l'enfant),
vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter,
seules les personnes habilitées ont accès aux données dont elles ont besoin,
vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, améliorez vos pratiques : minimisez la collecte de données, en éliminant de vos formulaires de collecte et de vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre association. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications informatiques.

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (AIPD). Une AIPD est un outil d’évaluation d’impact sur la vie privée qui repose sur 2 piliers :

les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Une AIPD contient une description du traitement étudié et de ses finalités, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques.

4 - Respectez le droit des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (adhérents, salariés........). A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, bulletin d'adhésion...................) doit comporter des mentions d’information. Vérifiez que l’information comporte les éléments suivants :

pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l'inscription à une compétition),
ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »),
Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, la Fédération, le Comité Régional ou Départemental............),
Combien de temps vous les conservez (exemple : « jusqu'à la prochaine assemblée générale annuelle »),
Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal au Conseil d'Administration...........),
Si vous transférez des données hors de l’UE (ex : Camp FICEP, précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur une page "vie privée" sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence. A présent, permettez aux personnes d’exercer facilement leurs droits. Les personnes dont vous traitez les données ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos adhérents la possibilité d’exercer leurs droits à partir de leur compte. Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Soyez réactif : bien traiter les demandes des ahérents quant à leurs données personnelles c’est renforcer la confiance qui sécurise la relation du contrat d'association et mettre à l’abri de critiques sur les réseaux sociaux par exemple ou de réclamations auprès de la CNIL.

5 - Sécurisez vos données

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez. Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Des réflexes doivent être mis en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder. Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques. Exemple : vos adhérents vous communiquent leur adresse précise, si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre adhérent pendant ses horaires d'entraînements, si un fichier fait le lien entre ses données personnelles et ses activités horaires au sein de l'association.

Pour évaluer le niveau de sécurité des données personnelles dans votre association, voici quelques questions à se poser :

Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
Les accès aux locaux de l'association sont-ils sécurisés ?
Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Pour vous aider en cas de difficultés (un sinistre, une attaque informatique, etc.), le site gouvernemental www.cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés.

Cette démarche d’anticipation sur le niveau global de sécurité peut être complétée par une approche assurantielle. Renseignez-vous auprès de votre assurance sur le contenu possible des polices d’assurance (responsabilité civile, dommages couverts…) et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).

Si votre association a subie une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données), vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Masquer

Vous communiquez en ligne ?

Vous avez un site vitrine

Votre site présente votre activité et votre association. Vous proposez uniquement un formulaire de contact et éventuellement l’abonnement à une lettre d’information. L’idéal est de prendre en compte la protection des données dès la conception du site. Ainsi, par exemple, prenez bien soin que l’accès au contenu de votre site ne soit pas conditionné à l’abonnement à votre newsletter. Sur un site « vitrine », quelques réflexes de base sont à retenir. Il faut prévoir au minimum :

Des « mentions CNIL » en bas du formulaire de contact.
Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique.
Des mentions légales identifiant l’éditeur du site.

Exemple 1 : Si vous souhaitez faire apparaître toutes les mentions minimales d’information sur le support de collecte :

" Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par [identité et coordonnées du responsable de traitement] pour [finalités du traitement]. La base légale du traitement est [base légale du traitement]. Les données collectées seront communiquées aux seuls destinataires suivants : [destinataires des données]. Les données sont conservées pendant [durée de conservation des données prévue par le responsable du traitement ou critères permettant de la déterminer] ".

" Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données ". En fonction de la base légale du traitement, mentionner également : " Vous pouvez retirer à tout moment votre consentement au traitement de vos données " ou/et " Vous pouvez également vous opposer au traitement de vos données " ou/et " Vous pouvez également exercer votre droit à la portabilité de vos données ".

" Consultez le site cnil.fr pour plus d’informations sur vos droits. Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter (le cas échéant, notre délégué à la protection des données ou le service chargé de l’exercice de ces droits) : [adresse électronique, postale, coordonnées téléphoniques, etc.]. Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL ".

Distinguez dans le formulaire de collecte, par exemple via des astérisques, les données dont la fourniture est obligatoire de celles dont la fourniture est facultative et précisez les conséquences éventuelles en cas de non-fourniture des données.

