Le wikitrux pour les associations

Le wikitrux pour les associations est la synthèse de 3 ateliers réalisés en janvier et février 2021 dans le cadre des Human Tech Days soutenus par la région Centre-Val-de-Loire, en partenariat avec la Maison des Associations de la ville de Tours, la Maison de la Transition à Chateauneuf-sur-Loire, Vend’Asso à Vendôme, la Ligue de l’Enseignement et le CRIB du Loir-et-Cher.

Comment sont stockées les données personnelles ?

Les données personnelles utilisées sont stockées dans deux types de bases : une base active et une base archive.
Dans la première, seront rassemblées les informations en cours : par exemple la liste des adhérents actuels.
La base archive conserve les documents administratifs, fiscaux et comptables. Ceux-ci peuvent mentionner des informations à caractère personnel.

Où stocker ces informations ?

Le lieu de stockage va dépendre des moyens dont dispose une association et des niveaux de risques compte-tenu des types de données : sur un des ordinateurs de l’association, sur un ordinateur d’un des membres de l’association, via un coffre-fort numérique, des documents imprimés et rangés dans un classeur, sur le serveur de l’association, dans un fichier partagé (drive), etc.

Y-a-t-il des obligations quand au choix du lieu de stockage ?

Non, il s’agit d’un fonctionnement à convenir au sein de l’association, en s’assurant que ce fonctionnement soit le plus efficace pour prendre soin des données personnelles. Ce fonctionnement est à décrire dans le registre des traitements.

S’il s’agit d’une solution externalisée, différentes offres existent sur le marché. Quels sont les critères de choix ?

Sur internet, de nombreuses solutions existent, gratuites ou payantes.

Comme les clouds ? Est-ce qu’ils garantissent le RGPD ?

Les CGU des solutions doivent détailler leurs modalités RGPD.

Sommes-nous dans l’obligation d’utiliser un coffre-fort numérique ?

Le coffre-fort numérique est une solution, notamment pour les structures qui manipulent des données sensibles.

Est-ce qu’il y a des critères à prendre en compte pour choisir ce genre de service en ligne ?

Une bonne ressource : les labels de la Fédération Nationale des Tiers de Confiance.
https://fntc-numerique.com/fr/a-propos/les-labels.html
Ce lien propose aussi des ressources liées aux tiers archiveurs ou encore au e-vote.

Y-a-t-il une réelle traçabilité des données traitées par ces fournisseurs de service ?

C’est à vérifier en effet. Mais ils sont eux-aussi soumis au RGPD. C’est d’autant plus facile à vérifier si ils sont installés sur le territoire européen.

Est-ce qu’un fournisseur d’hébergement en ligne est un sous-traitant ?

Oui car il accède aux données de ses clients.
Mais il est lui aussi tenu de respecter le RGPD ! Même si il s’agit d’une entreprise qui n’est pas sur le territoire européen.
Dans la mesure où l’entreprise traite des données de personnes qui sont sur le territoire européen, alors le RGPD s’applique.

A quoi sert un contrat de sous-traitance ?

C’est une obligation dans le cadre du RGPD. Ce contrat est convenu entre le responsable du traitement et le sous-traitant. L’article 4 du règlement définit ce que sont un responsable de traitement et un sous-traitant.

Est-ce qu’il faut faire un contrat spécifique ?

Il peut aussi s’agir d’une clause contractuelle dans une convention.

Qui la propose ?

C’est à convenir avec le sous-traitant. Pour les fournisseur d’hébergement, la clause contractuelle peut être aussi précisée dans les CGV.

https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-un-sous-traitant-de-donnees-personnelles-cest-quoi

Est-ce que les outils utilisés doivent-être mentionnés dans le registre de traitement des données ?

En effet, les outils utilisés sont mentionnés, ainsi que les mesures de sécurité prises par l’association.

Comment garantir la sécurité des outils en ligne ?

Quelques pistes de mesure de sécurité :

  • en démontrant que l’on a pris soin de comparer plusieurs solutions avant de choisir une solution qui réponde aux obligations du RGPD
  • en vérifiant les CGU
  • en expliquant l’organisation en Interne : qui accède à quoi ?
  • en définissant « qui peut consulter les bases de données ? Qui peut les modifier, les supprimer ?
  • en ayant recours à des mots de passe (les recommandations de l’ANSSI https://www.ssi.gouv.fr/guide/mot-de-passe/).
  • en convenant collectivement d’un rendez-vous annuel pour faire le point, vérifier les bases de données, revenir vers les adhérents, etc.

L’association n’est pas toujours en mesure de négocier en fait ! Cela n’est pas facile de discuter avec une grande entreprise située aux États-Unis !

Il est possible de comparer plusieurs propositions avec différents critères, dont les garanties de respect des données à caractères personnelles et d’application du RGPD. C’est un pré-requis, lorsqu’on choisi un prestataire, de vérifier si il est « RGPD firendly », comme de précise l’article 28 du RGPE, en s’assurant que la solution retenue offre
«des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée»

Faire un tableau comparatif avec quelques offres, faire un choix à plusieurs, conserver ensuite ce tableau ainsi que les conclusions du groupe quant à la solution retenue.

Quelques points de vigilance :

  • le lieu de stockage,
  • l’attrait (parfois trompeur) des solutions gratuites !

Quelque soit la solution, qui peut accéder aux documents partagés dans une association ?

C’est à l’association de le décider, et ensuite de le décrire. Il peut s’agir de plusieurs personnes afin de garantir la pérennité en cas de départ d’un membre de l’association ou en cas d’indisponibilité. Car il s’agit d’engagement bénévole !

Plus cette organisation sera définie collectivement, plus elle aura des chances d’être comprise et mise en œuvre.