La rentrée est souvent synonyme d’inscription et d’adhésion auprès des structures associatives, sportives et culturelles pour les adultes et les enfants. Comment accompagner ces structures pour assurer leur conformité en matière de protection des données personnelles (RGPD) et protéger les droits des adhérents ?

Les structures associatives, sportives et culturelles sont amenées à collecter et traiter un nombre important de données personnelles. En effet, la gestion des adhésions et/ou inscriptions entraîne souvent la collecte de données personnelles très diverses (par exemple : données relatives aux mineurs, données relatives à l’état de santé, données relatives aux relations familiales etc..). Le traitement des données personnelles des sportifs et adhérents par les structures associatives, sportives et culturelles se déroule d’ailleurs toute l’année, par exemple pour l’envoi d’informations par email, l’organisation d’évènements, l’animation d’un site internet, la publication de photos ou vidéos etc...

Ces structures sont soumises aux obligations définies dans le Règlement Générale sur la Protection des Données (RGPD) et à la Loi informatique et libertés (LIL) dans le cadre de cette collecte et des traitements de données personnelles de leurs adhérents. Cette réglementation peut parfois représenter une lourde gestion administrative.

En France, la Commission Nationale Informatique et Libertés (CNIL) a publié divers supports pour accompagner les structures associatives, sportives et culturelles pour la mise en conformité de la collecte et des traitements de données personnelles. Les structures sont pour la plupart des responsables de traitement , c’est à dire la personne morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données personnelles à qui il incombe des obligations spécifiques.

En particulier, les associations sportives (non-professionnelles) peuvent se référer aux informations suivantes sur le site de la CNIL :

• Les grandes notions de la protection des données dans le secteur du sport amateur (hors contrat) [1] : une synthèse des notions à connaitre pour la mise en conformité des structures associatives, sportives et culturelles au RGPD et à la LIL.
• Questions-réponses sur la protection des données dans le secteur du sport amateur (hors contrat) [2] : la CNIL y reprend les principales problématiques des structures sportives pour la collecte et la gestion des données personnelles.

Ces supports permettent aux structures associatives, sportives et culturelles de débuter leur mise en conformité au RGPD. Plusieurs actions prioritaires ont été listées par la CNIL afin de guider ces organismes. Nous vous proposons ci-dessous une synthèse des principales mesures qui peuvent être mises en œuvre au sein des structures sportives et culturelles :

• Cartographier les traitements de données personnelles : il s’agit principalement d’identifier les données personnelles collectées et lister les traitements de données personnelles qui sont effectués par la structure. En particulier, cela permet de déterminer les raisons pour lesquelles ces données sont collectées.
• Désigner un délégué à la protection des données (DPO ou DPD), selon que ce soit obligatoire ou facultatif : en principe il s’agit surtout de désigner au sein de la structure une personne en charge des questions relatives à la protection des données personnelles (par exemple : un membre du bureau etc..). Parfois et en fonction des traitements et de l’activité de la structure, il peut être nécessaire de désigner un Délégué à la Protection des Données (DPD ou DPO) auprès de la CNIL [3].
• Mettre en place des mesures pour garantir la sécurité des données personnelles (mots de passe, protection des locaux, etc.) : en fonction de l’activité de la structure, il s’agit de s’assurer que les données personnelles sont protégées et ne sont pas facilement accessibles par une personne tierce.
• Informer les personnes concernées et gérer leurs droits : les structures doivent informer les personnes concernées (par exemple : adhérents, bénévoles, salariés etc...) des traitements de données personnelles réalisés. Cette information doit également fournir aux personnes concernés les moyens d’exercer leurs droits relatifs à leurs données personnelles (par exemple : droits d’accès, de rectification, d’opposition, d’effacement, etc...). La CNIL fournit notamment des modèles standards qui doivent être personnalisés à l’activité propre de chaque structure [4].
• Sécuriser les relations avec les prestataires (qualifiés de sous-traitants) qui interviennent sur les données personnelles des structures (par exemple une société en charge de la maintenance des systèmes informatiques, fournisseurs de logiciels de comptabilité, de gestion des inscriptions etc...).
• Mener des analyses d’impact sur la protection des données (AIPD) si nécessaire : ces analyses sont requises lorsqu’un traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées [5].

La mise en œuvre de ces mesures permet de débuter la mise en conformité au RGPD des structures associatives, sportives et culturelles et assurer un niveau minimal de protection des données personnelles.

La conformité en matière de données personnelles reste cependant un processus qui doit faire l’objet d’un suivi régulier. Il est donc nécessaire de régulièrement vérifier que les traitements n’ont pas évolué, que les procédures mises en place sont bien respectées.

Julie Bader, Avocat Business Law - IP/IT/Data Barreau de Paris https://www.linkedin.com/in/julie-bader-311134a2/