Le wikitrux pour les associations

Le wikitrux pour les associations est la synthèse de 3 ateliers réalisés en janvier et février 2021 dans le cadre des Human Tech Days soutenus par la région Centre-Val-de-Loire, en partenariat avec la Maison des Associations de la ville de Tours, la Maison de la Transition à Chateauneuf-sur-Loire, Vend’Asso à Vendôme, la Ligue de l’Enseignement et le CRIB du Loir-et-Cher.

Quelles mentions mettre sur le formulaire d’inscription à un événement annuel pour conserver les contacts des personnes ?

Sur le bulletin d’inscription, une case à cocher pourra servir de preuve.

Exemple

Prévoir 2 cases à cocher :

1/ je suis informé que les données personnelles renseignées ci-dessus serviront pour tous les échanges necessaires pour participer à l’événement auquel je suis inscrit
Et par ailleurs, que je participe ou non à l’événement…
2/ je suis d’accord pour que l’association conserve mes contacts jusqu’à l’organisation du prochain événement l’année prochaine afin d’être informé de l’actualité de l’association ou en lien avec cet événement.

Y-a-t-il des dispositions à prendre quand une association fait appel à un service d’inscription en ligne ?

Il faut être attentif aux conditions de mises en œuvre du RGPD décrites dans les CGV du service contracté.

Le service d’inscription en ligne est un sous-traitant ?

Oui. Afin de bénéficier du service, l’association devra valider les CGV / CGU. Ceux-ci doivent comporter une clause sur les mesures prises par l’entreprise pour respecter les données à caractère personnel.

Comment être sur ?

Il n’y a pas de garantit à 100 %. Et c’est aussi pour ça qu’il est judicieux que les usagers soient informés des outils qui sont utilisés. Plus les gens seront informés, plus ils seront vigilants. En parallèle, les offres sur le marché s’adaptent aussi.

La liste des participants à une activité a été transmise par le centre social qui accueille l’association. Qui est le responsable du traitement des données des participants ?

La réponse n’est pas tranchée. Il y a plusieurs cas de figure :

1/ l’association organise une activité dans les locaux du centre social et le centre social met à disposition son personnel pour faire les inscriptions : alors le centre social est un intermédiaire, c’est donc l’association qui est responsable des données.
2/ les participants sont usagers du centre social et le centre social a transmis leurs données à partir de leur fichier adhérent : alors le centre social, responsable des données qui lui ont été confiées, doit s’assurer que les personnes sont d’accord avec le fait que leurs contacts soient partagés à un tiers. L’association détient ensuite les données et en devient également responsable.
3/ l’association intervient en tant que prestataire au sein du centre social : le centre social est responsable du traitement des données de ses usagers à qui il propose une activité.

La menée d’une activité dans un centre social, quelque soit les modalités d’intervention, fait en général l’objet d’une convention.
Cette convention prévoira donc un article spécifique pour le traitement des données, les responsabilités de chacun et les mesures convenues.

Dans notre association, les accords pour transmettre des contacts sont souvent échangés à l’oral. Comment prouver, alors, que c’est bien le cas ?

une bonne pratique : renvoyer ensuite un mail à la personne

” Suite à notre discussion, peux-tu me confirmer ton accord pour que je transmette ton adresse mail à [UNTEL],
” adresser un message à la tierce personne évoquée lors de l’échange oral et mettre en copie.

Lorsqu’une association contacte des habitants, voisins du quartier, qui ne sont pas adhérents, peut-elle conserver leurs données à caractère personnel ?

Elle le peut si les habitants du quartier sont d’accords.

Exemple

” pour réaliser auprès d’eux une enquête, le consentement pourra faire l’objet d’une question, pour la durée de réalisation de l’enquête.
” pour les convier à un événement festif, les personnes pourront être approchées via mail, via des flyers, avec un processus permettant de demander le consentement des personnes, lors du premier échange.
” pour faire une campagne d’appel à bénévolat, le consentement pourra être matérialisé par une case à cocher.

Si nous avons un site Internet, y-a-t-il des précautions à prendre ?

Elles sont de plusieurs ordres. L’association doit être vigilante dans les contenus partagés, si ceux-ci présentent les membres de l’association, ou relatant d’une activité en citant des personnes avec en illustration des photographies des personnes, etc.
L’association doit aussi être attentive si il y a un formulaire de contacts en ligne. Et il y a également les cookies et autres traceurs…

Est-ce que le développeur du site doit respecter des obligations spécifiques ?

Si c’est un développeur professionnel, un contrat de sous-traitance sera signé avec lui. Il devra proposer des solutions techniques, dans le cadre du RGPD. Si c’est un bénévole de l’association, l’association devra en effet être vigilante.

Existe-t-il des aides gratuites ?

Pour un site développé via Word Press, des plug in gratuits sont disponibles. Mais il ne suffit pas de les installer, l’association doit réfléchir aux données personnelles qui seront traitées via son site Internet, et bien entendu décrire le processus établi dans le registre de traitement des données. .

En exemple, notre page de la politique de confidentialité

Quelles précautions faut-il prendre pour présenter les membres d’une association sur le site Internet ?

Il s’agit là d’une finalité de communication par un biais que l’association a choisi mais qui ne répond à aucune obligation par ailleurs. Dans ce cas, le consentement est requis. Celui-ci détaillera notamment :

  • la finalité du traitement (par exemple la présentation de l’équipe dirigeante de l’association),
  • les données mentionnées sur le site (un nom, une bio, etc.),
  • les modalités pour modifier / supprimer ces informations,

Il faudra être vigilant dans la durée ! Car le site Internet durera peut-être au-delà du temps de l’investissement des personnes au sein de l’association.
Cela sera donc à rectifier !

se fixer une date anniversaire qui revalider le consentement avec les personnes concernées, ce qui permet d’en profiter pour vérifier si les données sont toujours exactes et d’apporter d’éventuelles modifications.