En tant que responsables au sens de l'article 4, point 7, du RGPD, les associations sont tenues de remplir toutes les exigences en matière de protection des données et de prouver leur respect (article 5, paragraphe 2, du RGPD - obligation de rendre des comptes). La mise en œuvre pose régulièrement des défis pratiques considérables, en particulier pour les petites associations organisées à titre bénévole. Les explications suivantes résument les principales obligations au sein de l'association.
Légitimité du traitement des données
La base juridique centrale pour le traitement des données dans l'association est l'article 6, paragraphe 1, point b) du RGPD - l'exécution du contrat d'association, concrétisée par les statuts de l'association. En outre, des intérêts légitimes (art. 6, paragraphe 1, point f) du RGPD) ou des consentements (art. 6, paragraphe 1, point a) du RGPD) peuvent justifier le traitement. Ces derniers sont notamment nécessaires lorsque des données sont traitées ou publiées au-delà des finalités de l'adhésion (p. ex. photos, listes d'anniversaires, appels aux dons par e-mail). Le consentement doit être volontaire, informé, univoque, lié à l'objectif et révocable à tout moment. Il doit être documenté par écrit ou par voie électronique et ne doit pas se cacher dans des déclarations générales.
Pour le traitement de catégories particulières de données à caractère personnel (article 9 du RGPD) - par exemple les données relatives à la santé - un consentement explicite est régulièrement requis. Cela concerne typiquement les groupes d'entraide, les syndicats ou les associations religieuses.
Responsabilité organisationnelle au sein de l'association
Le conseil d'administration de l'association doit se porter garant, tant en droit qu'en fait, du respect des dispositions légales en matière de protection des données (§ 26 al. 1 p. 2 BGB en relation avec l'art. 24 RGPD). Il doit prendre les mesures techniques et organisationnelles appropriées afin de garantir la légalité du traitement des données.
Cela inclut également la délégation de tâches, dont la mise en œuvre conforme à la protection des données doit être garantie. Même en cas de délégation, la responsabilité globale reste du ressort du comité directeur.
Confidentialité et obligation d'information
Toutes les personnes chargées du traitement des données personnelles au sein de l'association doivent s'engager à respecter la confidentialité. Certes, le RGPD ne contient pas de disposition équivalente au § 5 de l'ancienne BDSG, mais un engagement documenté sur les principes de protection des données de l'article 5, paragraphe 1 du RGPD est nécessaire.
En outre, il convient de s'assurer que les personnes concernées - notamment les membres, les bénévoles et les prestataires de services - sont informées du traitement de leurs données conformément aux articles 13 et 14 du RGPD. Ces obligations d'information devraient être intégrées dans le formulaire d'adhésion, une information ultérieure étant recommandée pour les adhésions déjà existantes.
Sécurité du traitement au sein de l'association
La sécurité du traitement des données à caractère personnel est un principe central du RGPD. Conformément à l'article 32 du RGPD, les responsables de traitement - donc également les associations - sont tenus de prendre des mesures techniques et organisationnelles (TOM) appropriées afin de garantir un niveau de protection adapté aux risques. Ces mesures doivent être régulièrement contrôlées et, le cas échéant, adaptées.
Les mesures de protection techniques sont par exemple : Cryptage des données enregistrées et transmises (par ex. cryptage de transport et de bout en bout pour les e-mails), protection par mot de passe et authentification à deux facteurs lors de l'accès aux données des membres, mises à jour régulières de sécurité et logiciel antivirus, comptes d'utilisateurs séparés pour les systèmes utilisés en commun, mécanismes de blocage automatique en cas d'inactivité.
Les mesures organisationnelles au sein de l'association comprennent entre autres : un concept d'autorisation et de rôle clairement défini pour l'utilisation des données, la formation des membres du comité directeur et des bénévoles à une utilisation sûre des données personnelles, l'élaboration d'un concept de protection des données et de sécurité informatique, la définition de voies de communication en cas d'incidents de protection des données, des règles écrites pour l'utilisation d'appareils privés ("Bring Your Own Device") ainsi que leur contrôle.