Exemple 2 : Si vous souhaitez faire apparaître toutes les mentions minimales d’information sur deux supports différents

Sur le formulaire : " [Le responsable de traitement] traite les données recueillies pour [finalités du traitement]. Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, reportez-vous à la notice ci-jointe ". Distinguez dans le formulaire de collecte, par exemple via des astérisques, les données dont la fourniture est obligatoire de celles dont la fourniture est facultative.

Sur la notice : " Les informations recueillies dans le formulaire sont enregistrées dans un fichier informatisé par [identité et coordonnées du responsable de traitement] pour [finalités du traitement]. La base légale du traitement est [base légale du traitement]. Les données collectées seront communiquées aux seuls destinataires suivants : [destinataires des données]. Les données sont conservées pendant [durée de conservation des données prévue par le responsable du traitement ou critères permettant de la déterminer] ".

" Les données marquées par un astérisque dans le formulaire doivent obligatoirement être fournies. Dans le cas contraire, [préciser les conséquences éventuelles en cas de non-fourniture des données] ".

Vous communiquez sur les réseaux sociaux

Depuis Twitter, Facebook, et autres réseaux sociaux, prévoyez :

de rendre accessible un article ou un lien qui mène vers une page d’information sur les droits. Anticipez les effets d’une opération de communication en ligne (emailing par exemple).
Une réponse type aux internautes mécontents, qui exerceraient, par exemple leur droit d’opposition. La réactivité et l’efficacité de votre réponse contribuent à votre réputation en ligne (ou e-reputation).

Votre site dépose des cookies ou des traceurs publicitaires

Si lors de la consultation de votre site internet, vous déposez des cookies ou autres traceurs sur les outils utilisés par les internautes (ordinateur, tablette, smartphone, etc.), vous allez pouvoir analyser leur navigation, leurs déplacements et leurs habitudes de consultation. Selon l’objet du traceur que vous utilisez sur votre site, il est nécessaire, soit d’informer l’internaute de son existence (exemple : cookie « panier d’achat »), soit d’obtenir son consentement (exemple : cookie lié à une opération relative à la publicité) avant de déposer ou de lire le traceur sur son terminal.

Si votre site utilise des fonctionnalités offertes par d’autres sites (exemples : solutions de statistiques, boutons sociaux, vidéos provenant de plateformes tierces telles que Google, YouTube, Facebook, etc.), vous devez obtenir le consentement des visiteurs. Masquer

Informer ses adhérents clairement sur l’utilisation de leurs données et sur l’exercice de leurs droits

Une bonne information permet de savoir pour les adhérents comment les données vont être traitées, comment exercer leurs droits et donc décider s'ils vous confient ou non leurs données. C’est le premier baromètre pour déterminer le degré de confiance à accorder à une association.

Le règlement européen sur la protection des données a donc prévu d’améliorer l’information des personnes et de faciliter l’exercice de leurs droits.

Pour faciliter cet accès à l’information, les organismes publics et privés qui mettent les données des adhérents au cœur de leur activité disposent d’un délégué à la protection des données (DPO), un interlocuteur privilégié à contacter pour l’exercice des droits ou la remontée de dysfonctionnements.

Comment se caractérise ce droit d’information ?

L’information doit être concise et lisible et facilement accessible. Elle doit être rédigée de la manière la plus claire, précise et simple possible. Concrètement, un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité d’un réseau social ou d’une banque. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée. Avant de collecter les données, l'association doit donc faire preuve de transparence et permettre aux adhérents de savoir :

Pourquoi on collecte leurs données ?
Comment on sera amené à les utiliser ?
Comment ils peuvent maîtriser leurs données et exercer leurs droits ?

Une lecture doit suffire pour avoir un bon aperçu de l’utilisation qui sera faite des données. L'association doit donc proposer une notice d’information sur la protection des données. Cette page doit être accessible depuis la page d’accueil du site de l’association, s'il existe, sous un intitulé clair (« politique de confidentialité », « page vie privée », ou « données personnelles »). Celle-ci doit notamment informer sur :

les coordonnées du délégué à la protection des données de l’association ou d’un point de contact sur les questions liées à la protection des données personnelles,
l’utilisation qui sera faite des données,
ce qui autorise l’association à traiter ces données,
les tiers qui auront accès aux données,
la durée de conservation des données,
Les modalités d’accès aux droits et la possibilité d’introduire une réclamation à la CNIL,
L’utilisation des données hors de l’UE,
la base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.).

