Le wikitrux pour les associations
Le wikitrux pour les associations est la synthèse de 3 ateliers réalisés en janvier et février 2021 dans le cadre des Human Tech Days soutenus par la région Centre-Val-de-Loire, en partenariat avec la Maison des Associations de la ville de Tours, la Maison de la Transition à Chateauneuf-sur-Loire, Vend’Asso à Vendôme, la Ligue de l’Enseignement et le CRIB du Loir-et-Cher.
Comment sont stockées les données personnelles ?
Les données personnelles utilisées sont stockées dans deux types de bases : une base active et une base archive.
Dans la première, seront rassemblées les informations en cours : par exemple la liste des adhérents actuels.
La base archive conserve les documents administratifs, fiscaux et comptables. Ceux-ci peuvent mentionner des informations à caractère personnel.
Où stocker ces informations ?
Le lieu de stockage va dépendre des moyens dont dispose une association et des niveaux de risques compte-tenu des types de données : sur un des ordinateurs de l’association, sur un ordinateur d’un des membres de l’association, via un coffre-fort numérique, des documents imprimés et rangés dans un classeur, sur le serveur de l’association, dans un fichier partagé (drive), etc.
Y-a-t-il des obligations quand au choix du lieu de stockage ?
S’il s’agit d’une solution externalisée, différentes offres existent sur le marché. Quels sont les critères de choix ?
Comme les clouds ? Est-ce qu’ils garantissent le RGPD ?
Les CGU des solutions doivent détailler leurs modalités RGPD.
Sommes-nous dans l’obligation d’utiliser un coffre-fort numérique ?
Est-ce qu’il y a des critères à prendre en compte pour choisir ce genre de service en ligne ?
Une bonne ressource : les labels de la Fédération Nationale des Tiers de Confiance.
https://fntc-numerique.com/fr/a-propos/les-labels.html
Ce lien propose aussi des ressources liées aux tiers archiveurs ou encore au e-vote.
Y-a-t-il une réelle traçabilité des données traitées par ces fournisseurs de service ?
Est-ce qu’un fournisseur d’hébergement en ligne est un sous-traitant ?
A quoi sert un contrat de sous-traitance ?
Est-ce qu’il faut faire un contrat spécifique ?
Qui la propose ?
C’est à convenir avec le sous-traitant. Pour les fournisseur d’hébergement, la clause contractuelle peut être aussi précisée dans les CGV.
Est-ce que les outils utilisés doivent-être mentionnés dans le registre de traitement des données ?
En effet, les outils utilisés sont mentionnés, ainsi que les mesures de sécurité prises par l’association.
Comment garantir la sécurité des outils en ligne ?
Quelques pistes de mesure de sécurité :
- en démontrant que l’on a pris soin de comparer plusieurs solutions avant de choisir une solution qui réponde aux obligations du RGPD
- en vérifiant les CGU
- en expliquant l’organisation en Interne : qui accède à quoi ?
- en définissant « qui peut consulter les bases de données ? Qui peut les modifier, les supprimer ?
- en ayant recours à des mots de passe (les recommandations de l’ANSSI https://www.ssi.gouv.fr/guide/mot-de-passe/).
- en convenant collectivement d’un rendez-vous annuel pour faire le point, vérifier les bases de données, revenir vers les adhérents, etc.
L’association n’est pas toujours en mesure de négocier en fait ! Cela n’est pas facile de discuter avec une grande entreprise située aux États-Unis !
«des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée»
Faire un tableau comparatif avec quelques offres, faire un choix à plusieurs, conserver ensuite ce tableau ainsi que les conclusions du groupe quant à la solution retenue.
Quelques points de vigilance :
- le lieu de stockage,
- l’attrait (parfois trompeur) des solutions gratuites !
Quelque soit la solution, qui peut accéder aux documents partagés dans une association ?
C’est à l’association de le décider, et ensuite de le décrire. Il peut s’agir de plusieurs personnes afin de garantir la pérennité en cas de départ d’un membre de l’association ou en cas d’indisponibilité. Car il s’agit d’engagement bénévole !
Plus cette organisation sera définie collectivement, plus elle aura des chances d’être comprise et mise en œuvre.