En outre, les concepts de sauvegarde, la journalisation des accès ainsi que les concepts de suppression des données qui ne sont plus nécessaires doivent également être considérés comme des éléments de l'organisation de la protection des données.
Conseil de lecture : La newsletter entre RGPD et ePrivacy - le consentement n'est pas toujours nécessaire
Droits des personnes concernées
Les associations doivent mettre en place des procédures internes qui garantissent un traitement rapide, complet et conforme à la protection des données des demandes des personnes concernées. Cela comprend notamment la mise en place d'un point de contact central pour les demandes de protection des données, la formation des personnes compétentes ainsi que la documentation des demandes reçues et de leurs étapes de traitement.
Conformément à l'article 15 du RGPD, les personnes concernées ont le droit d'obtenir des informations sur les données stockées à leur sujet. Ce droit d'accès porte notamment sur les finalités du traitement, les catégories de données traitées, les destinataires ou les catégories de destinataires auxquels les données ont été ou seront divulguées, la durée de conservation prévue ou les critères de détermination de cette durée, ainsi que sur l'existence d'autres droits des personnes concernées. Des informations doivent également être fournies sur l'origine des données (si elles n'ont pas été collectées auprès de la personne concernée) et sur l'existence d'une prise de décision automatisée, y compris le profilage.
En outre, les personnes concernées ont le droit, dans certaines conditions légales, de :
- Rectification des données inexactes (article 16 du RGPD),
- l'effacement ("droit à l'oubli", article 17 du RGPD),
- la limitation du traitement (article 18 du RGPD),
- la portabilité des données (art. 20 RGPD) ainsi que
- s'opposer au traitement de leurs données (art. 21 RGPD).
Les associations sont tenues de respecter ces droits dans les délais impartis - en général dans un délai d'un mois - et d'informer la personne concernée des mesures prises. Si les demandes sont rejetées, il convient d'en donner les raisons et d'informer du droit de recours auprès de l'autorité de contrôle de la protection des données.
Délégué à la protection des données et registre des activités de traitement au sein de l'association
Un délégué à la protection des données doit être désigné si au moins 20 personnes traitent régulièrement des données à caractère personnel de manière automatisée (§ 38 BDSG). Les bénévoles et les personnes travaillant à temps partiel doivent également être pris en compte. S'il n'y a pas d'obligation de désignation, une désignation volontaire peut être recommandée en cas de risques particuliers, par exemple pour les groupes d'entraide ou les associations politiques.
Chaque association doit également tenir un registre des activités de traitement conformément à l'article 30 du RGPD. Celui-ci doit contenir toutes les activités régulières de traitement des données, notamment la gestion des membres, le décompte des cotisations ou l'exploitation d'un site web. L'exception prévue à l'article 30, paragraphe 5, du RGPD ne s'applique guère dans la pratique, car les associations traitent régulièrement et durablement des données à caractère personnel.
Analyse d'impact sur la protection des données
Une Analyse d'impact sur la protection des données (AIPD) conformément à l'article 35 du RGPD doit être effectué lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. C'est rarement le cas dans les activités typiques d'une association, mais cela pourrait être pertinent si
- de nombreuses données relatives à la santé sont collectées et traitées dans les groupes d'entraide,
- un suivi systématique ou une surveillance vidéo est effectué,
- des catégories de données particulièrement sensibles sont analysées à l'aide de techniques d'IA ou de profilage.
Si la DSFA est obligatoire, elle doit être effectuée et documentée avant le début du traitement des données. En outre, les mesures de réduction des risques doivent également être mentionnées et l'autorité de contrôle doit être consultée si aucune réduction des risques ne peut être obtenue.
En cas de doute, les associations devraient faire vérifier si une DSFA est nécessaire et procéder à une évaluation structurée des risques pour se couvrir. En revanche, pour de nombreux traitements standard - comme la gestion des membres ou le décompte des cotisations - il n'y a généralement pas d'obligation d'effectuer un DSFA.
