Le wikitrux pour les associations

Le wikitrux pour les associations est la synthèse de 3 ateliers réalisés en janvier et février 2021 dans le cadre des Human Tech Days soutenus par la région Centre-Val-de-Loire, en partenariat avec la Maison des Associations de la ville de Tours, la Maison de la Transition à Chateauneuf-sur-Loire, Vend’Asso à Vendôme, la Ligue de l’Enseignement et le CRIB du Loir-et-Cher.

Si la base légale du traitement des données est l’intérêt légitime, est-ce que cela dispense de l’obligation de demander le consentement ?

Un traitement de données se fonde sur une base légale. Si vous repérez deux bases légales, c’est sûrement qu’il y a deux traitements distincts. C’est pourquoi, si le fondement légal identifié est l’intérêt légitime, alors le consentement n’est pas requis.

Exemple

Les preuves de consentement sont conservées, ainsi que les données personnelles mentionnées sur ces preuves : c’est un intérêt légitime pour prouver, si cela est nécessaire, du bon traitement des données à caractère personnel au sein de l’association.

Et est-ce que cela dispense de l’obligation d’informer ?

L’information aux personnes concernées est un principe transversal, à toutes les étapes de la mise en œuvre du RGPD. Cela correspond à l’obligation de transparence.

Donc si le fondement légal est l’intérêt légitime, l’association doit quand même informer les personnes ?

Oui, elle doit expliquer la finalité et la durée du traitement des données de la personne, la façon dont ses données seront traitées, et rappeler les modalités pour exercer son droit d’accès, de rectification et de suppression.

Cela en fait des informations à fournir ! Qui peuvent se cumuler, se croiser ! Comment faire pour que cela ne soit pas compliqué à mettre en œuvre au sein de l’association ? Et pour que cela ne soit pas compliqué à comprendre pour les adhérents à qui on va expliquer toutes ces références qu’ils ne connaissent sans doute pas !

La compréhension du RGPD est pour toutes et tous une démarche qui demande de la pédagogie pour en comprendre l’intérêt, les enjeux.

Est-ce qu’on peut tout expliquer dans un document ?

C’est une bonne pratique, en effet. Vous pouvez résumer l’ensemble du processus prévu par l’association dans une fiche synthétique remise à l’adhérent : avec toutes les informations et explications pour contextualiser et faciliter la compréhension des droits de chacun. Auprès des membres actifs de l’association, si vous disposez d’un outil tel qu’un cloud, vous pouvez y rassembler toutes les ressources utiles de façon synthétique. Ensuite, vous pourrez continuer d’informer les personnes au-fur-et-à-mesure : un rappel des coordonnées des personnes à contacter dans une signature de mail, au moment du renouvellement d’un consentement, etc.

Il faut être sure que les personnes ont pris connaissance de ces informations, c’est bien ça ! Peut-on l’évoquer dans le règlement intérieur ?

C’est un bon endroit pour évoquer le RGPD, expliquer comment il est mis en œuvre, faire référence au registre de traitement des données ou pour renvoyer aux ressources que l’association a choisies de mettre en place.

Mais on n’est jamais sur que les personnes lisent ces documents !

Sur le bulletin d’inscription, une case à cocher pourra servir de preuve.

Exemple

Une case à cocher :
Je reconnais être informé des finalités de traitement de mes données à caractère personnel et des modalités mises en œuvre par l’association. J’ai reçu une information spécifique sous la forme d’une fiche synthétique qui m’ a été adressée par mail.

Qu’est-ce que la licéité d’un traitement ?

Un traitement de données à caractère personnel est licite si il est fondé sur une base légale et s’il applique les principes, obligatoires, du RGPD.

Exemples

1/ traitement : conservation des documents obligatoires liés à la vie statutaire (convocation aux assemblées générales, feuilles d’émargement, pouvoirs, procès verbaux d’assemblée général, …)
base légale : l’obligation légale, car une association a l’obligation de conserver dans ses archives ces documents pendant au moins 5 ans. source : service public
2/ traitement : mise en place d’un registre de suivi des délibérations
base légale : l’intérêt légitime, pour avoir des preuves sur les décisions prises par l’association, même si ce document n’est pas obligatoire d’un point de vue administratif, comptable ou fiscal.
3/ traitement : conservation des contacts des anciens membres de l’association pour les tenir informés de son actualité.
Base légale : le consentement.

