La RGPD et l'associatif

Bonjour tout le monde,

Étant bénévole dans une asso, je viens de réaliser qu’il fallait peut-être que l’on s’occupe de se mettre en conformité avec la RGPD !… Et c’est moi qui m’occupe de la base de données utilisateurs… Je vais avois besoin de vous pour comprendre ce qui est ok et ce qui doit être changé svp (et en parallèle, je lis le tuto de Titi_Alone, mais je ne suis pas sûr de comprendre ce qui s’applique à notre cas).

On ne stocke que très peu d’informations. Il s’agit majoritairement des données de contact de nos adhérents, et je vais vous expliquer ce qu’on reçoit et comment on le traite.

Nos nouveaux adhérents remplissent leur adhésion. Cela se fait de 3 façons différentes plus ou moins proche :

• En physique : Nos adhérents remplissent le bulletin et nous le donne directement. Ils signent acceptation de la charte de l’asso. Mais il n’est fait nulle part mention des données personnelles.
• Par courrier : C’est pareil sauf qu’on est pas là.
• Par internet : En utilisant HelloAsso et son formulaire d’adhésion. Est-ce un cas de sous-traitance ?

Ensuite, ces infos arrivent à plusieurs endroits différents et seront donc gérés par divers personnes :

• La boîte aux lettres, c’est le CA qui s’en occupe.
• En physique, ce sont les bénévoles présents qui s’en occupent, et transmettent les bulletins ensuite au CA.
• Par HelloAsso, les infos sont stockées sur notre compte HelloAsso et automatiquement transmises par mail à la boîte gmail de l’association.

Ces données sont ensuite agglomérées, soit par la répartition des bulletins physiques soit par envoi de mails à la boîte gmail. Seules les personnes du CA ont accès à la boîte mail. L’une d’elle récupère toutes les adhésions, les ajoute à un tableur et me les envoie par mail, sur ma boite mail hébergée par 02switch.

Je rentre ensuite ces données dans notre instance Dolibarr. C’est moi qui la gère, sur mon serveur hébergé chez o2switch. Connexion https avec Let’s Encrypt. Seuls les membres du CA ont accès au Dolibarr, et moi-même qui m’occupe de l’administration, des membres, et parfois d’envoyer des mails de groupe.

Quand je rentre les informations, je rentre : - Nom et prénom : pas de vérification, ce sont ceux donnés par la personne à l’inscription. - Mail : à peu près la seule information vraiment obligatoire, puisqu’on ne communique que par ça. - Numéro de téléphone : pour ceux qui l’ont indiqué sur leur adhésion.

Ensuite, j’envoie un mail de groupe aux nouveaux adhérents. Il est individualisé, donc personne ne voit les adresses mail de personne.

Ce mail de bienvenue contient un sondage google de bienvenue pour leur demander comment ils souhaitent participer. On leur pose ces questions-là :

• Nom et prénom
• Mail communiqué à l’adhésion : nécessaire pour le rapprochement avec la BDD
• Quartier de résidence dans notre ville : non obligatoire
• Souhaitent-ils recevoir par mail l’actualité de l’asso : Ils la recevront quand même.
• Dans quels pôles souhaitent-ils participer : Peuvent mettre aucun. Notre asso se divise en pôles selon les actions (Repair Café, Zéro Déchets, etc.)
• Si ils sont disponibles pour distribuer des flyers, faire des photocopies, etc.
• Leurs centres d’intérêts : En rapport avec l’écologie et la solidarité.
• Leurs réseaux intéressants pour nous : Si ils en ont.
• Leurs compétences et centres d’intérêt : Si ils en ont.
• Leurs suggestions et idées : Si ils en ont.

Ensuite, selon les retours, je mets à jour les fiches adhérents. J’utilise les tags Dolibarr pour ça, et je mets les pôles pour lesquels ils veulent participer, si ils peuvent faire des photocopies, et si ils sont diponibles pour nos évènements.

Je complète ensuite les framalistes de chaque pôle avec les mails.

Ensuite, je fais un export html de la liste des adhérents de chaque pôle. Ces listes sont ensuites postées sur la Dropbox du CA pour que les animateurs de pôle puissent voir quels membres ils ont dans leur pôle. Ces listes comprennent nom, prénom, mail et téléphone.