Selon le cas :

l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée,
le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat,
les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (exemple : prévention de la fraude),
le droit au retrait du consentement à tout moment,
la faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (exemples : clauses contractuelles types de la Commission européenne).

Et en cas de collecte indirecte effectuée par un partenaire commercial :

Les catégories de données recueillies,
La source des données en indiquant notamment si cette source est accessible au public.

Bien informer à tout moment surtout si la sécurité des données est compromise

Une association peut par erreur ou par négligence subir, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c’est à dire la destruction, la perte, l'altération ou la divulgation non autorisée de données concernant ses adhérents.

L'association doit signaler une violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés de ses adhérents. Si ces risques sont élevés, l’association doit également en informer le plus rapidement possible ses adhérents et leur adresser des conseils pour protéger leurs données (ex. modification du mot de passe, paramétrage vie privée …). Masquer

Les données de santé

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

En pratique, quels impacts ?

La notion de données de santé est désormais large. Elle est à apprécier, au cas par cas, compte tenu de la nature des données recueillies. Entrent dans cette notion trois catégories de données :

celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.

La loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. A titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.

N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (ex : une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres).

Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la sensibilité des données s’applique. La liste, ci-dessous, propose un aperçu des différentes législations susceptibles de s’appliquer (cette liste n’étant pas exhaustive, il est nécessaire de procéder à une analyse au cas par cas) :

loi Informatique et Libertés (art. 8 et chapitre IX) ;
dispositions sur le secret (art. L. 1110-4 du CSP) ;
dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du CSP) ;
dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
dispositions sur la mise à disposition des données de santé (art. L. 1460-1 et s. du CSP) ;
interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)…

Les données recueillies, en dehors d’un contexte médical (nombre de pas, poids, activité quotidienne…), par des outils de mesure de soi (montres, bracelets connectés, applications mobiles, etc.) sont-elles des données de santé ?

Tout dépend d’une part de la nature des données (un poids excessif peut révéler une obésité), d’autre part du croisement ou non de ces données à d’autres données révélant ainsi des informations sur l’état de santé de la personne.

L’information sur le handicap, contenue dans un traitement, est-elle une donnée de santé ?

Oui. Pour mémoire, constitue un handicap toute limitation d'activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d'une altération substantielle, durable ou définitive d'une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d'un polyhandicap ou d'un trouble de santé invalidant (art. L. 114 du code de l’action sociale et des familles).

L’information sur un taux d’invalidité, contenue dans un traitement, est-elle une donnée de santé ?

Oui, si le taux d’invalidité révèle que la personne est atteinte d’un handicap au sens de l’article L. 114 du code de l’action sociale et des familles.

L’information sur la prise en charge dans une structure de soins, contenue dans un traitement, est-elle une donnée de santé ?

L’information sur la prise en charge dans une structure de soins contenue dans un traitement constitue une donnée de santé, dès lors qu’elle donne une indication sur l’état de santé (ex : admission dans un établissement ou service hospitalier spécialisé).

Le codage CCAM (Classification Commune des Actes Médicaux) est-elle une donnée de santé ?

Oui, si l’information découlant de ce codage conduit à délivrer une information sur l’état de santé ou sur une prise en charge en lien avec une pathologie particulière.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est-il une donnée de santé ?

Non, le NIR n’est pas une donnée de santé, y compris lorsque celui-ci est utilisé comme identifiant national de santé.

L’aptitude à l’exercice d’une activité sportive est-elle une donnée de santé ?

Non, l’aptitude à l’exercice d’une activité sportive n’est pas en soi une donnée de santé. Néanmoins, si elle est associée et / ou croisée à d’autres informations comme les circonstances de délivrance du certificat, elle est considérée comme étant une donnée de santé. L’inaptitude à l’exercice d’une activité sportive est une donnée de santé.

Conformité

Le RGPD prévoit un allègement des obligations en matière de formalités préalables. La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs. En contrepartie de la suppression de certaines formalités, le responsable de traitement doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises (principe d’accountability).

Quels traitements de données de santé sont concernés par l’obligation de mener une analyse d’impact ?