Est-il légitime pour une association de disposer des coordonnées des adhérents pour les informer sur la vie statutaire ?

Oui en effet. Voilà un bon exemple de traitement des données à caractère personnel !

La fiche d’inscription à une activité permet-elle de collecter des données personnelles dans le cadre d’un traitement dont la base légale serait l’exécution d’un contrat ?

Un bulletin d’inscription n’est pas un contrat signé entre deux parties. Le bulletin d’inscription est un moyen pour collecter des informations en lien avec plusieurs traitements :
” pour recueillir les informations nécessaires à organisation de l’activité, avec un nom, un contact mail et/ou téléphonique, éventuellement un age, etc.,
” pour disposer des preuves utiles démontrant que l’association a bel-et-bien informé la personne des modalités RGPD.

Et si ces informations servent aussi pour ensuite envoyer aux personnes une newsletter sur les actus de l’association ?

Le bulletin d’inscription a alors une autre finalité : recueillir les données pour constituer le fichier qui servira à l’envoi de la newsletter. Et pour cette finalité, la demande de consentement sera requise.

Exemple

Le bulletin d’inscription concerne la participation à un stage organisé sur un week-end. L’association souhaite conserver les données des participants pour les informer des futurs stages qui seront organisés.
Il y a deux finalités :

” pour l’organisation du stage auquel les personnes se sont inscrites, la base légale est l’intérêt légitime, pour laquelle il faudra être en mesure de démontrer que les personnes ont reçu les informations nécessaires,
” pour la conservation des données des personnes : le consentement est alors la base légale.

Le bulletin d’inscription pourra prévoir trois cases à cocher :

1/ j’ai bien reçu cette information : mes données personnelles (nom prénom, contact mail) seront utilisées pour l’organisation du stage (rappel du lieu de rendez-vous, détails logistiques, envoi d’un compte-rendu),
2/ j’ai été informé des modalités de mise en œuvre du RGPD au sein de l’association par le biais d’une fiche synthétique,
3/ je donne mon consentement pour que l’association conserve pendant une année mon nom, mon prénom et mon adresse mail, indépendamment du fait de participer à ce stage, afin d’être informé sur les autres stages et/ou événements organisés par l’association.

Et alors, quand le consentement est requis, quelle forme doit-il prendre ?

Le consentement est l’une des 6 bases légales prévues par le RGPD. Il est valide s’il correspond à 4 critères cumulatifs :
1/ il est librement consenti,
2/ il doit être spécifique à un traitement (une finalité et une durée),
3/ il doit être éclairé : cela rejoint l’obligation de transparence,
4/ il est univoque.

Exemples

” dans le cas d’une inscription à une activité, si il est envisagé des relais dans différents médias, l’association ne peut pas pré-remplir des cases qui relient l’inscription au fait d’accepter la diffusion des photos de l’activité sur un réseau social. C’est à la personne de cocher, de donner son consentement (ou pas :-)), cequi signifie que la personne doit : « cocher », dire « oui », « j’accepte », « je suis d’accord » ou « je consens », etc. Il ne peut pas s’agir d’un formulaire pré-rempli.

” si une personne est d’accord pour que ses contacts soient partagés avec les autres membres de l’association, cela ne signifie pas qu’elle a donné son consentement pour apparaître sur des documents de communication diffusés à l’extérieur. Cette dernière situation correspond à une autre finalité. L’organisation de la communication entre les membres de l’association : c’est une finalité de traitement. La communication sur la dynamique de l’association et de son équipe via son site Internet correspond à un autre traitement.

Le consentement doit-il être écrit ?

L’association doit être en mesure d’apporter la preuve. L’écrit est un bon moyen pour cela. Si c’est à l’oral ou filmé, il faut alors conserver un enregistrement.

