Le règlement général sur la protection des données (RGPD) à caractère personnel fait actuellement beaucoup parler de lui. Cette législation européenne portant sur le traitement de ces informations est entrée en vigueur le 25 mai 2018. Quel impact le RGPD aura-t-il sur le quotidien des Associations? Tour de la question…
Les données à caractère personnel rassemblent toutes les informations se rapportant à une personne physique identifiée ou identifiable. De part leurs activités, les ASBL sont amenées à collecter différentes données auprès de leur personnel employé, de leurs membres, de leur public… Elles sont variées. Adresse, noms, numéro de téléphone, e-mail, adresse IP, photo, numéro du registre national… sont autant de données à caractère personnel.
Pour que le RGPD trouve à s’appliquer il faut que l’ASBL réalise un « traitement » de données à caractère personnel. Dès qu’il y a, par exemple, une collecte, un enregistrement, une conservation ou une communication, il y a, aux yeux du RGPD, un traitement. Pratiquement toutes les ASBL traitent des données à caractère personnel que ce soit par la récolte de fiches médicales, d’adresses des participants pour l’envoi d’une revue, de photos après un événement ou par la tenue d’une liste d’e-mails pour une newsletter.
Le RGPD n’interdit pas le traitement de données à caractère personnel sauf pour une catégorie spécifique : les données dites sensibles. Ce sont les données qui pourraient, par leur traitement, porter atteinte aux droits et libertés fondamentales. C’est le cas des informations qui portent sur la religion d’une personne, son ethnie ou son orientation sexuelle. De telles informations ne peuvent en principe pas faire l’objet d’un traitement sauf dans certains cas précis prévus par le RGPD.
Pour les autres données, le règlement européen impose une série de principes à respecter. Il faut notamment que le traitement soit licite. La plupart du temps, cela implique qu’une personne concernée donne son accord pour le traitement de ses données dans un but spécifique. Il est conseillé d’automatiquement solliciter cet accord même si celui-ci n’est normalement pas nécessaire lors de l’exécution d’une obligation légale (par exemple : le registre des membres d’une ASBL dont la tenue est imposée par la loi de 1921 sur les ASBL) ou des données strictement nécessaires à l’exécution d’un contrat (par exemple : une adresse pour la livraison d’une mallette pédagogique. Cette adresse est nécessaire pour exécuter le contrat à l’inverse d’une date de naissance ou d’une profession).
Le RGPD impose qu’une information et une sensibilisation des personnes concernées par un traitement soient réalisées. Cette sensibilisation pourra notamment se faire par la publication d’une politique de traitement des données par l’association ainsi que par l’information, lors d’une récolte de données, des objectifs poursuivis, de la durée du traitement et des modalités relatives à la rectification ou à la suppression des informations personnelles. Chaque association devra également avoir un « registre des activités de traitement » qui recense les traitements existants dans l’ASBL. La tenue de ce registre est l’occasion de « scanner » l’ensemble des données personnelles qui sont conservées au sein d’une association et de faire le tri entre celles qui sont nécessaires à la réalisation de l’objet social de l’ASBL de celles qui lui sont inutiles. Il faudra finalement veiller à avoir un système suffisamment sécurisé ainsi que des procédures applicables en cas de violation des données à caractère personnel.
Pour les ASBL, si l’entrée en vigueur du RGPD comprend une série de formalités administratives à réaliser, elle permet également d’informer les citoyens de l’existence de leurs différents droits.