Le Règlement Général (européen) pour la Protection des Données (personnelles), RGPD, est entré en application le 25 mai 2018 dans tous les pays européens.

Il vient d’être renforcé par la loi (française) du 20 juin 2018 relative à la protection des données personnelles, qui complète et modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce Règlement s’applique à toutes les entités qui traitent de données personnelles (entreprises, collectivités, associations, clubs, syndicats, comités d’entreprises, etc., à l’exception des personnes privées), que ce traitement soit informatique ou sur papier ; à cet effet, un bon vieux fichier papier ou un bon vieux Rolodex ® est tout autant concerné.

En quelques mots, il s’agit de définir qui est le responsable de traitement ? à priori le président du club ou de l’association ;

Puis d’inventorier les fichiers traités (membres et anciens membres, cotisants, salariés, prestataires, partenaires, etc.) et la pertinence des traitements ; en effet, ne doivent être collectées que les informations strictement suffisantes au traitement, en outre certaines informations dites « sensibles » (opinions politiques, philosophiques, syndicales ou religieuses, données de santé, origine raciale ou ethnique, etc.) sont interdites ;

Le responsable de traitement a un devoir d’information de la personne concernée au moment de la collecte directe ou indirecte des renseignements personnels ;

Les personnes concernées, selon la terminologie règlementaire, disposent d’un droit d’accès et de correction de leurs données personnelles, et aussi, ce qui est nouveau, d’un droit d’effacement de leurs données (droit à l’oubli), d’un droit d’opposition et d’un droit à la portabilité de leurs données personnelles. Le responsable de traitement doit y répondre sous délai d’un mois.

La base des traitements se fait essentiellement sur le consentement de la personne, ou en exécution d’un contrat, d’une obligation légale, d’une mission d’intérêt public ou dans le cadre de l’intérêt légitime du responsable de traitement.

Tout cela passe par des mesures juridiques, techniques, organisationnelles à vérifier ou à mettre en place pour s’assurer notamment de la légalité de la collecte, de la traçabilité des traitements, de la durée de conservation des données et de leur sécurisation.

En cas de violation des données personnelles, le responsable de traitement a une obligation d’information de la personne concernée et, dans certains cas, de la CNIL dans un bref délai de moins de 72 heures.

Le Règlement prévoit et organise les cas de sous-traitance et de co-traitance, que vous soyez sous-traitant ou que vous y fassiez appel, avec un régime de co-responsabilité.

Enfin il prévoit, dans certains cas, l’obligation de tenue d’un registre des traitements ou la nécessité de désigner un délégué à la protection des données personnelles, interne ou extérieur à l’organisation.

Cela étant, les régimes de déclaration préalable d’un traitement à la CNIL ont disparu ; ils sont remplacés par la responsabilité directe du responsable de traitement sur le traitement des données personnelles qu’il utilise.

Il n’existe pas de modèle-type ou de solution-miracle pour vérifier sa conformité au RGPD, attention aux arnaques commerciales !

La CNIL a mis en place sur son site www.cnil.fr une documentation et une méthodologie importantes ; les cabinets spécialisés, comme les cabinets d’avocats, de même que les organisations professionnelles sont à même de vous aider dans vos démarches.

Le respect de ces règles vous permettra d’éviter de potentielles sanctions.

ISBL Consultants vous proposera une formation complète sur ce thème à l’automne.

Me J-Christophe Beckensteiner

Avocat spécialiste en droit du travail,

 en droit de la sécurité sociale et de la protection sociale

Associé, Cabinet Fidal – Lyon