Pour apprécier si le traitement présente un risque élevé, il convient d’examiner les critères suivants :

Le traitement comporte-t-il une évaluation relative à la personne concernée (ex : évaluation de l’état de santé) ?
Y-a-t-il une décision automatique avec effet juridique ou affectant la personne de manière significative ?
Une surveillance systématique est-elle mise en place (ex : dispositif de géolocalisation utilisé pour surveiller des personnes âgées ou des nourrissons) ?
Le traitement comporte-t-il des données sensibles (ex : données de santé) ?
Est-ce un traitement à grande échelle ?
Y-a-t-il un croisement de données ?
Le traitement concerne-t-il des personnes vulnérables (ex : patients, personnes âgées, etc.) ?
S’agit-il d’un usage innovant ?
Le traitement peut-il entraver l’exercice d’un droit ou l’exécution d’un contrat (ex : droit aux prestations sociales) ?

La Commission considère, de manière générale, qu’un traitement qui rencontre au moins deux des critères ci-dessus doit faire l’objet d’une analyse d’impact. Il sera cependant possible de s’écarter de cette recommandation dans certains cas de figure. Un responsable de traitement, bien que rencontrant deux des critères mentionnés ci-dessus, peut considérer qu’il ne présente pas de « risque élevé » ; il devra expliquer et documenter sa décision de ne pas procéder à une analyse d’impact en incluant, s’il a été désigné, l’avis du délégué à la protection des données (DPO). A l’inverse, un responsable estimant que son traitement présente un risque élevé, bien qu’il ne satisfasse qu’à un seul des critères ci-dessus, réalisera une analyse d’impact.

Les traitements, non soumis à l’analyse d’impacts, doivent respecter les principes de protection des données prévus à l’article 5 du RGPD (traitement loyal, licite et transparent des données, collecte des données pour des finalités déterminées, explicites et légitimes, minimisation des données, etc.) et les droits des personnes concernées. Masquer

Le délégué à la protection des données (DPO)

Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire pour :

Les autorités ou les organismes publics,
Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Il doit être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Les lignes directrices du G29 précisent que le délégué n’est pas responsable en cas de de non-respect du règlement. Ce dernier établit clairement que c’est le responsable du traitement (RT) ou le sous-traitant (ST) qui est tenu de s’assurer et d'être en mesure de démontrer que le traitement est effectué conformément à ses dispositions. Le respect de la protection des données relève donc de la responsabilité du responsable du traitement de l'information ou de son sous-traitant. Il n’est donc pas possible de transférer au Délégué, par délégation de pouvoir, la responsabilité incombant au responsable du traitement ou les obligations propres du sous-traitant. En effet, cela reviendrait à conférer au Délégué un pouvoir décisionnel sur la finalité et les moyens du traitement ce qui serait constitutif d’un conflit d’intérêts contraire à l’article 38.6 du règlement européen.

Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques, doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions. Il devra :

rassembler la documentation juridique essentielle,
organiser une veille,
vérifier que les personnes concernées peuvent facilement le joindre,
élaborer un plan de communication interne,
rencontrer les interlocuteurs internes,
cartographier les traitements,
prioriser les actions à mener,
gérer les risques,
organiser les procédures internes,
documenter la conformité,
structure et animer son réseau
sensibiliser les collaborateurs (reflexion globale, public cible, contenus thématique) Masquer

Radiation pour non paiement des cotisations

Si vous tenez un fichier d'exclusion, celui-ci ne doit concerner que les impayés avérés. L’impayé doit porter sur une somme d’argent : les listes d’exclusion recensant d’autres manquements, comme par exemple des propos déplacés sur un forum de discussion ou un manquement au contrat d'association ne constituent pas un impayé. Le fichier ne doit pas servir à détecter un risque d’impayé : vous ne pouvez pas y inscrire une personne qui, selon vous, est susceptible de ne pas vous payer à l’avenir. L’impayé doit être certain : il doit être incontestable que la personne vous doit une somme d’argent et son montant doit être déterminé.

Avant d’inscrire une personne sur une liste d’exclusion, vous devez réaliser des vérifications complémentaires (par exemple : envoyer des relances, demander à la personne d’expliquer pourquoi elle n’a pas été en mesure de payer, vérifier qu’il ne s’agit pas d’un malentendu, etc.). Ces vérifications ne peuvent pas se faire de manière automatisée : une intervention humaine avec la personne est nécessaire (par exemple : un échange doit avoir lieu, qu’il soit écrit ou oral, sur un support « papier » ou électronique, etc.). Dès que la personne régularise son paiement, c’est-à-dire qu’elle vous paie la totalité de la somme qui vous est due, vous devez effacer toutes ses données du fichier d’exclusion, il ne doit plus en rester aucune trace.

