31 mars 2021

Quelles sont les règles applicables en matière de RGPD pour les associations?
Temps de lecture : 5 min

Marion Cluptil
Diplômée d’un Master 2 en Droit, rédactrice juridique indépendante.

Besoin d'en savoir plus?

Le RGPD est entré en vigueur le 25 mai 2018 en France afin de protéger la vie privée des particuliers. Les mesures visent principalement les entreprises, mais les associations doivent aussi le respecter.

Quelles associations sont concernées? Quelles sont leurs obligations vis-à-vis du RGPD? Vous avez créé une association et vous souhaitez en savoir plus sur les règles applicables aux associations en matière de RGPD? Nous vous expliquons tout.

Qu’est-ce que le RGPD?

Le Règlement Général sur la Protection des Données (RGPD) régit le traitement et la circulation des données personnelles relatives aux personnes physiques dès lors qu’elles sont identifiées (par leur nom ou prénom) ou identifiables (par leur numéro de téléphone, photographie, numéro d’immatriculation, etc).

Les règles mises en place ont vocation à s’appliquer dans tous les pays membres de l’Union européenne.

Le RGPD vise à imposer une réglementation unique pour la protection des données personnelles. L’accent est particulièrement mis sur le consentement

A ce titre, plusieurs mentions légales pour le RGPD en association ont été mises en place.

Quelles associations sont concernées par le RGPD?

Toutes les structures qui recueillent des données personnelles sont soumises au RGPD. Ainsi, le RGPD concerne les associations loi 1901 dès lors qu’elles collectent, stockent, ou utilisent des données à caractère personnel sur leurs adhérents ou les participants à un événement.

Cela revient à dire que toutes les associations - même les plus petites - doivent respecter les règles établies par le règlement européen puisqu’il semble inévitable d’avoir a minima un fichier réunissant la liste des adhérents et leurs coordonnées. D’autant que cela vaut aussi bien pour une base de données informatiques comme un fichier Excel, que pour une liste sur un carnet ou un livre de comptes.

Bon à savoir: en cas de contrôle de la CNIL, l’association doit être en mesure de présenter un plan d’action et de démontrer que les premières actions ont bien été initiées.

RGPD et association: quelles obligations?

Pour être en conformité avec le RGPD, une association sportive n’a plus l’obligation de déclarer son fichier des adhérents à la CNIL. Cependant, elle est l’unique responsable des données personnelles, c’est-à-dire l’ensemble des “informations se rapportant  à une personne physique identifiée ou identifiable”, qu’elle recueille et traite. C’est pourquoi, l’association doit se conformer à de nombreuses règles.

Tout d’abord, même pour collecter le nom et le prénom d’une personne, le RGPD impose à l’association d’obtenir son consentement. Cela implique d’informer la personne de l’utilisation qui sera faite de ses données personnelles. 

L’obtention du consentement sera d’autant plus importante si l’association utilise des données à caractères sensibles, c’est-à-dire qui concerne par exemple la religion, l'ethnie ou l’orientation sexuelle. Cette possibilité est réservée à un nombre restreint d’associations.

Par ailleurs, l’association doit se contenter de recueillir les informations strictement nécessaires à son activité. Elle doit pouvoir en justifier. 

En effet, l'association soumise au RGPD doit tenir un registre dans lequel la personne chargée de la gestion des données personnelles est identifiée. De plus, on retrouve dans ce registre les consignes sur la collecte, le stockage et le traitement des données des bénévoles et des adhérents, ainsi que le but du traitement, le type de données à collecter et pourquoi.

A noter: en cas de piratage de sa base de données soumises au RGPD, l’association a un délai de 72 heures pour informer les personnes concernées.

Par ailleurs, les personnes dont les données personnelles voire sensibles sont collectées peuvent exercer leur droit à:

  • la portabilité afin de récupérer l’ensemble des données collectées le concernant pour les conserver lui-même ou les transmettre à un tiers;
  • l’opposition en refusant que ces données personnelles soient utilisées;
  • l’effacement et à l’oubli pour que la totalité de ses données soient définitivement supprimées.

C’est pourquoi il est primordial d’obtenir le consentement clair des personnes concernées par le traitement de leurs données personnelles et il convient de conserver cet accord.

Quelles sont les bonnes pratiques RGPD pour les petites associations?

Pour une association loi 1901, le RGPD peut être contraignant surtout s’il s’agit d’une petite structure.

Voici donc quelques bonnes pratiques à mettre en place pour faciliter la gestion des données personnelles essentielles pour l’activité de l’association tout en respectant le règlement européen:

  • désigner un délégué RGPD qui est l’interlocuteur privilégié avec la CNIL. Il a pour rôle d’organiser la gestion des données personnelles, mais aussi de veiller au respect des règles à appliquer;
  • trier les données pour ne garder que celles strictement utiles au fonctionnement de l’association. Ce sera notamment le cas des noms, prénoms et adresses des adhérents afin de leur envoyer la convocation à l’assemblée générale d'association;
  • crypter les données;
  • mettre régulièrement à jour l’antivirus sur ses ordinateurs;
  • adapter les formulaires complétés par les bénévoles et les adhérents afin de recueillir leur consentement et les informer de l’utilisation qui pourra être faite des informations recueillies;
  • tenir à jour le registre qui centralise la documentation relative au respect du RGPD en association.

En pratique: si l’association a un site internet, plusieurs mentions légales pour le RGPD doivent être mises en place. La CNIL met à disposition des modèles de mentions légales sur son site internet pour se conformer au RGPD et qui sont valables pour les associations. Aussi, il est courant de mettre en place une politique de confidentialité dédiée aux données personnelles afin d’informer les utilisateurs sur l’utilisation de leurs données. Enfin, il est également recommandé de mettre en place une charte sur le respect de la vie privée, notamment si votre association à vocation à collecter des données importantes. 

RGPD et association: quelles sanctions en cas de non-conformité?

Si l’association ne respecte pas les règles mises en place par le RGPD, elle s’expose à des sanctions administratives voire pénales.

Ainsi, en cas de contrôle, l’association peut recevoir:

  • un avertissement ou une mise en demeure avec rappel à l’ordre;
  • une injonction de cesser le traitement;
  • une limitation ou une suspension des flux de données;
  • un ordre d’effacer les données recueillies illicitement;
  • un ordre de respecter les droits des personnes.

Elle peut également se voir appliquer une peine d’amende dont le montant peut atteindre plusieurs millions d’euros selon la gravité de l’acte commis.

D’autre part, en cas de non-respect du RGPD, l'association s’expose à des poursuites judiciaires, et notamment à une action collective initiée par les victimes.

Le RGPD s’applique donc à toutes les associations, quelle que soit leur taille ou leur objet social. Il est important de veiller au respect des règles imposées par le règlement européen afin d’éviter toute sanction.

Mise à jour: 31/03/2021

Rédaction: Marion Cluptil, diplômée d’un Master 2 en Droit, rédactrice juridique indépendante.

Besoin d'en savoir plus?

Recevez gratuitement les meilleurs articles de la catégorie RGPD

Recevoir les articles