Le règlement général sur la protection des données (RGPD) est un règlement européen qui a pour objectif de mieux encadrer l'utilisation des données personnelles (règl. (UE) n° 2016-679 du 27 avr. 2016 ; dossier « Gestion et administration - Règlement général pour données personnelles », JA n° 571/2018, p. 16). Toute structure, y compris associative, doit s'y conformer avant le 25 mai prochain, sans quoi elle s'exposera à des amendes pouvant atteindre 4 % de son budget annuel.

Précédemment, les associations devaient déclarer l'utilisation de données personnelles à la Commission nationale de l'informatique et des libertés (CNIL). Avec ce nouveau règlement, la logique s'inverse : il est désormais de la responsabilité de l'association d'assurer la protection des données et de démontrer qu'elle agit en conformité avec les exigences réglementaires. Elle devra ainsi être en mesure de :

- prouver qu'elle a recueilli et conservé le consentement des bénévoles, adhérents, membres dont les données sont utilisées et conservées. Pas d'inquiétude, il peut simplement s'agir d'une case à cocher mise en avant lors de l'inscription, accompagnée d'un texte expliquant l'objectif poursuivi par le recueil de ces données ;

- justifier l'utilisation des données qu'elle collecte. Par exemple, si l'association ne peut justifier la demande de la date de naissance de ses membres, elle n'a pas le droit de recueillir et de conserver cette information ;

- fournir, modifier et supprimer toutes les informations recueillies pour une personne si celle-ci le demande. Si un jeune suivi par une association de recherche d'emploi souhaite récupérer toutes les informations le concernant pour les transmettre à une association d'aide au logement, l'association de recherche d'emploi doit pouvoir lui fournir l'ensemble des informations le concernant recueillies depuis son inscription ;

- prévenir les personnes concernées ainsi que la CNIL dans les 72 heures de toute perte ou fuite de données. Par exemple, si l'un des membres de l'association oublie dans le train un ordinateur portable qui n'est pas protégé par un mot de passe et qui contient un fichier listant les données d'adhérents, l'association devra le faire savoir dans les 72 heures aux personnes figurant dans ce fichier et à la CNIL.

On voit bien, à travers ces différents points, que ce nouveau règlement impose essentiellement d'avoir conscience des données recueillies, de la manière dont elles sont recueillies et dont elles sont traitées. Il s'agit donc d'amener les structures à repenser leur organisation interne pour sécuriser au maximum les citoyens. Un challenge compliqué donc, mais qui a aussi quelques intérêts. Pour une association, pouvoir garantir à ses membres un recueil, une conservation et un traitement responsables de leurs données sera un réel gage de confiance. De plus, c'est l'occasion forcée mais toujours utile de mener un audit de ses méthodes de travail, ce qui peut ensuite permettre de gagner en efficacité. Le législateur n'attend pas que toutes les structures respectent à la lettre ce nouveau règlement dès le 25 mai. Il est cependant nécessaire d'être en mesure de prouver que les méthodes de travail ont évolué pour tenter de s'y conformer. Il est donc temps de s'y mettre, sans paniquer, tout en profitant de l'opportunité pour améliorer ses processus et rassurer ses bénéficiaires.

Il faut bien garder à l'esprit que, à ce jour, personne ne maîtrise complètement les implications de ce nouveau règlement. Par exemple, France générosités travaille encore actuellement avec la CNIL pour établir un cadre clair sur la durée de conservation des données des donateurs. Comme toujours, la solidarité et l'entraide seront les ingrédients indispensables qui permettront au secteur associatif de passer ce cap. La CNIL a également développé un grand nombre de supports pour vous aider à faire le point sur vos pratiques.