L’incident de paiement n’est partagé avec personne. Vous ne devez pas partager les données relatives au « mauvais payeur » avec d’autres associations.

Quelles précautions prendre au regard de la protection des données ?

Vous devez vous assurer que les obligations imposées par la loi Informatique et Libertés sont bien respectées. Vérifier la pertinence des données collectées. Vous ne pouvez inscrire que les données pertinentes parmi les suivantes dans votre fichier de mauvais payeurs :

le nom et le prénom de la personne concernée
son adresse et son adresse mail
son numéro de téléphone
son numéro d'adhérent
la date de l’inscription sur votre fichier d’exclusion.

Les personnes concernées doivent être informées au préalable de l’existence de ce fichier d’exclusion. Cette information se fait au moment où vous concluez un contrat avec elle (même oralement) ou au moment où vous collectez les données personnelles la concernant. L’information peut, par exemple, être donnée sur le formulaire du paiement, ou sur une page d’information sur votre site internet, par courriel ou par tout moyen. Il s’agit d’une information générale sur l’existence d’une liste d’exclusion et la possibilité que la personne y soit inscrite si elle ne remplit pas ses obligations de paiement.

En cas de survenance d’un impayé, la personne concernée doit par ailleurs être informée

au moment de la survenance de l’incident de paiement des moyens dont elle dispose pour régulariser son paiement (si par exemple vous lui donnez la possibilité de payer par chèque, par téléphone, ou en ligne…) ; et de la possibilité et des moyens dont elle dispose pour présenter ses observations et, le cas échéant, demander un réexamen de sa situation.
au moment de son inscription dans le fichier d’exclusion pour impayé, si elle n’a pas procédé à la régularisation du paiement.

La loi Informatique et Libertés accorde les droits suivants à la personne concernée :

elle peut être informée à tout moment des données que vous détenez sur elle dans votre fichier d’exclusion (droit d’accès) ;
elle peut également demander de rectifier ces données, comme par exemple un nom de famille erroné, ou une adresse postale incorrecte (droit de rectification) ;
elle peut s’opposer à ce qu’elle soit inscrite dans votre fichier d’exclusion (droit d’opposition). Attention, elle ne peut s’opposer à son inscription que pour motifs légitimes : elle doit être en mesure d’expliquer la raison pour laquelle elle considère qu’elle n’a pas à figurer dans le fichier. Même si elle s’y oppose, vous pouvez quand même conserver ses données dans son fichier d’exclusion mais vous devez lui expliquez pourquoi vous estimez que son opposition n’est pas légitime et lui indiquer quels sont les voies et délais de recours.

C’est à vous que s’adressera la personne concernée pour exercer ses droits d’accès, de rectification, d’opposition pour motifs légitimes. Vous devez donc lui indiquer clairement la manière d’exercer ces droits. Vous devrez être en mesure de prouver que vous avez apporté à la personne concernée une information concise, transparente, compréhensible et aisément accessible.

Les données ne peuvent être conservées dans un fichier d’exclusion que pendant une durée limitée. En cas de régularisation de l’impayé, les informations relatives à la personne concernée doivent être effacées du fichier au plus tard dans les 48 heures à partir du moment où la personne vous notifie qu’elle vous a payé la somme due. En cas de non régularisation, les informations ne peuvent être conservées dans le fichier que pour une durée limitée de 3 ans à compter de la survenance de l’impayé, sauf à justifier (par écrit et de manière étayée) de la nécessité de garder les informations plus longtemps.

Seuls certains employés spécialement habilités peuvent avoir accès aux données concernant les personnes inscrites dans un fichier de mauvais payeurs. Afin d’empêcher que des personnes non autorisées aient accès aux données, vous devez :

gérer de façon rigoureuse les habilitations et les contrôles d’accès aux données ;
définir une traçabilité des actions réalisées sur les données, pour se prémunir notamment contre les risques d’intrusion et de détournement ;
garantir la confidentialité, l’intégrité, et la disponibilité des systèmes d’information.

