Le fichier des adhérents : droits et obligations

Le fichier des adhérents est un document papier ou informatique recensant les coordonnés des différents adhérents de l'association.

Qu'est-ce que le fichier des adhérents ?

Le fichier des adhérents recense tous les membres de l'association. Dès qu'un nouvel adhérent intègre l'association, son nom doit y être ajouté et, lorsqu'il la quitte ou est radié pour défaut de paiement de sa cotisation, son nom doit en être retiré.

Le fichier des adhérents est soumis à une réglementation très précise, renforcée par le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.

L'association est notamment tenue d'informer les adhérents de l'existence de ce fichier, de leurs droits d'opposition, d'accès et de rectification.

Le RGPD concerne-t-il le fichier des adhérents ?

Si le fichier des adhérents faisait déjà l'objet de mesures protectrices avant l'entrée en vigueur du RGPD, ce dernier va plus loin.

Le RGPD supprime la déclaration du fichier des adhérents à la CNIL. En contrepartie, les associations sont désormais pleinement responsables des données qu'elles traitent.

Les principales modifications concernent :

• l'information des adhérents dont les données sont collectées : il est obligatoire de justifier la collecte, l'utilisation d'informations et de fournir l'identité de la personne responsable de cette collecte ;
• le droit à la portabilité : un adhérent a la possibilité de récupérer l'intégralité des données collectées à son sujet pour les conserver à titre personnel ou les transférer à une autre structure ;
• l'opposition : tout adhérent peut s'opposer à l'utilisation des données qui le concernent ;
• la demande d'effacement et le droit à l'oubli : tout adhérent peut demander l'effacement de ses données ;
• l'action de groupe : des associations ou des collectifs peuvent agir en justice pour faire valoir les droits des adhérents en matière de protection des données personnelles ;
• les sanctions : le RGPD met en place des sanctions plus fortes, pouvant aller jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros.

Associations concernées par le RGPD

Le RGPD concerne toutes les structures, entreprises et associations, qui collectent les données personnelles d'une personne physique.

Les données personnelles sont toutes les informations (nom, date de naissance, numéro de Sécurité sociale, adresse IP, email…) qui concernent des personnes physiques (membres, salariés, usagers, partenaires, prospects…), peu importe l'endroit où elles sont stockées (papier, ordinateurs, serveurs, mobiles, emails, traçage - même non identifié - des visiteurs du site internet de l'association, etc.)

Exemple :

• fichier comportant des informations sur les membres de l'association (nom et prénom, email...)
• fichier de contacts à qui envoyer la newsletter de l'association
• fichier regroupant des informations sur les salariés de l'association (nom, date de naissance, numéro de Sécurité sociale...)

Conséquences concrètes du RGPD sur le fichier des adhérents

Pour être en conformité avec le RGPD, l'association doit respecter plusieurs principes de base :

• Demander et sauvegarder le consentement des personnes pour le traitement des données les concernant.
• Collecter uniquement les renseignements dont l'association a besoin.
• Laisser la possibilité aux adhérents de connaître les éléments conservés sur eux.
• Tracer l'ensemble des documents mis en place servant au traitement des données personnelles.
• Informer la CNIL et les personnes concernées (dans les 72 heures) si leurs données personnelles ont été piratées dans la base de données de l'association.

La CNIL prévoit une méthodologie en 6 étapes pour se mettre en conformité.

1ère étape : Désignation d'un référent au sein de l'association

L'association doit commencer par désigner la personne responsable du traitement de ces données et la mise en conformité de l'organisation.

En cas de contrôle, c'est lui qui sera questionné et qui devra pouvoir montrer que l'association a mis en place des mesures garantissant la protection des données personnelles des adhérents et des salariés.

Le registre des traitements de données est lui placé sous la responsabilité du président de l'association.

2ème étape : répertorier et analyser les données auxquelles l'association a accès

L'association doit identifier parmi ses activités celles qui nécessitent la collecte et le traitement de données personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des donateurs, des adhérents ou des usagers ou encore les enquêtes statistiques.

Chaque activité doit être répertoriée dans le registre des traitements de données. Il s'agit d'un document relatant l'ensemble du détail de traitement des données au sein de l'association.

Pour chaque activité ou traitement de données, l'association doit remplir une fiche de registre, c'est-à-dire un formulaire précisant :

• l'activité pour laquelle l'association collecte des données (gestion des adhérents, gestion des donateurs, gestion des salariés, vente en ligne),
• la catégorie de données personnelles collectées (nom, numéro de téléphone, donnée de localisation etc.),
• le ou les objectifs poursuivis par ce traitement (paiement de la cotisation, remboursement des frais, enquête de satisfaction, gestion des recrutements etc.),
• la durée pendant laquelle les données sont conservées,
• les acteurs internes ou externes qui traitent ces données,
• les personnes ayant accès aux données, autrement dit les destinataires (service RH, service informatique, direction, prestataires).

Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données.

3ème étape : Faire le tri dans les données

Pour chaque fiche de registre, l'association doit vérifier :

• que seules les données strictement nécessaires à la poursuite de ses objectifs sont collectées et traitées ;
• que l'association ne traite aucune donnée dite « sensible » ou, si c'est le cas, qu'elle a bien le droit de les traiter ;
• que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• que l'association ne conserve pas les données au-delà de la durée nécessaire.

Il peut par exemple s'agir de minimiser la collecte de données en éliminant des formulaires d'adhésion et des bases de données toutes les informations inutiles. Il convient également de définir précisément les personnes de l'association qui doivent pouvoir accéder aux données et de mettre en place des règles automatiques d'effacement ou d'archivage des données au bout d'un certain temps.

L'association doit également s'assurer que toutes les informations figurant sur les bulletins d'adhésions sont conformes au RGPD, notamment les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...).

4ème étape : Gérer les risques

Une analyse d'impact doit obligatoirement être menée quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées :

• Soit le traitement envisagé figure dans la liste des types d'opérations de traitement pour lesquelles la CNIL impose la réalisation d'une analyse d'impact.
• Soit le traitement remplit au moins deux des neuf critères ci-dessous :
  - évaluation/scoring (y compris le profilage)
  - décision automatique avec effet légal ou similaire ;
  - surveillance systématique ;
  - collecte de données sensibles ou données à caractère hautement personnel ;
  - collecte de données personnelles à large échelle ;
  - croisement de données ;
  - personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  - usage innovant (utilisation d'une nouvelle technologie) ;
  - exclusion du bénéfice d'un droit/contrat.

L'analyse d'impact n'a pas l'obligation d'être publiée mais elle doit être transmise à la CNIL s'il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consulté) ou en cas de demande de la CNIL.

5ème étape : Organiser les processus internes

Organiser les processus implique notamment :

• de minimiser les données qui doivent être collectées,
• de sensibiliser et d'organiser la remontée d'information en construisant notamment un plan de formation et de communication auprès des personnes amenées à collecter des données personnelles,
• de définir les modalités d'exercice des droits d'accès, de rectification, d'opposition, de droit à la portabilité et de retrait du consentement,
• d'anticiper les violations de données en prévoyant, dans certains cas, la notification à l'autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

6ème étape : Documenter la mise en conformité

L'association doit regrouper tous les documents lui permettant de prouver sa mise conformité avec le RGPD en cas de contrôle.

Documentation sur les traitements de données personnelles :
Registre des traitements de données
Analyses d'impact relatives à la protection des données
Encadrement des transferts de données hors de l'Union européenne (clauses contractuelles types, BCR et certifications)

Information des personnes dont les données sont collectées :
Mentions d'information
Modèles de recueil du consentement des personnes concernées
Procédures mises en place pour l'exercice des droits

Contrats :
Contrats avec les sous-traitants
Procédures internes en cas de violations de données
Preuves que les personnes concernées ont donné leur consentement

Quelles mentions obligatoires les bulletins d'inscription doivent-ils comporter ?

Il est indispensable d'informer et d'obtenir le consentement des adhérents lors de la collecte de toute donnée les concernant.

Il n'y a pas de formulaire ou de mentions type pour le recueil des données personnelles ; les mentions doivent être adaptées aux objectifs du traitement et à l'usage qui sera fait des données.

Information de l'adhérent

Le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions obligatoires répondant notamment aux questions suivantes :

• Pourquoi l'association collecte-t-elle ces données ?
• Qu'est-ce qui autorise l'association à traiter ces données (consentement de la personne concernée, respect d'une obligation légale ou intérêt légitime de l'association) ?
• Qui a accès aux données collectées ?
• Combien de temps l'association conserve-t-elle les données ?
• Comment les personnes concernées peuvent-elles exercer leurs droits (par un message sur une adresse e-mail dédiée, par un courrier postal, etc.) ?
• L'association transfère-t-elle des données hors de l'Union européenne ? Si oui, il faut préciser le pays et l'encadrement juridique qui maintient le niveau de protection des données.

Des exemples de mentions sont disponibles sur le site Internet de la CNIL.

Il n'est pas obligatoire de faire figurer directement toutes ces informations sur les bulletins d'inscription. L'association peut aussi renvoyer à une politique de confidentialité ou une page « vie privée » sur son site Internet.

