Les associations sont-elles concernées ?

Oui, les associations doivent respecter le Règlement européen sur la protection des données applicable depuis le 25 mai 2018.
Si elles collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les associations sont “responsable de traitement”.
Si elles traitent des données à caractère personnel pour le compte d’autres personnes morales. Dans ce cas, les associations sont “sous-traitantes”.

 

Le consentement
La question à laquelle vous devez répondre en vous mettant à la place du consommateur, que vont-ils faire de mes données ? Sont-elles protégées ?
Obtenir un consentement libre et éclairé. 
Lorsque le consommateur est prêt à vous donner son consentement, le formulaire au travers duquel les données vont être recueillies doit être clair, et détaillez les différents cas de figure dans lesquelles vous souhaitez utiliser ses données.
Précisez par exemple avec un rédactionnel clair, non interprétatif que les adresses mails ne sont pas communiquées à qui que ce soit (pas de partenariats et autres) tout en sachant qu’il y a des partenariats légitimes comme par exemple les banques pour le débit de la carte bancaire.
Précisez que le consentement n’est valable que pour une durée de 1 an le consentement tombe au-delà et l’utilisateur ne devra plus être contacté, à moins d’organiser la demande d’un nouveau consentement 1 ou 2 mois avant la date butoir.

Le registre contenant ces fichiers doit être protégé idéalement avec un chiffrement des données.

Quelques principes :

  • QUI ?
    Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
    Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
    Établissez la liste des sous-traitants.
  • QUOI ?
    Identifiez les catégories de données traitées
    Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)
  • POURQUOI ?
    Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).
  • OÙ ?
    Déterminez le lieu où les données sont hébergées.
    Indiquez quels pays les données sont éventuellement transférées.
  • JUSQU’À QUAND ?
    Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
  • COMMENT ?
    Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

Les demandes d’accès
1 mois est le délai maximum pour répondre à une demande d’un consommateur.

 

Pouvons nous toujours communiquer avec nos membres ou sympathisants  présents dans notre, nos fichiers et listes de diffusion sans avoir à obtenir leur consentement ?

Non, il faudra obtenir leur consentement préalable même si vous étiez déjà en relation antérieurement, en leur envoyant un mail expliquant la raison de la démarche.

Pourquoi ?
Au moment, à l’origine de l’inscription comme membre, ou simplement comme lecteur de votre newsletter, les conditions d’utilisation des données personnelles de ses consommateurs n’avaient pas été définies comme le prévoit la RGPD.

Il faut donc repartir de zéro avec les nouvelles règles.

Cette démarche peut se faire au travers d’un formulaire en place sur votre site, blog ou RS par exemple.

Le formulaire devra dans le détail clairement définir les conditions du consentement pour les informations demandées.

Si vous n’avez pas de réponse à la demande de consentement au terme d’une relance et d’un délai raisonnable vous devrez purger les adresses mails concernées du registre.

Vous pouvez lire également ce paragraphe dédié au sujet de la prospection commerciale.

 

N’achetez pas, ne louez pas d’adresses mails, de SMS, de numéros de fax sans avoir acquis juridiquement la certitude de l’origine et de la conformité de ceux-ci.

Vous devez pouvoir justifier, expliquer l’origine des adresses mails que vous détenaient ainsi que l’utilisation qui vous en a été autorisée de faire (consentement).

 

A proscrire

  • Collecter des adresses électroniques de particuliers sur des sites internet ou des forums de discussion.
  • Présumer du consentement du consommateur en proposant des cases pré-cochées.
  • Conditionner l’accès à un service, l’achat d’un bien ou le bénéfice d’une réduction à l’acceptation de recevoir des messages publicitaires par voie électronique.
  • Utiliser des phrases a double sens…

 

Le consentement doit être enregistrée, traçable et « non bidouillable »

Nous avons des solutions pour vous conseiller dans la conception, la mise en œuvre et la gestion des consentements et des demandes d’accès. 

 

 

  

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées,divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez le signaler à votre DPO, et en absence de DPO à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.