Si le fichier d’exclusion répond bien à toutes ces conditions, il suffit, avant de le créer et d’y inscrire des mauvais payeurs, d’effectuer une déclaration à la CNIL. Masquer

Zones bloc note et commentaires : les bons réflexes pour ne pas déraper

Le recours à l'utilisation de zones de commentaires libres n'est pas interdit, dans la mesure où il permet un suivi des dossiers d'usagers. Cependant, des règles strictes encadrent cette utilisation puisque ces commentaires peuvent concerner la vie privée des personnes. Ainsi, les informations renseignées ne doivent pas porter atteinte à l'image de la personne ou l'empêcher de bénéficier d'une prestation à laquelle elle peut prétendre.

Quelles-sont les règles à respecter et les bonnes pratiques à adopter en la matière ?

Règle n° 1 : informer les personnes concernées par la collecte de données personnelles : Le RGPD impose d’informer les personnes dès lors que leurs données sont collectées. Celles-ci doivent notamment être informées de l’identité de l’organisme, de la finalité du traitement des données les concernant et de la possibilité d’exercer leurs droits.

Règle n° 2 : penser au droit d'accès : Quand vous renseignez ces zones commentaires, ayez à l'esprit, que la personne concernée peut à tout moment exercer son droit d'accès et lire ces commentaires.

Règle n° 3 : être objectif, jamais excessif ou insultant : Les informations collectées sur les personnes doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement envisagé, qu'il soit automatisé ou au format papier. Les commentaires ne doivent donc pas être inappropriés, subjectifs et insultants.

Ainsi, il apparait légitime qu'une association identifie les adhérents dont la situation particulière justifie un échelonnement de paiements. Cependant, l'inscription des motifs est souvent non pertinente voire excessive. Par exemple, le commentaire "en instance de divorce", ou "adhérent au chômage" est considéré, dans certaines circonstances, comme inadéquat, non pertinent et excessif.

De même, il peut être nécessaire de faire état du comportement violent d'un adhérent. Pour autant, il ne faut inscrire que des mentions neutres et factuelles telles que "échange difficile" ou "risque de violence en cas de ......" en lieu et place de précision stigmatisante telle que "adhérent a pété un plomb".

Concernant les fichiers de recrutement, le code du travail impose que les informations recueillies sur un candidat à un emploi se limitent à l’appréciation de ses compétences et de ses aptitudes professionnelles à occuper le poste proposé. Des commentaires qui iraient au-delà de cette obligation légale seraient excessifs. Concernant les fichiers de gestion RH, si des sanctions disciplinaires ont vocation à s’appuyer sur des zones de commentaires, une consultation des instances représentatives du personnel et une information individuelle des salariés est nécessaire.

Règle n° 4 : attention aux données sensibles : Une attention particulière doit être portée aux données sensibles visées par l'article 9 du RGPD. Il s'agit par exemple des données relatives à la santé ou à la vie sexuelle des personnes. Ces informations ne peuvent être, sauf exceptions, renseignées qu'avec le consentement exprès des personnes. En l'absence de ce dernier, il faut se limiter à l'usage de termes neutres et objectifs tels qu'en matière de santé, "hôpital", "hospitalisation" ou "maladie longue durée" et ne pas préciser la pathologie précise affectant la personne concernée.

Une vigilance particulière doit également être apportée aux commentaires faisant apparaitre des infractions, condamnations et mesures de sureté. L'article 10 du RGPD prévoit en effet que seules certaines catégories de personnes, telles que les juridictions et autorités publiques, peuvent mettre en œuvre de tels traitements. Ainsi, les termes "maison d'arrêt" ou "centre de détention" peuvent être renseignés dans un champ "adresse" mais le motif de la condamnation ne doit pas être indiqué.

Règle n° 5 : sensibiliser les utilisateurs : La sensibilisation du personnel à la protection de la vie privée est indispensable. Elle peut prendre la forme de notes d'information, de messages d'alerte en cas d'utilisation des zones commentaires ou de formation. Le Délégué à la Protection des Données (DPD/DPO) peut aussi être un relais efficace en matière de formation en interne.

Règle n° 6 : utiliser des outils conformes au RGPD : La CNIL recommande de limiter le recours aux zones de commentaires libres et de favoriser l'utilisation de menus déroulants proposant des appréciations objectives. La réalisation d'audits réguliers et le recours à des outils automatiques vérifiant les mots contenus dans les zones commentaires doivent également être envisagés. Enfin, des extractions des commentaires peuvent être réalisées régulièrement pour s'assurer du respect du RGPD. Masquer

Objets connectés : n’oubliez pas de les sécuriser !

