Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La loi n° 2018-493 du 20 juin 2018 et le décret du 1er août apportent différentes précisions quant à sa mise en application. Bonne nouvelle : bon nombre des règles appliquées par les associations avant mai 2018 sont directement réutilisables.
Le RGPD s’appuie sur quelques grands principes, notamment celui de la responsabilité personnelle du dirigeant – sanctions à la clé. Les infractions sont sanctionnées graduellement et en fonction de leur gravité. Avertissement d’abord, amendes qui peuvent être très élevées ensuite : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Conseil n° 1 - Repenser les processus
Le RGPD oblige à envisager son action en termes de risques potentiels sur les données personnelles, afin que leur protection soit inscrite dans l’ADN-même de l’association. Car, avec le RGPD, c’est l’utilisateur qui reprend la main : il doit pouvoir contrôler toutes les données personnelles le concernant, directement ou indirectement. Les données dites « sensibles » (santé, race, religion, etc.) font encore l’objet de protections supplémentaires. Conséquence sur le plan organisationnel : le projet RGPD consistera à maîtriser le cycle de vie des données afin de permettre à l’utilisateur d’exercer ses droits à tout moment, dans le respect des principes édictés. Il va souvent falloir repenser les processus en profondeur. Une telle révolution ne se fera pas en un jour. La Cnil en a bien conscience, mais elle entend que chacun se mette en chemin rapidement et soit capable de démontrer les efforts consentis.
Conseil n° 2 - Désigner un pilote
La mise en conformité est essentiellement organisationnelle, en mettant en place des outils et de bonnes pratiques au sein de l’association. Les déclarations à la Cnil ne sont plus obligatoires, mais en cas de contrôle, vous devrez pouvoir justifier de toutes les mesures prises pour protéger et tracer les données. Le constat est unanime : le projet démarre lorsque les responsables ont pris conscience des risques personnels qu’ils encourent. Une fois le processus enclenché, la première chose à faire est de désigner un « pilote » qui prendra les premières décisions en attendant la nomination éventuelle d’un chef de projet (ou délégué à la protection des données, DPD). Ce point acquis (une consultation juridique aidera), il faudra organiser au moins une réunion d’information des parties prenantes (permanents, bénévoles) afin de leur expliquer la logique du règlement, le déroulé du projet, etc.
Le DPD : en avoir ou pas ?
La nomination d’un DPD n’est obligatoire que lorsque les activités de base de l’association nécessitent un suivi régulier et systématique à grande échelle des données (article 37 sur RGPD). Mais ne pas avoir de DPD ne vous exonère pas du respect de la loi !
Si l’association peut se le permettre, nommer un DPD peut lui être très utile. Il agit comme une autorité indépendante et il est l’interlocuteur privilégié de la Cnil. Outre le maintien du registre des traitements, il vous conseille au quotidien. Peut-on transmettre tel ou tel listing à une autorité qui en fait la demande ? Faut-il redemander le consentement des prospects ? Combien de temps conserver les données des personnes aidées ?
De plus en plus de cabinets ou de centres de gestion offrent des services de DPD externalisé. Après la phase active de formation et de construction du registre des traitements, sa mission peut être réduite à quelques heures de consultation par mois, donc à budget moindre (à partir de 1 500 € par an).
Conseil n° 3 - Lister les traitements
Pour avoir une vision d’ensemble, votre pilote pourra recenser vos données en mettant en place un registre listant vos traitements de données. Quelles sont vos principales activités qui nécessitent la collecte et le traitement de données ? Par exemple : formation, gestion des donateurs, bulletin de paie, etc. Un modèle de registre est disponible sur le site de la Cnil. Vous devrez créer une fiche documentaire pour chaque processus utilisant des données personnelles (dans la même logique que les déclarations préalables, qui ne sont plus obligatoires). Cela peut devenir compliqué si votre activité est multiple et implique le partage d’informations entre les services, ou avec des partenaires. Il faudra identifier la nature des données personnelles capturées en fonction de la finalité du traitement : sur papier, vocales ou informatiques ? S’agit-il de données sensibles (sont-elles indispensables pour la mission) ? Quelle est leur durée de rétention, qui est habilitée à les consulter ?
Conseil n° 4 - Être transparent
Que vous ayez un DPD ou non, une des premières actions à mettre en place est de vous assurer que votre site web et vos documentations permettent facilement aux utilisateurs de demander l’accès ou la modification de leurs données personnelles. On indiquera au minimum une adresse mail de contact. Il est aussi recommandé de publier ou de faire référence à une « charte » indiquant quelles données vous recueillez, dans quel but, à qui vous pourriez les communiquer, et comment vous conservez ces données. Cette charte sera complétée au fur et à mesure que vous avancerez dans le projet RGPD. Il sera indispensable de demander clairement le consentement des utilisateurs, si vous capturez des informations sensibles.
Conseil n° 5 - Sécuriser l’infrastructure
L’association est juridiquement responsable des moyens qu’elle met en œuvre pour protéger physiquement et techniquement les données personnelles. Les collectivités publiques et les grands donneurs d’ordres font désormais de ces garanties des conditions indispensables à la contractualisation. Il faut définir et appliquer une politique de sécurité : comment les mots de passe sont-ils gérés ? Qui a accès à quoi ? Comment les données sont-elles archivées ? Vu la complexité informatique, mieux vaudra souscrire des abonnements auprès de fournisseurs cloud ou Saas – en leur demandant de fournir les rapports d’audit et les certifications adéquats !
Conseil n° 6 - Gérer ses partenaires
Un volet à ne pas négliger est celui des relations avec les sous-traitants. Même si elle externalise une partie importante de son action, l’association reste la responsable ultime vis-à-vis des
personnes protégées. Elle doit s’assurer que son sous-traitant lui permet de respecter la loi ; par exemple de lui signaler immédiatement une fuite de données. C’est aussi le cas lorsqu’elle
échange des données avec d’autres partenaires : il faudra alors essayer de déterminer le plus clairement possible qui est responsable de quoi. Il ne faut donc pas attendre pour relire les
principaux contrats : renégocier avec un fournisseur important peut prendre du temps.
Écrire commentaire