La CNIL publie un nouveau guide pour accompagner les associations
La CNIL a élaboré un guide de sensibilisation au règlement général sur la protection des données (RGPD) pour accompagner les structures associatives dans leur mise en conformité. L'objectif affiché est de créer un environnement de confiance pour les adhérents, les bénévoles, les usagers, les donateurs, les testateurs mais aussi les salariés.
Ce guide a pour finalité d'accompagner et de permettre aux structures associatives de satisfaire leurs obligations dont elles sont débitrices en matière de protection des données personnelles.
Rappel des obligations des structures associatives en matière de protection des données personnelles. Le règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, reprend les grands principes déjà présents depuis 1978 dans la loi Informatique et Libertés.
Le texte abandonne la logique basée sur les déclarations à adresser à la CNIL pour privilégier une logique de responsabilisation des acteurs utilisant des données personnelles : les associations n’ont donc plus à déclarer leurs fichiers à la CNIL avant leur mise en œuvre (sauf exceptions dans le domaine de la santé).
En contrepartie, les organismes doivent s’assurer que leurs fichiers et services numériques sont, en permanence, conformes au RGPD. Cela nécessite de tenir à jour une documentation des actions menées afin de pouvoir démontrer le respect des règles et notamment :
recenser les fichiers (traitements) et tenir à jour le registre les détaillant ;
encadrer la sous-traitance des traitements ;
garantir la sécurité des données ;
organiser la réponse aux demandes d’exercice des droits venant des personnes dont les données personnelles sont traitées ;
informer la CNIL, voire les personnes concernées, des violations éventuelles de sécurité de don- nées personnelles (par exemple la perte de document ou les failles de sécurité) ;
effectuer dans certains cas des analyses d’impact sur la vie privée (AIPD) pour certains fichiers à risques.