À côté de ça, on a une base de données de nos réparateurs bénévoles pour notre Repair Café. Ils subissent en gros le même traitement (y a juste pas de formulaire pour eux), y compris la publication sur la dropbox. Cette liste est partagée avec le CA mais aussi avec une autre bénévole qui s’occupe beaucoup de l’organisation du Repair Café.

Ensuite, on utilise Trello, la Dropbox et les mails pour s’échanger des infos. Notamment, on enregistre les contacts de certaines personnes avec qui on traite beaucoup et parfois ça circule dessus.

Ah, et on prend aussi des mails pour une newsletter, mais on met un lien de désinscription dessus. Il est pas automatique je crois, il faut qu’on vérifie manuellement, mais à ce moment-là (ou après un mail) on supprime le mail de la base.

Puis, enfin, je précise que j’ai été membre du CA si ça a son importance.

Voilà voilà ! Est-ce que vous pourriez m’aider/me conseiller ?

Merci les zesteux

EDIT : Je précise qu’une membre du CA m’a dit qu’il nous suffisait de bien mettre un lien de désinscription des newsletter et des mentions légales sur le site web.

Je vais commencer par poser un principe simple : oui, le RGPD s’applique bien aux associations, le seul cas où il ne s’applique pas en pratique concerne le traitement de données par une personne physique. Pour la relation de sous-traitance, elle me semble effectivement bien caractérisée ici, mais ne change rien au problème : vous devez vous assurer que le sous-traitant applique bien le RGPD et respecte ses obligations légales ; vous n’avez toutefois pas à vous occuper de la partie de gestion des données par HelloAsso, juste vérifier qu’elle respecte les grands principes.

Concernant les trois cas de traitement, une série d’obligations générales s’applique, le consentement doit donc être (cf. Article 4 RGPD) :

• une manifestation de volonté (condition évidemment remplie) ;
• libre (de même) ;
• éclairé et univoque, et c’est là le gros point noir : toute personne faisant l’objet d’un traitement à le droit de savoir quel est ce traitement, et quelles données sont exactement traitées ;
• spécifique, et ici ça bloque un peu, mais j’y reviendrait par la suite ;
• par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement, il me semble que vous êtes bons si une signature est exigée, il faut en tout cas que la personne ne puisse pas ignorer que ses données sont collectées.

En pratique, il faut ajouter une partie sur le consentement (une case à cocher me semble le plus sain), à la fin de chaque document d’inscription une formule du style : « J’accepte que mes données soient traitées conformément à la déclaration de confidentialité jointe », et joindre un document (ou sur le même papier, au verso ou quelque chose) mentionnant (je cite, encore une fois, art. 13 RGPD) :

• l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, et du délégué à la protection des données s’il y a lieu ;
• les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (consentement, ici) ;
• les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent (mention du sous-traitant, notamment) ;
• si les données sont transférées hors-Union (non-applicable, sauf si le sous-traitant est basé à l’étranger?).
• la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ; complexe, mais je dirais qu’une mention du style « les données sont conservées pendant 1 mois à compter du départ du membre de l’association » serait acceptable, en veillant à ne pas trop allonger le délai (2 mois max., ici, je pense, mais la jurisprudence décidera) ;
• du droit de retirer son consentement, sauf si le non-traitement des données pose un problème légitime à l’association ;
• l’existence des divers droits de l’utilisateur ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• des informations sur les conséquences éventuelles de la non-fourniture de ces données.

Dans le cas particulier du papier (art. 7 RGPD) : « la demande de consentement est présentée sous une forme qui la distingue clairement de[s] autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. », ce qui renforce mon opinion d’ajouter une petit case à cocher.

Il faut ensuite que ces mentions soient applicables, ce qui implique une mise en place officielle d’un responsable de traitement, le respect des droits de l’utilisateur, le contrôle (léger) des sous-traitants, et l’effacement effectif des données après la date indiquée.

Notons ensuite que, dans votre cas, Google est aussi un sous-traitant, il faut donc le mentionner et vérifier le respect de ses obligations légales. Pour ce sondage Google form, le fait qu’il soit facultatif change la donne, et il faut évidemment le préciser autant que possible (dans le courriel et sur le sondage si possible). Ton instance Dolibar n’est pas soumise, quant à elle, aux règles du RGPD, car tu la gères en tant qu’individuel, mais soyez vigilants que ce ne soit pas interprété comme une mission cachée de l’association.

