Votre association et la CNIL : quelles déclarations effectuer ?

Quand une association importe sa base de membres dans AssoConnect, une question revient assez souvent : y a-t-il des déclarations ou démarches à effectuer auprès de la CNIL ?

Cette question témoigne à la fois d’une préoccupation légitime pour la réglementation des associations loi 1901 (comme loi 1905 et 1908) mais également d’une légère angoisse relative à la CNIL.

Si l'arrivée du fameux RGPD a remis la CNIL sur le devant de la scène, peu de monde la connaît vraiment.

La CNIL, c’est la.

La CNIL, qu'est-ce que c'est ?

La CNIL, c’est la.

C’est une  autorité administrative indépendantecréée en 1978.

Elle est indépendante :

• Par sa structure : elle est composée d’un collège pluridisciplinaire de 18 membres (parlementaires, personnalités, représentants des hautes juridictions, membres du Conseil économique, social et environnemental) et de 192 agents contractuels de l’Etat.

• Par ses statuts : elle ne reçoit d’instruction d’aucune autorité et les ministres, autorités publiques ou chefs d’entreprise ne peuvent s’opposer à son action.

Ses missions principales :

• "Accompagner les professionnels dans leur mise en conformité"
• "Aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits."
• "Contrôler et sanctionner" notamment par des amendes et par l’interdiction de continuer à stocker certaines données.

Vous pouvez contacter la CNIL au numéro suivant : 01 53 73 22 22

Après ce préambule, passons maintenant à LA question.

Est-il obligatoire de déclarer ses données à la CNIL en tant qu’association ?

Nous allons vous faire une réponse en deux temps, ne vous arrêtez donc pas à la phrase suivante.

En principe, les associations sont dispensées de déclaration de données à la CNIL.

Pourquoi cette dispense ?

La délibération du 10 juin 2010 relève que "Les traitements de données à caractère personnel mis en œuvre par des organismes à but non lucratif (...) constituent des traitements courants ne paraissant pas susceptibles de porter atteinte à la vie privée des personnes dans le cadre de leur utilisation régulière."

Attention cependant, si vous stockez les données suivantes, votre association n'est pas dispensée :

• Les origines raciales ou ethniques,
• Les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes.

En revanche, et cela peut sembler paradoxal, "les fichiers de membres d’associations ou d’organismes à but non lucratif à caractère religieux, philosophique, politique ou syndical sont dispensés de déclaration.

Parenthèse à propos de religion : ne manquez pas notre article sur la loi séparatisme et le contrat d'engagement républicain !

Il en est de même des fichiers des personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité." Voir Article 22-II-2 de la loi du 6 janvier 1978 modifiée.

- les données relatives à la santé ou à la vie sexuelle

Si vous êtes une association médico-sociale, attention notamment au stockage des données de santé qui est très réglementé en France.

- les infractions, condamnations ou mesures de sûreté

- les données relatives aux difficultés sociales et économiques des personnes

- le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou numéro de sécurité sociale).

En complément de cette absence d’obligation générale, voici les bonnes pratiques à observer sur le sujet.

CNIL : les bonnes pratiques pour les associations

Elles vous permettront d’être en conformité mais témoigneront également auprès de vos membres d’une vraie connaissance et d'un vrai respect de leurs droits.

CNIL : bonne pratique #1 : Informer ses membres

En tant que responsable associatif, vous devez informer vos membres de leurs droits concernant le stockage et l’utilisation de leurs données.

Prenons le cas classique de l’annuaire d’une association.

L’annuaire en ligne est souvent présent sur les sites des associations professionnelles ou d’anciens élèves.

Il existe un risque pour l’adhérent puisque ses informations pourraient être reprises par des tiers.

Vous devez donc informer les adhérents qu’ils figureront dans l’annuaire et leur donner la possibilité de refuser d’y figurer.

Sur votre bulletin d’adhésion ou sur votre page d’adhésion en ligne, la CNIL vous conseille de faire figurer la mention suivante :

Vous pouvez également mettre dans votre formulaire d’adhésion une case à cocher afin de simplifier la démarche de l’adhérent

D’un point de vue purement informatique et pratique, nous vous recommandons de limiter l’accès à l’annuaire à vos seuls adhérents ou de faire 2 versions de l’annuaire : une publique avec peu d’informations et une privée avec davantage d’informations.

D’une manière générale, vous devez indiquer comment vous allez exploiter les données de vos adhérents. Vous avez par exemple le droit de revendre les données à des fins commerciales mais vous avez le devoir d’informer les personnes concernées et de leur laisser la possibilité de refuser.

CNIL : bonne pratique #2 : Bien gérer les départs d'adhérents

Selon la CNIL, « Les données à caractère personnel ne peuvent être conservées après la démission, la radiation ou le départ, sauf accord exprès de l’intéressé. »

Cela peut être problématique si, par exemple, vous souhaitez relancer les adhérents de l’année dernière qui n’ont pas encore renouvelé leurs cotisations.

A vous de trouver la juste mesure et de faire régulièrement le tri dans vos données en supprimant les contacts qui n’ont plus de liens avec l’association.

CNIL : bonne pratique #3 : Se fixer des limites dans les relances des donateurs

La CNIL est assez précise sur ce point :

Si ces recommandations peuvent paraître compliquées à appliquer, elles ont pour vertu de vous obliger à bien cibler vos campagnes de relance de dons.

S'agissant des campagnes d'appels aux dons, si vous louez un fichier, vous devez également détruire ces données à la fin de votre campagne :

« Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées. »

Encore une fois, à vous de définir une durée raisonnable pour votre campagne...

CNIL : bonne pratique #4 : Veiller à la sécurité de ses données

La CNIL précise que "le responsable du fichier doit prendre toutes les mesures utiles afin d’assurer la sécurité des informations personnelles collectées".

Nous vous conseillons donc de vous renseigner sur les conditions d’hébergement proposées par votre prestataire de CRM. Ne tombez pas non plus dans la paranoïa : pour la plupart des éditeurs de logiciel, ces questions de sécurité sont essentielles et vitales.

Par ailleurs, avoir ses données sur son ordinateur plutôt que chez un hébergeur n’est pas synonyme d’une sécurité accrue.

La CNIL répond à d’autres questions sur cette page. N'hésitez pas à les contacter directement si vous avez des questions plus précises !

Conclusion

Et voilà, vous devez désormais y voir un peu plus clair sur les obligations et les règles en vigueur pour les associations envers la CNIL.

Si la majorité des associations ne sont en principe pas tenues de déclarer quoi que ce soit à la CNIL, certaines structures et certaines données font exception.

Il vous revient donc de prêter une attention particulière à ce sujet afin de ne pas déborder. Heureusement, vous avez maintenant toutes les armes pour le faire en toute sérénité !

Ces articles peuvent également vous intéresser :

• Les mineurs peuvent-ils s'engager en association ?
• Les associations sont-elles concernées par le droit du travail ?
• Comment faire reconnaître son association d'utilité publique ?
• Quel est le statut juridique d'une association ?