Exemple

Lors d’une réunion en visioconférence, les participants choisissent de l’enregistrer. Si cela n’est pas convenu avec des modalités claires en amont, alors les participants peuvent écrire leur accord pour l’enregistrement dans le fil de discussion et qui sera ensuite conservé.

Est-ce qu’un consentement peut-être demandé sur un formulaire papier ?

Un consentement peut avoir plusieurs formes : un formulaire en ligne ou imprimé, un mail, un enregistrement, etc.

Exemple de mail de consentement

Inviter la personne à renvoyer un mail avec un contenu à compléter
” [Nom Prénom ] autorise l’association à partager mon nom, prénom et adresse mail utilisée pour cet envoi avec les membres [d’une association partenaire] dans le cadre de [l’organisation de la fête du quartier]. Ce consentement est valable sur la durée d’organisation de [cette fête], jusqu’à la réalisation de son bilan. Par ailleurs, j’ai bien pris connaissance qu’il m’est possible de revenir sur ce consentement selon les dispositions qui m’ont été adressées par mail en pièce jointe.
Ce mail sera à conservé.

Quelles sont les informations à donner avec le consentement ?

L’identité du responsable de traitement, la finalité et la durée du traitement, la catégorie des données, les conditions pour exercer le droit d’accès, de rectification et de suppression.

Si on oublie de demander le consentement, est-ce qu’on peut mettre une phrase pour se « désinscrire » à une liste de diffusion dans un message par mail ?

En cas d’oubli, le mail envoyé à la personne ne sera pas pour se désinscrire, mais pour demander le consentement. Se désinscrire n’est pas un acte positif et volontaire. Si oubli, alors on demande, en retard, mais on demande quand même.

Exemple

” Souhaitez-vous être toujours destinataire de l’actualité de l’association ? Merci de confirmer votre accord en cliquant sur ce lien… Ce consentement sera valable pour un an et fera l’objet d’une demande de renouvellement l’année prochaine. Le cas échéant, à compter de ce mail, nous retirerons vos contacts de nos listing d’envoi.

Le consentement est-il implicite quand on adhère à une association ?

Un consentement n’est jamais implicite. Il doit être donné librement (c’est un des 4 critères de validité d’un consentement). Le consentement est un acte volontaire : « Oui », « j’accepte », « je consens », etc. En revanche, ne pas répondre ne vaut pas consentement.

En cas d’adhésion à une association, plusieurs traitements sont-ils possibles ?

Oui. Et ils ne réclament pas tous un consentement. Le suivi comptable des cotisations, la tenue d’une base de contact pour informer sur la vie statutaire, pour informer sur les activités de l’association, sur un projet en particulier, pour représenter l’association auprès de partenaires extérieurs, etc.

Ah oui ! On l’a vu plus haut, le consentement n’est pas requis pour chaque traitement !

Pour le suivi comptable, le fondement peut être l’obligation légal. Pour l’information sur la vie statutaire, c’est l’intérêt légitime. Pour communiquer via un outil ou un autre, le consentement sera requis.

Est-ce que les statuts doivent mentionner les modalités du consentement ?

Les modalités de consentement d’un traitement de données à caractère personnel n’ont pas à être détaillées dans les statuts de l’association. Par contre, les statuts peuvent renvoyer à d’autres documents ressources, par exemple un règlement intérieur qui précisera les modalité de mise en œuvre du RGPD au sein de l’association.

Est-ce que cela dispense du registre de traitement des données ?

Non. Quoi qu’il en soit, le document ressource spécifique au RGPD : c’est le registre des données. C’est lui qui consigne l’ensemble des traitement et leurs modalités, y compris celles liées aux consentements quand ceux-ci sont requis.

Pour suivre les consentements, faut-il mettre en place un recueil de consentement ?

Le recueil de consentement ne fait pas parti des documents obligatoires du RGPD.
Mais c’est une bonne pratique pour suivre le consentement des personnes, quelque soit sa forme. Il peut s’agir d’un tableur avec les listes des traitements, les consentements des personnes, leurs durées et les liens vers les preuves.

