Le fichier des adhérents recense tous les membres de l'association. Dès qu'un nouvel adhérent intègre l'association, son nom doit y être ajouté et, lorsqu'il la quitte ou est radié pour défaut de paiement de sa cotisation, son nom doit en être retiré.
Le fichier des adhérents est soumis à une réglementation très précise, renforcée par le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
L'association est notamment tenue d'informer les adhérents de l'existence de ce fichier, de leurs droits d'opposition, d'accès et de rectification.
Si le fichier des adhérents faisait déjà l'objet de mesures protectrices avant l'entrée en vigueur du RGPD, ce dernier va plus loin.
Le RGPD supprime la déclaration du fichier des adhérents à la CNIL. En contrepartie, les associations sont désormais pleinement responsables des données qu'elles traitent.
Les principales modifications concernent :
Le RGPD concerne toutes les structures, entreprises et associations, qui collectent les données personnelles d'une personne physique.
Les données personnelles sont toutes les informations (nom, date de naissance, numéro de Sécurité sociale, adresse IP, email…) qui concernent des personnes physiques (membres, salariés, usagers, partenaires, prospects…), peu importe l'endroit où elles sont stockées (papier, ordinateurs, serveurs, mobiles, emails, traçage - même non identifié - des visiteurs du site internet de l'association, etc.)
Exemple :
Pour être en conformité avec le RGPD, l'association doit respecter plusieurs principes de base :
La CNIL prévoit une méthodologie en 6 étapes pour se mettre en conformité.
L'association doit commencer par désigner la personne responsable du traitement de ces données et la mise en conformité de l'organisation.
En cas de contrôle, c'est lui qui sera questionné et qui devra pouvoir montrer que l'association a mis en place des mesures garantissant la protection des données personnelles des adhérents et des salariés.
Le registre des traitements de données est lui placé sous la responsabilité du président de l'association.
L'association doit identifier parmi ses activités celles qui nécessitent la collecte et le traitement de données personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des donateurs, des adhérents ou des usagers ou encore les enquêtes statistiques.
Chaque activité doit être répertoriée dans le registre des traitements de données. Il s'agit d'un document relatant l'ensemble du détail de traitement des données au sein de l'association.
Pour chaque activité ou traitement de données, l'association doit remplir une fiche de registre, c'est-à-dire un formulaire précisant :
Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données.
Exemple de fiche de registre pour le fichier des adhérents
Objectifs poursuivis :
Paiement de la cotisation annuelle
Envoi d'informations concernant le domaine d'activité (Événement / Bourse de recherche / Évolution de la règlementation / Campagnes d'information / Nouvelles études ...)
Remboursement des frais engagés par les adhérents pour le compte de l'association
Catégories de personnes concernées :
Membres de l'association
Catégories de données collectées :
Données d'identification | Civilité, Titre, Prénom, Nom, Adresse, Code Postal, Ville, Pays, Email, Sexe, Téléphone, Activité principale, Date de naissance, Type de membre, Numéro de membre, Nationalité |
Information d'ordre économique et financière | Date de paiement, Moyen de paiement, Banque émettrice du chèque, IBAN |
Données de connexion | Login, Mot de passe |
Des données sensibles sont-elles traitées ?
Non
Durées de conservation des catégories de données :
3 ans à compter de la fin de l'adhésion
Catégories de destinataires des données :
Membres de l'association
Transferts des données hors UE :
Non
Mesures de sécurité :
Contrôle d'accès des utilisateurs : accès avec mot de passe
Chiffrement des données : site accessible en https
Pour chaque fiche de registre, l'association doit vérifier :
Il peut par exemple s'agir de minimiser la collecte de données en éliminant des formulaires d'adhésion et des bases de données toutes les informations inutiles. Il convient également de définir précisément les personnes de l'association qui doivent pouvoir accéder aux données et de mettre en place des règles automatiques d'effacement ou d'archivage des données au bout d'un certain temps.
L'association doit également s'assurer que toutes les informations figurant sur les bulletins d'adhésions sont conformes au RGPD, notamment les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...).
Une analyse d'impact doit obligatoirement être menée quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées :
L'analyse d'impact n'a pas l'obligation d'être publiée mais elle doit être transmise à la CNIL s'il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consulté) ou en cas de demande de la CNIL.
Organiser les processus implique notamment :
L'association doit regrouper tous les documents lui permettant de prouver sa mise conformité avec le RGPD en cas de contrôle.
Documentation sur les traitements de données personnelles :
Registre des traitements de données
Analyses d'impact relatives à la protection des données
Encadrement des transferts de données hors de l'Union européenne (clauses contractuelles types, BCR et certifications)
Information des personnes dont les données sont collectées :
Mentions d'information
Modèles de recueil du consentement des personnes concernées
Procédures mises en place pour l'exercice des droits
Contrats :
Contrats avec les sous-traitants
Procédures internes en cas de violations de données
Preuves que les personnes concernées ont donné leur consentement
Il est indispensable d'informer et d'obtenir le consentement des adhérents lors de la collecte de toute donnée les concernant.
Il n'y a pas de formulaire ou de mentions type pour le recueil des données personnelles ; les mentions doivent être adaptées aux objectifs du traitement et à l'usage qui sera fait des données.
Le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions obligatoires répondant notamment aux questions suivantes :
Des exemples de mentions sont disponibles sur le site Internet de la CNIL.
Il n'est pas obligatoire de faire figurer directement toutes ces informations sur les bulletins d'inscription. L'association peut aussi renvoyer à une politique de confidentialité ou une page « vie privée » sur son site Internet.
