Règlement général sur la protection des données (RGPD) : les bonnes pratiques à adopter  !

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur, ajoutant de nouvelles obligations pour les structures qui collectent des données personnelles. Vous profitez de vos événements pour recueillir les mails des participant·e·s ? Vous envoyez, même ponctuellement, des mailings et des newsletters à tous vos contacts ? Vous utilisez des formulaires en ligne pour gérer des inscriptions ou réaliser des sondages ? Et dans tout ça, avez-vous pensé à prendre en compte cette nouvelle réglementation ? Si ce n’est pas le cas, pas de panique, on vous dit comment procéder !

Avant toute chose, qu’entend-on par “données personnelles” ?

Selon la CNIL (Commission nationale de l’informatique et des libertés), les données personnelles concernent toutes les informations permettant d’identifier une personne (nom, adresse e-mail, numéro de sécurité sociale, adresse IP, etc.). À ce jour, de nombreux sites internet collectent les données personnelles de leurs utilisateur·rice·s sans que ces dernier·ère·s en aient toujours conscience pour en tirer bénéfice, en les vendant par exemple à des annonceurs. Et vous l’avez bien compris, cela peut poser problème quant au respect et à la préservation des libertés individuelles. Afin de protéger les données personnelles des citoyen·ne·s, le RGPD vise justement à renforcer les devoirs et les responsabilités de toutes les structures, le secteur privé n’étant pas le seul concerné.

Même si ce sont à priori les grandes entreprises qui seront amenées à être soumises au contrôle de la CNIL, les associations, et même les plus petites, ne pourront déroger à la nouvelle réglementation sous peine de risquer quelques ennuis, la procédure de plainte étant désormais simplifiée pour tout·e utilisateur·rice souhaitant entamer une poursuite.

Un conseil donc, protégez-vous de ces risques judiciaires ! Oui mais dans la pratique, comment fait-on ?

Le RGPD est assez complexe, mais voici deux notions introduites qui concernent particulièrement les associations :

Le consentement renforcé

  • Il faut dorénavant le consentement explicite d’une personne pour pouvoir utiliser ses données. Cela signifie par exemple, qu’à la fin d’un formulaire à remplir, il ne peut plus y avoir de case pré-cochée par défaut, afin de s’assurer que l’utilisateur·rice ait bien pris connaissance des conditions.
  • Le consentement doit être donné pour chaque utilisation des données, en détaillant concrètement comment celles-ci seront utilisées. Le consentement global de type « j’accepte toute utilisation de mes données » n’est donc plus envisageable !

Le droit d’information

  • Il faut informer les personnes des raisons pour lesquelles vous collectez leurs données, expliquer qui y a accès et combien de temps vous les conserverez. Cela veut dire ajouter des mentions comme « Votre code postal nous permet de faire des statistiques sur nos utilisateur·rice·s. Cette information est conservée pour une durée illimitée. Elle n’est pas transmise à des tiers. »
  • De même si vous faites du suivi sur votre site web avec des outils comme Google Analytics, vous devez en informer vos utilisateur·rice·s.

 

Concrètement, cela concerne surtout vos newsletters, vos campagnes de dons, etc. Vous devez vous assurer d’avoir le consentement explicite de toutes les personnes à qui vous envoyez des mails.

Si vous avez déjà des données personnelles recueillies sans consentement explicite (c’est le cas le plus probable), vous devez alors envoyer un mail aux personnes pour leur demander leur consentement.

 

Enfin, lorsque vous collecterez des données personnelles à l’avenir, vérifiez que le support utilisé comporte les éléments suivants :

  • Les motifs pour lesquels vous collectez les données, leur « finalité » (par exemple  « J’accepte que mon adresse e-mail soit utilisée pour me tenir au courant des événements organisés près de chez moi » ) ;
  • Ce qui vous autorise à traiter ces données, le « fondement juridique » (il peut s’agir du consentement de la personne concernée) ;
  • Qui a accès aux données (votre asso uniquement ? Tous les membres de son réseau ?)
  • Combien de temps vous les conservez (durée limitée ou illimitée ?) ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (mentionner cette possibilité via une adresse email dédiée).

 

Un cas concret pour illustrer. Si vous envoyez une newsletter, celle-ci doit obligatoirement comporter à la fin un paragraphe de ce type :

Conformément au Règlement général sur la protection des données personnelles (RGPD) entré en application le 25 mai 2018, vous pouvez à tout moment accéder aux informations vous concernant, en demander la rectification ou la suppression. Ces informations sont strictement réservées à l’usage de (nom de votre asso). Elles ne sont ni vendues, ni échangées. Si vous ne souhaitez plus recevoir cette lettre électronique, cliquez ici.”

 

Pour aller plus loin, n’hésitez pas à consulter le guide de sensibilisation au RGPD élaboré par la CNIL !

Soyons sociaux
Réagir c'est agir