Pour ce qui est des informations, il faut normalement se demander en amont si chaque donnée traitée est absolument nécessaire (ce qui me semble être le cas), si les précautions de sécurité sont prises (pas de donnée particulièrement sensible au niveau du Règlement, mais peut-être pour la future loi française) et si elles ont une sensibilité particulière.

Je conseille là-dessus d’établir un registre clair, organisé en diverses colonnes :

• quel donnée ?
• pour quel usage ?
• traitement manuel / auto. ?
• donnée sensible ?
• obligatoire ?

En plus de ça, il faudra mettre au clair, de manière générale (ou détaillée, mais ça doit apparaitre clairement quelque part, pas juste dans vos têtes) :

• la durée de conservation ;
• la base légale du traitement ;
• les mesures de sécurité applicables ;
• les procédures à effectuer lors de l’exercice d’un droit par une personne.

J’en oublie sûrement, car il faut bien se poser pour tout énumérer, mais c’est nécessaire. Une chose me fait tiquer toutefois : « Souhaitent-ils recevoir par mail l’actualité de l’asso : Ils la recevront quand même. », ce n’est pas possible, si on leur demander leur avis, alors ils doivent pouvoir refuser (et leur demander leur avis est nécessaire, ici).

La seule données qui pourrait être considérée sensible est « leurs réseaux intéressants pour nous  » : attention aux réseaux syndicaux, politiques, etc, qui sont des données sensibles, et requirent donc un consentement explicite spécifique.

Pour moi, les procédures ne posent pas de soucis, vous faites ce que vous voulez en interne, tant que l’utilisateur est au courant au moment du consentement, et comme il n’y a pas de recoupage externe, il me semble que vous avez ici un schéma très classique.

Pour résumer, il n’y a qu’un pas à votre conformité : le consentement (et, dans une moindre mesure, la preuve de la conformité) ; il faudrait prendre le temps de lister les intermédiaires, de rédiger un bout de mentions légales, et tout serait conforme ; vos méthodes sont parfaitement loyales (et licites) et il ne manque plus qu’elle ne soient transparentes pour que chacun soit content. Le contrôle des sous-traitants peut aussi sembler un problème, mais il n’en est pas un, car le contrôle des obligations du sous-traitant est limité, et s’oriente vers les points importants de la loi (il faut que vous puissiez accéder aux données que le sous-traitant a sur vos membres).

Dans tout les cas, ne paniquez pas, et prenez le temps de tout mettre en place : la CNIL ne contrôlera probablement que peu les associations, et les règles devraient être plus souples en la matière ; mon message devrait donc couvrir très largement les problèmes encourus (notons toutefois que je ne saurait être tenu responsable en cas de problème).

N’hésite pas si je n’ai pas répondu à tout, je me perds dans la longueur de nos deux messages ; et si tu as des questions plus amples sur l’application pratique des mesures proposées.

PS :

Ah, et on prend aussi des mails pour une newsletter, mais on met un lien de désinscription dessus. Il est pas automatique je crois, il faut qu’on vérifie manuellement, mais à ce moment-là (ou après un mail) on supprime le mail de la base.

C’est réglo et conforme.

Bonjour,

Je « squatte » ce topic, pour poser ma question. On est une association de petite taille (une dizaine de membres). L’inscription se fait via un formulaire papier, et les membres sont inscrit dans Garradin, pour suivre la liste des membres et de la cotisation. On a pensé faire le formulaire suivant :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

Formulaire d’inscription

Prénom et Nom (obligatoire) ____
Courriel (obligatoire) ___
Téléphone (facultatif) ___
[ ] J’accepte que mes données soient traitées conformément à la déclaration de confidentialité jointe
[ ] J’accepte de recevoir la lettre d’information

Déclaration de confidentialité :

Les fichiers membres sont gérés par le logiciel Garradin, hébergé sur le site de l’association, hébergé en France.
Ils sont destinés à suivre le nombre d’adhérents et à les contacter au besoin (convocation à une assemblée générale, informations concernant la vie de l’association) ;
Les données sont conservées pendant 1 mois à compter du départ du membre de l’association ;
Vous pouvez à tout moment être retiré du fichier, par simple demande au bureau de l’association ;

`

(Il manque la question Qwerty ^^)

Merci énormément Titi_Alone ! Je me demandais en fait à quel point on considérait cela comme du traitement de données parce que la notion est assez floue.