Les objets connectés sont des objets dotés de moyen de communication avec ou sans fil (Wi-Fi, Bluetooth, 3G, etc.). On peut désormais les retrouver dans tous les domaines : la domotique, le sport, le bien-être et la santé, les activités de loisirs, etc. Les premiers objets connectés de loisirs étaient essentiellement des bracelets ou de petits capteurs de type podomètre principalement destinés à mesurer le nombre de pas, les calories dépensées ou le sommeil.

Sont ensuite venus les montres connectées et les objets liés à l’habitat comme les ampoules ou les thermostats connectés, les modèles de drones pilotés par smartphone, qui sont souvent, de plus, dotés d’un appareil photo ou d’une caméra vidéo. Apparaissent également de nouveaux jeux et accessoires interactifs (gants, bracelets) qui proposent des activités mêlant le réel et le virtuel.

Ces objets peuvent être autonomes ou peuvent fonctionner avec un smartphone ou une tablette. Ce dernier sert de télécommande pour les contrôler directement ou servir de relais pour échanger des données sur Internet. Ces données sont alors consultables sur l’appareil mobile ou sur le service web de l’éditeur.

Comment protéger ses données personnelles dans cet "internet des objets" ?

Les objets connectés semblent anodins et s’intègrent facilement dans la vie quotidienne mais les données qu’ils traitent ne sont pas anodines. Il faut être vigilant sur la manière de partager et de donner des accès à ces données. La CNIL recommande ainsi :

de vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe,
de changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.),
de sécuriser l’accès par un mot de passe, l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté,
d’être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur votre santé ou sur vos enfants,
d’être attentif concernant votre vie privée et celle des autres si vous associez l’objet à des réseaux sociaux, notamment en désactivant le partage automatique des données,
de s’assurer de la possibilité d’accéder aux données et de les supprimer,
d’éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

Dans le cas des objets qui nécessitent l’ouverture d’un compte en ligne, il est recommandé :

d’utiliser au maximum des pseudonymes au lieu de vos véritables noms et prénoms,
de ne communiquer que le minimum d’informations nécessaires au service (par exemple, donnez une date de naissance au 1er janvier si le système a besoin de déterminer un âge),
de créer et de communiquer une adresse de messagerie différente pour chaque objet, chaque service en ligne, et d’éviter d’utiliser une adresse qui serait partagée par les personnes de votre foyer (famille.dupont@...),
de sécuriser l’accès au compte en ligne par un mot de passe fort et différent de vos autres comptes.

Avant la mise au rebut ou un changement d’utilisateur (revente, vol, etc.), pensez à :

supprimer l’association de l’objet avec vos différents comptes, notamment l’association avec les réseaux sociaux,
effacer les données sur l’objet et supprimer le compte en ligne s’il n’est plus utilisé,
utiliser la fonction « réinitialiser les paramètres d’usine » de l’objet si disponible.

Quels sont les risques sur la vie privée concernant les objets connectés ?

L’usage de votre objet connecté génère une grande quantité de données qui peuvent être stockées sur Internet (informations de profil, données liées à l’environnement, la localisation de l’utilisateur, au fonctionnement de l’objet, messagerie intégrée…). De plus, certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la « sécurité informatique ». Ceci aboutit parfois à des solutions techniques mal sécurisées : mots de passe non chiffrés, service web présentant des failles de sécurité qui laissent accéder à toute sa base de données…....

Le risque le plus important est la réutilisation malveillante des informations personnelles volées pour accéder à d’autres comptes en ligne de ces personnes, à des moyens de paiement ou à des demandes de crédits. Il faut donc, le plus rapidement possible, remplacer les mots de passe et les questions secrètes qui ont été révélés, et ce sur l’ensemble des services où ceux-ci seraient utilisés (banques, assurances, sites marchands, réseaux sociaux…).