Le bulletin d'adhésion doit comporter un texte de demande de consentement :
□ Je donne mon consentement au recueil et au traitement des données me concernant
Si l'association envisage de communiquer les données personnelles de l'adhérent à des tiers, il faut également recueillir son consentement :
" Acceptez-vous que vos coordonnées soient transmises à notre partenaire, l'association « Y » ? "
□ Oui
□ Non
Il faut également préciser les conditions d'utilisation des données personnelles :
" En vous inscrivant, vous acceptez que l'Association X mémorise et utilise vos données personnelles collectées
dans ce formulaire dans le but d'améliorer votre expérience et vos interactions avec ses services. En l'occurrence, vous autorisez
l'Association X à communiquer occasionnellement avec vous s'il le juge opportun afin de vous informer des dernières actualités de notre association, ses actions et ses appels aux dons, via les coordonnées collectées dans le formulaire.
" Afin de protéger la confidentialité de vos données personnelles, l'Association X s'engage à ne pas divulguer, ne
pas transmettre ni partager vos données personnelles avec d'autres entités, entreprises ou organismes quels qu'il soient,
conformément au Règlement Général de Protection des Données (RGPD 2018) sur la protection des données personnelles. "
" Pour connaitre et exercer vos droits, notamment de retrait de consentement à l'utilisation de vos données collectées par ce
formulaire, veuillez consulter notre POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES sur notre site : www.associationx.fr "
Rédaction de la politique de protection des données personnelles
La politique de protection des données personnelles peut être rédigée de la façon suivante :
Données recueillies
Les données suivantes sont recueillies avec votre accord : Nom, prénom, adresse mail, adresse postale, année de naissance.
Finalités du traitement
Ces données sont recueillies en vue de tenir à jour notre fichier d'adhérents et si vous le souhaitez (c'est-à-dire si vous avez coché la case l'acceptant), recevoir notre newsletter. En aucun cas ces données ne seront cédées ou vendues à des tiers.
Responsable du traitement
[e-mail]
Destinataire des données
Les membres du bureau ont accès à la liste des adhérents.
Droit d'accès et de rectification
Vous pouvez, en vertu du Règlement européen sur la protection des données personelles, en vigueur depuis le 25/05/2018, avoir accès aux données vous concernant ; vous pouvez demander leur rectification et leur suppression. Ces démarches s'effectuent auprès de [nom prénom e-mail]
Conservation des données
Les données sont conservées jusqu'à un an après la fin de votre adhésion ou jusqu'à votre désabonnement à notre newsletter si cet abonnement se poursuit malgré votre non ré-adhésion.
Les adhérents bénéficient d'un droit d'accès et de rectification. Ils ont le droit de demander la communication des informations les concernant et, en cas d'inexactitude peuvent exiger qu'elles soient complétées, mises à jour, clarifiées, rectifiées ou effacées.
Le droit d'accès peut s'exercer :
Le responsable du fichier des adhérents dispose d'un délai de réponse maximal d'un mois à compter de la date de réception de la demande.
Si l'adhérent ne parvient à exercer son droit d'accès et de rectification, elle peut saisir la CNIL. Le plus souvent, celle-ci invitera l'association à régulariser sa situation. A défaut, l'affaire pourra être transmise aux tribunaux et entraîner des condamnations pénales (amende ou peine d'emprisonnement pour les dirigeants).
Les informations figurant dans le fichier des adhérents peuvent être conservées durant toute la durée de son adhésion.
Une fois qu'il a quitté l'association, ces informations peuvent encore être conservées pendant une durée de 3 ans, sauf s'il demande à ne plus être contacté par l'association. Au-delà, ces informations doivent être supprimées du fichier des adhérents.
Idéalement, il faut créer un archivage définitif et y placer toutes les données personnelles qui devraient être effacées. Il est aussi possible de les anonymiser afin de les conserver pour leur valeur statistique.
En principe, un adhérent doit donner son consentement explicite et révocable pour que soient utilisées ses données personnelles, au moment de la collecte de ses données personnelles.
Deux exceptions existent :
Dans ces deux cas, l'adhérent doit, au moment de la collecte de ses données personnelles, être informé qu'elles seront utilisée à des fins de prospection et être en mesure de s'opposer à cette utilisation de manière simple et gratuite.
Ce consentement se fait par exemple par une case à cocher sur le bulletin d'adhésion, en prenant soin d'avoir mentionné sur ce même bulletin la façon de révoquer ce consentement. L'utilisation d'une case pré-cochée est à proscrire car contraire à la loi.
Exemple :
« Vos coordonnées pourront être utilisées à des fins de prospection. Si vous ne le souhaitez pas, veuillez cocher la case ci-contre. ».
Chaque message commercial envoyé à l'adhérent doit obligatoirement proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).
Le RGPD n'interdit pas la transmission du fichier des adhérents à des tiers ; elle impose simplement que l'association ait obtenu le consentement préalable de chaque personne y figurant et que celle-ci puisse identifier les partenaires, destinataires des données, depuis le formulaire à partir duquel la collecte des données est réalisée.
Ainsi, une collectivité (mairie, conseil départemental, etc.) ne peut pas demander à une association la liste nominative de ses adhérents, sauf si ceux-ci y ont préalablement consenti. Seule la transmission de données statistiques anonymes est autorisée.
La loi Informatique et libertés n'interdit pas à une association de céder, louer ou vendre le fichier de ses adhérents à des fins commerciales.
Mais l'association doit informer au préalable ses adhérents de cette éventuelle revente et leur permettre de s'y opposer. Cette opposition peut se faire par exemple au moyen d'une case à cocher figurant sur le bulletin d'adhésion : « Vos coordonnées pourront être cédées à des partenaires commerciaux. Si vous ne le souhaitez pas, veuillez cocher la case ci-contre ».
La vente du fichier des adhérents est une opération lucrative dont le bénéfice peut être imposable si le seuil de franchise des activités lucratives accessoires est dépassé.