Effectivement, c’est un problème pour la newsletter, mais je viens seulement d’y penser. Quand on fait une newsletter, on prend la liste des adhérents + la liste des contacts newsletter. Mais il n’y a pas d’option dans les adhérents pour les marquer comme ne voulant pas la newsletter, sauf si Dolibarr prend en réalité en compte les demandes de désinscription.

Les réseaux intéressants c’est une question ouverte, et normalement notre association est apolitique (précisé dans la charte qu’ils signent). Mais on ne traite pas du tout ces données en fait, on les stocke juste dans le résultat du formulaire, et les réponses ne sont jamais effacées. D’ailleurs, j’y pense, mais des anciens membres non renouvelés ont peut-être leurs réponses encore stockées dedans… Argh, faut que je regarde ça.

Je vais poster directement le lien vers ta réponse pour en discuter avec le CA, merci encore !

Et bien sûr, tu n’es en rien responsable ^^

@qwerty : je ne sais pas quelle est ta question, mais si c’est "Ce formulaire est-il conforme ?", c’est un presque oui, car il manque des informations :

• identité et coordonnées du responsable de traitement (une personne physique à qui s’adresser) ;
• l’existence de droits sur les données (autres que celui de retrait, comme rectification, accès, etc) ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• des informations sur les conséquences éventuelles de la non-fourniture de ces données.

Je verrais bien quelque chose comme ça, typiquement (modifications en **) :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

Déclaration de confidentialité :

Les fichiers membres sont gérés par le logiciel Garradin, *mis en place* sur le site de l’association, hébergé en France.
Ils sont destinés à suivre le nombre d’adhérents et à les contacter au besoin (convocation à une assemblée générale, informations concernant la vie de l’association) *; ces fichiers sont absolument nécessaires à l’association, et nul ne saurait en être adhérent sans en faire partie*.
Les données sont conservées pendant 1 mois à compter du départ du membre de l’association.
*En cas d’opposition au traitement de ces données, et si ces clauses vous sembles abusives, vous pouvez adresse une réclamation auprès de la CNIL.*

*Conformément au Règlement Général sur la Protection des Données, vous pouvez obtenir communication et, le cas échéant, rectification ou suppression des informations vous concernant, en adressant un courrier postal [électronique] à la personne suivante :

[adresse ou courriel (ne pas oublier de mettre nom/prénom)]*

Avec ça, tu devrait montrer suffisamment de bonne volonté pour éviter les sanctions.

identité et coordonnées du responsable de traitement (une personne physique à qui s’adresser) ;

On peut indiquer : président de l’association et filer l’adresse de l’association ? Histoire d’éviter à chaque fois modifier le tract à chaque changement de bureau ?

Hum, j’allais répondre non, mais j’ai regardé, et c’est finalement oui, après relecture du texte, le responsable du traitement peut être la structure elle-même (et donc une personne morale), donc ok pour ne même pas mettre ses noms et prénoms.

Cela implique que si la gouvernance des données est collégiale, il est possible de dire que l’entièreté d’une structure est responsable du traitement.

Merci !

Voilà le texte final:

Les « informations personnelles » sont des informations qui vous identifient en tant que personne ou qui concernent une personne identifiable. Nous collectons les informations suivantes, par le biais du bulletin d’adhésion : prénom et nom, courriel, téléphone.

Les fichiers membres sont gérés par le logiciel Garradin, mise en place sur le site de l’association, lui- même hébergé en France. Ce logiciel permet de suivre le nombre d’adhérents, d’avoir une comptabilité à jour (à travers le paiement des cotisations). Il permet aussi de contacter les adhérents, pour la convocation à une Assemblée générale, ou pour transmettre des informations dans la gestion courante de l’association. Ces fichiers sont absolument nécessaires à l’association, et nul ne saurait en être adhérent sans en faire partie. Les données sont conservées pendant 1 mois à compter du départ du membre de l’association.

En cas d’opposition au traitement de ces données, et si ces clauses vous semblent abusives, vous pouvez adresse une réclamation auprès de la CNIL. Conformément au Règlement Général sur la Protection des Données, vous pouvez obtenir communication et, le cas échéant, rectification ou suppression des informations vous concernant, en adressant un courrier électronique à la personne suivante : EMAIL

Il me semble que c’est bon, la CNIL ne vous embêtera pas, si le reste est ok (sécurité, applicable des droits, etc).