Conformément à l'article 32 du RGPD, des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour sécuriser le traitement des données. En font notamment partie le cryptage, les concepts d'autorisation, la séparation des bases de données associatives et privées et une gestion efficace des terminaux qui sont également utilisés dans le Home Office. En outre, un concept de sécurité informatique est recommandé. L'envoi de données personnelles par e-mail devrait au moins être crypté pendant le transport, un cryptage de bout en bout est recommandé pour les données particulièrement sensibles. Lors de l'utilisation d'appareils privés, il faut veiller à classifier et à séparer les données, par exemple en créant des comptes d'utilisateurs distincts.
Publication d'informations sur l'association
En cas de publication de données personnelles - par exemple des noms, des fonctions, des photos ou des anniversaires - il faut en règle générale obtenir un consentement documenté. Cela vaut en particulier pour
- Photos individuelles et de groupe lors d'événements,
- Listes de résultats de tournois ou de compétitions,
- Mention des membres d'honneur ou des anniversaires,
- Publication des comptes rendus de réunion ou des personnes de contact sur le site web.
Pour les photos, les §§ 22, 23 KUG s'appliquent en complément. Ceux-ci autorisent certes dans certains cas une publication sans consentement (p. ex. pour les images de réunions ou d'événements historiques contemporains), mais il existe des incertitudes juridiques considérables, notamment en ce qui concerne la diffusion numérique. Dans le contexte associatif, il convient donc en principe d'obtenir un consentement qui doit être clair, volontaire et révocable.
Il convient également d'être particulièrement prudent lors de la transmission à des prestataires de services : Si un tiers externe n'intervient pas seulement à titre de soutien, mais traite les données sur mandat, il s'agit régulièrement d'un traitement de commande au sens de l'article 28 du RGPD - ce qui nécessite un contrat séparé.
Pour des raisons de traçabilité et de responsabilité, chaque transmission de données - en particulier sur Internet - devrait être documentée en interne afin de pouvoir démontrer, en cas de plainte ou de contrôle par les autorités de surveillance, que les exigences légales en matière de protection des données ont été respectées.
Les transmissions de données à des tiers - notamment à des associations faîtières, des organisations proches de l'association, des prestataires de services externes ou au public via des sites web - nécessitent une base légale. La publication de données à caractère personnel sur Internet constitue une transmission de données au sens du RGPD et n'est régulièrement autorisée que sur la base d'un consentement. Il en va de même pour les photos, les comptes rendus de réunion et les listes de résultats, sauf exception prévue par la loi sur les droits d'auteur (§§ 22, 23 KUG). Par mesure de sécurité, le consentement devrait être documenté dans tous les cas - en particulier pour les photos individuelles et de groupe.
Traitement des commandes et site web
Si un prestataire de services externe est chargé du traitement des données à caractère personnel, un contrat de traitement des données doit être conclu conformément à l'article 28 du RGPD. C'est par exemple le cas lorsque l'on fait appel à des prestataires de services informatiques, à des conseillers fiscaux ou à des fournisseurs d'hébergement.
Sur le site web de l'association, une déclaration de protection des données conforme au RGPD doit être facilement accessible et consultable sur chaque sous-page. Celle-ci doit notamment contenir des informations sur le service responsable, le délégué à la protection des données (s'il a été désigné), les finalités, les bases juridiques, les délais de conservation et les droits des personnes concernées. Les bannières de consentement aux cookies et les informations transparentes sur les outils de suivi et d'analyse sont également obligatoires.
Médias sociaux
Dans la situation juridique actuelle, il est déconseillé d'utiliser les pages fan de Facebook et d'autres réseaux sociaux, car ils ne remplissent régulièrement pas les exigences du RGPD en matière de protection des données - notamment en ce qui concerne la responsabilité conjointe et les transferts vers des pays tiers. En cas d'utilisation obligatoire, il convient de prendre des mesures techniques supplémentaires (par ex. solutions à deux clics).
Source : Protection des données dans les associations après le RGPD
Vous avez besoin d'aide pour la mise en œuvre au sein de votre association ? Nous proposons des conseils pratiques en matière de protection des données et des solutions numériques - efficaces, compréhensibles et conformes à la législation.
Contactez-nous - nous vous aiderons !
☎️ +49 (228) 926165-100
📧 paris@2b-advice.com
French 
German 
English 
Italian