Ensuite, il faut penser à suivre tout-ça dans le temps !

Une pratique vue dans une association : Sur un calendrier, via une boite de réception, il est possible d’enregistrer des rappels adressés sous la forme de notifications ( pour rappeler aux responsables des traitements lorsque les délais sot dépassés, qu’il est temps de demander le renouvellement du consentement ou de supprimer certaines données.) .

Et pour les adhérents mineurs ?

le consentement des mineurs de moins de 15 ans doit être double : le mineur et son représentant légal. L’article 8 du RGPD précise les conditions spécifiques aux mineurs. Il appartient ensuite à chaque état membre de fixer l’âge pour qu’un mineur puisse consentir seul. En France, c’est 15 ans.

Quelle est la durée d’un traitement de données ?

C’est le responsable du traitement qui le détermine. Il peut d’agir d’une date, d’une durée, d’un délai.

Et cela vaut pour tous les traitements des données, quel que soit leur base légale ! Y compris pour le consentement .

Exemples

” le temps de votre adhésion à l’association,
” jusqu’à la campagne d’appel pour le renouvellement des adhésions,
” à compte de ce jour, pendant 3 mois, ou jusqu’en [date].

Pour certains traitements spécifiques, la CNIL émet régulièrement des recommandations : par exemple pour le recours aux mesures d’audience de sites internet.

 

Où la durée est-elle mentionnée ?

Elle est précisée dans le registre de traitement des données.

Et concernant les adhérents ?

Les adhérents sont informés aussi, c’est l’obligation de transparence.

Et si le consentement est requis ?

Alors il faudra aussi préciser cette durée lors de la demande de consentement.
Et dans le temps, il faut donc vérifier si les délais ne sont pas dépassés !
Et informer à nouveau, demander le renouvellement du consentement une fois le délai expiré.

Justement, une fois le délai dépassé, qu’est-ce qu’on fait ?

Soit la donnée est supprimée, soit elle est conservée dans une autre base de traitement, une base archive, si cela est nécessaire pour l’association.
Et là encore, il faut informer les personnes.
En précisant bien la raison.

Dans l’absolu, « les informations relatives aux membres (nom, prénoms, adresse, etc.) ne peuvent pas être conservées après leur démission ou leur radiation, sauf accord exprès de leur part. » https://www.service-public.fr/associations/vosdroits/F32081

Est-il possible de conserver des informations anonymisées pour faire des statistiques ?

Oui, bien sûr.

Est-ce que le bulletin d’adhésion peut-être conservé, en tant que preuve de cotisation, donc document comptable ?

En effet, un bulletin d’adhésion est une pièce justificative comptable. Une association qui a l’obligation de tenir une comptabilité sera donc amenée à traiter cette pièce justificative en tant que telle, soit 10 ans après la clôture des comptes. Le traitement de la donnée répond alors à la finalité – conservation des documents comptables, comptes annuels et pièces justificatives. Le fondement est l’obligation légale. La durée est : 10 ans après la clôture des comptes.

La conservation de ces documents : c’est donc un traitement spécifique ?

Une fiche, dans le registre de traitement, détaillera ce traitement, et donc son délai.

Quels délais faut-il alors prévoir ?

Le mieux est de partir des obligations de l’association dans ce domaine. Il existe des ressources sur Internet.
https://www.service-public.fr/associations/vosdroits/F32081
https://www.associations.gouv.fr/quels-sont-les-delais-de-conservation-des-documents-d-une-association.html

Si la conservation des données permet de répondre à une obligation légale d’archivage, faut-il aussi informer les personnes ?

Oui, il faut toujours le faire. Quand une personne n’est plus membre d’une association, il faut supprimer ses données personnelles. Si certaines sont conservées, il faut alors leur rappeler, et dans certains cas demander le consentement.

Une explication peut être fournie à la personne concernée lorsque son adhésion s’arrête via un mail. Il est judicieux ensuite de conserver la preuve que cette information a été donnée / rappelée.