L’autre risque majeur est celui d’actions ciblées de la part de personnes malveillantes (hameçonnage, harcèlement) touchant potentiellement des enfants et leur famille à travers des messages très personnalisés. Les messages reçus sur les adresses électroniques concernées par le vol devront être traités avec précaution, qu’ils semblent provenir d’amis, du fabricant ou d’organismes officiels. Avant d’ouvrir une pièce jointe, il faut bien vérifier la provenance et la légitimité du message, et à ne pas cliquer directement sur les liens proposés dans celui-ci. Enfin, plus généralement, il faut prendre en compte tous les risques liés à la diffusion d’informations personnelles sensibles (messages privés, photos personnelles, données touchant à la santé ou à la vie familiale). Demander la suppression de ces informations auprès des entreprises concernées, des réseaux sociaux et des hébergeurs, ainsi que leur déréférencement des moteurs de recherche. Ce droit de suppression doit s’exercer directement auprès des acteurs impliqués. En cas de difficulté, il est possible de s’adresser à la CNIL. Masquer

Droit à l'image

Le droit à l’image en France est régi par un principe général : « Chaque personne dispose d’un droit exclusif sur son image et peut de manière discrétionnaire en autoriser la reproduction ».

La règle générale est donc celle de l’interdiction de capter et de reproduire l’image d’une personne sans son autorisation. Celle-ci peut donc être demandée dans le bulletin d’inscription (lors de la création d’une licence FSCF, cette autorisation est demandée).

Le droit exclusif reconnu à chaque personne constitue un aspect du droit de la personnalité et vise à protéger chaque individu contre toute atteinte à son intégrité physique, intellectuelle, ou morale.

Le droit à l'image connaît certaines exceptions qui doivent être entendues strictement si bien que lorsqu'un doute subsiste l'autorisation expresse de l'intéressé sera sollicitée. Ces exceptions d'origine jurisprudentielles sont relatives pour l'essentiel au contexte dans lequel la captation de l'image a été réalisée et à l'objet de la prise de vue. Par exemple, il n'est pas nécessaire de requérir une autorisation :

Lorsqu'une image représente une personne de la vie publique dans l'exercice de ses fonctions ou de son activité professionnelle ;
Lorsqu'une image représente un groupe de personnes sur un lieu public sans qu'elle ne centre l'attention sur l'une ou l'autre d'entre elles (cependant, il doit s’agir d’un lieu public, il ne doit pas y avoir de cadrage restrictif et il ne doit pas y avoir d’atteinte à la vie privée, Article 9 du code civil)
Lorsque l'image de l'intéressé est liée fortuitement à un évènement d'intérêt général participant d'un sujet d’actualité et que ladite image ait pour objet central l’évènement en question. Ainsi par exemple, une vidéo captée dans un lieu privé accueillant du public où le sujet est clairement identifiable, dans ce cas, l’autorisation expresse est requise pour, par exemple, la publication de cette vidéo en ligne.

Responsabilité de l'association

Pour engager la responsabilité de l'association, la personne ayant réalisé et/ou utilisé les prises de vue doit avoir agi dans le cadre de fonctions ou missions confiées par l'association, et pour le compte de cette dernière. Par ailleurs, la responsabilité personnelle des dirigeants peut être engagée, notamment en cas de fraude ou d'infraction commise sciemment. Si l'association utilise des contenus sans avoir obtenu les autorisations préalables des personnes concernées (prise de vue et utilisation), elle peut engager sa responsabilité :

Sur un plan civil : l’association peut être condamnée à réparer le dommage causé du fait de la publication ou de la diffusion, notamment en retirant les photos ou vidéos litigieuses et en versant des dommages et intérêts.
Sur un plan pénal : pour des photos ou vidéos prises ou diffusées sans le consentement de la personne se trouvant dans un lieu privé, l'association encourt 45 000 € d'amende, l'interdiction d'exercer l'activité au cours de laquelle l'infraction a été commise, l'affichage ou la diffusion de la décision prononcée ;
Sur le plan pénal : le fait de publier le montage réalisé avec l'image d'une personne sans son consentement est puni jusqu'à 75 000 € d'amende s'il n'apparaît pas évident qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention.

L’autorisation de l’intéressé est donc essentielle, celle-ci doit établir clairement la durée d'utilisation de l'image, la nature des supports (web, presse, affiche, etc.), la finalité de cette utilisation (publicité, information, appel à dons, etc.), la gratuité (ou non) de cette utilisation......... Ces différentes conditions et limites doivent être respectées strictement. Masquer

Formulaire de recherche

Suivre la FSCF

S'inscrire à la newsletter

Vous êtes ici