Associations & RGPD
Comment le RGPD impacte-t-il votre association ? On vous explique tout pour se mettre en conformité et y voir des opportunités !
Le 22/05/2019
Le RGPD, c’est le Règlement Général sur la Protection des Données, entré en vigueur en France le 25 mai dernier. Son objectif ? Protéger les personnes physiques relativement aux données personnelles les concernant.
Mon association est-elle concernée par le RGPD ?
Oui ! A priori, toutes les associations sont concernées par le RGPD. Votre association collecte très certainement des données personnelles. Par exemple :
- lorsque vous collectez des dons auprès de particuliers
- lorsque vous faites une campagne d’adhésion auprès de particuliers
- lorsque vous organisez un événement où les gens s’inscrivent
- lorsque vous fonctionnez avec des bénévoles
- lorsque, de manière générale, vous stockez une donnée concernant un particulier
Car, selon la CNIL, une donnée personnelle est :
Toute information se rapportant à une personne physique identifiée ou identifiable.
Très concrètement c’est : un nom, un prénom, une adresse email, une adresse postale, une photo, ou une adresse IP ! Tous ces éléments sont des données personnelles et donc soumis au RGPD.
Pour une association, cela peut être encore beaucoup d’autres types données afférant à son activité :
- Tom Miche est disponible tous les jeudis après-midis pour du bénévolat.
- Mme Michu adhère à votre association en tant qu’aidante, elle s’occupe de sa maman atteinte d’Alzheimer.
- Jean Dupont donne chaque mois à une association caritative dans le domaine du rugby.
L’opportunité du RGPD pour votre association
Cette nouvelle loi peut effrayer au premier abord, mais c’est une réelle avancée en matière de protection des données qui concerne tout un chacun.
- Il renforce les droits des personnes physiques en imposant de recueillir et de conserver le consentement au traitement de ses données.
- Il impose également de ne collecter que les données réellement nécessaires à l’activité de l’association.
- Le RGPD oblige également les associations d’informer le CNIL sous 72 heures en cas de piratage des données, mais également les personnes concernées par le vol en question.
Bref, plus d’incitation à la prudence et une meilleure protection des personnes !
C’est aussi et surtout une excellente raison de faire un point sur vos contacts ! Avec les années, la base de contacts grandit et mérite un bon ménage de printemps. Les contraintes imposées par le RGPD sont un bon moyen de lancer votre chantier de gestion des contacts :
- Remettre la main sur toutes les données personnelles collectées
- Trier selon leur pertinence, leur récence pour nettoyer la base
- Adopter les outils nécessaires à leur bonne gestion, type solution CRM
Les conseils de la CNIL
La CNIL donne 6 principales étapes à suivre par les associations, notamment pour se mettre en conformité avec le nouveau règlement :
- Désigner un pilote, une personne responsable de la gestion des données
- Cartographier les traitements des données personnelles collectées par votre association
- Prioriser les actions à mener par votre équipe et les assigner
- Gérer les risques sur les points sensibles identifiés par votre association
- Organiser les processus internes via des outils, de nouvelles règles, et ce afin d’assurer une protection optimale des données dans toutes les activités associatives
- Documenter vos actions pour pouvoir prouver, en cas de contrôle, votre conformité avec le RGPD.
Pour plus de détails sur chacune de ces étapes, n’hésitez pas à consulter le guide de la CNIL.
Quelques bonnes pratiques de base
Evidemment, la mise en place de ces process et de ces outils va vous prendre un peu de temps. Ils impliquent de revoir votre mode de fonctionnement, de réfléchir à vos interactions avec vos contacts.
Gardez en tête que la transparence avec vos contacts est de mise et sera votre meilleure alliée dans cette réflexion.
Pour débuter, voici les 5 principales vérifications à faire pour vous assurer de votre conformité minimale avec le RGPD, dans le respect des données personnelles de vos contacts :
- Vérifier que vos contacts peuvent modifier et supprimer leurs données
- Vérifier la finalité des données collectées : conditions acceptées, utilité des données pour votre activité
- Vérifier le stockage des données et la sécurité de ce stockage
- Vérifier que les mentions sont à jour pour informer les internautes
- Archivez les contacts qui ne sont plus actifs depuis 3 ans
Si ces 5 points se vérifient dans votre association, bravo ! Vous avez fait la plus grande partie du chemin.
La solution CRM : une réponse au RGPD ?
Tout d’abord, votre CRM est un moyen de stocker les données de vos contacts : il faut donc vous assurer que l’accès à votre CRM est bel et bien sécurisé.
Egalement, il est nécessaire de vous assurer de la sécurité des serveurs sur lesquels sont hébergées les données de votre serveur. Le mieux étant d’héberger ses données dans l’Union Européenne, afin que la législation européenne y soit appliquée.
Ensuite il faut que votre CRM vous permette deux choses :
- la possibilité d’exporter des données pour permettre à chacun de vos contacts d’accéder à ses données personnelles (sur demande)
- la possibilité de supprimer ses données si un contact le demande.
Ce qui est certain, c’est que la centralisation de vos données sur une plateforme sécurisée va vous permettre de vous engager sur la voie de la conformité.
Finis les fichiers excel égarés avec des données personnelles sensibles ! Non seulement ce n’est pas légal, mais il y a un vrai risque tant pour votre association que pour votre contact.
Alors, en marche pour la conformité ?
Crédit photo : Karolina Grabowska
OHME, le CRM des associations
C’est gratuit pendant 15 jours !