Demande de consentement

Le bulletin d'adhésion doit comporter un texte de demande de consentement :
□ Je donne mon consentement au recueil et au traitement des données me concernant

Si l'association envisage de communiquer les données personnelles de l'adhérent à des tiers, il faut également recueillir son consentement :
" Acceptez-vous que vos coordonnées soient transmises à notre partenaire, l'association « Y » ? "
□ Oui
□ Non

Il faut également préciser les conditions d'utilisation des données personnelles :
" En vous inscrivant, vous acceptez que l'Association X mémorise et utilise vos données personnelles collectées dans ce formulaire dans le but d'améliorer votre expérience et vos interactions avec ses services. En l'occurrence, vous autorisez l'Association X à communiquer occasionnellement avec vous s'il le juge opportun afin de vous informer des dernières actualités de notre association, ses actions et ses appels aux dons, via les coordonnées collectées dans le formulaire.
" Afin de protéger la confidentialité de vos données personnelles, l'Association X s'engage à ne pas divulguer, ne pas transmettre ni partager vos données personnelles avec d'autres entités, entreprises ou organismes quels qu'il soient, conformément au Règlement Général de Protection des Données (RGPD 2018) sur la protection des données personnelles. "
" Pour connaitre et exercer vos droits, notamment de retrait de consentement à l'utilisation de vos données collectées par ce formulaire, veuillez consulter notre POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES sur notre site : www.associationx.fr "

Les adhérents disposent-ils d'un droit d'accès et de rectification de leurs données ?

Les adhérents bénéficient d'un droit d'accès et de rectification. Ils ont le droit de demander la communication des informations les concernant et, en cas d'inexactitude peuvent exiger qu'elles soient complétées, mises à jour, clarifiées, rectifiées ou effacées.

Le droit d'accès peut s'exercer :

• par écrit : courrier postal, accompagné d'une copie d'une pièce d'identité,
• sur place : avec présentation d'une pièce d'identité. La consultation doit durer suffisamment longtemps pour prendre note commodément et complètement. Il est possible de demander une copie des données (des frais n'excédant pas le coût de la reproduction peuvent être demandés).

Le responsable du fichier des adhérents dispose d'un délai de réponse maximal d'un mois à compter de la date de réception de la demande.

Si l'adhérent ne parvient à exercer son droit d'accès et de rectification, elle peut saisir la CNIL. Le plus souvent, celle-ci invitera l'association à régulariser sa situation. A défaut, l'affaire pourra être transmise aux tribunaux et entraîner des condamnations pénales (amende ou peine d'emprisonnement pour les dirigeants).

Combien de temps conserver les données figurant dans le fichier des adhérents ?

Les informations figurant dans le fichier des adhérents peuvent être conservées durant toute la durée de son adhésion.

Une fois qu'il a quitté l'association, ces informations peuvent encore être conservées pendant une durée de 3 ans, sauf s'il demande à ne plus être contacté par l'association. Au-delà, ces informations doivent être supprimées du fichier des adhérents.

Idéalement, il faut créer un archivage définitif et y placer toutes les données personnelles qui devraient être effacées. Il est aussi possible de les anonymiser afin de les conserver pour leur valeur statistique.

L'association peut-elle envoyer des messages commerciaux aux adhérents ?

En principe, un adhérent doit donner son consentement explicite et révocable pour que soient utilisées ses données personnelles, au moment de la collecte de ses données personnelles.

Deux exceptions existent :

• l'adhérent est déjà client de l'association et la prospection concerne des produits ou services analogues à ceux déjà fournis par l'association ;
• la prospection n'est pas de nature commerciale (appel aux dons ou au bénévoles, par exemple).

Dans ces deux cas, l'adhérent doit, au moment de la collecte de ses données personnelles, être informé qu'elles seront utilisée à des fins de prospection et être en mesure de s'opposer à cette utilisation de manière simple et gratuite.

Ce consentement se fait par exemple par une case à cocher sur le bulletin d'adhésion, en prenant soin d'avoir mentionné sur ce même bulletin la façon de révoquer ce consentement. L'utilisation d'une case pré-cochée est à proscrire car contraire à la loi.

Exemple :
« Vos coordonnées pourront être utilisées à des fins de prospection. Si vous ne le souhaitez pas, veuillez cocher la case ci-contre. ».

Chaque message commercial envoyé à l'adhérent doit obligatoirement proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).

Le fichier des adhérents peut-il être transmis à des tiers ?

Le RGPD n'interdit pas la transmission du fichier des adhérents à des tiers ; elle impose simplement que l'association ait obtenu le consentement préalable de chaque personne y figurant et que celle-ci puisse identifier les partenaires, destinataires des données, depuis le formulaire à partir duquel la collecte des données est réalisée.

Ainsi, une collectivité (mairie, conseil départemental, etc.) ne peut pas demander à une association la liste nominative de ses adhérents, sauf si ceux-ci y ont préalablement consenti. Seule la transmission de données statistiques anonymes est autorisée.

L'association peut-elle vendre le fichier des adhérents ?

La loi Informatique et libertés n'interdit pas à une association de céder, louer ou vendre le fichier de ses adhérents à des fins commerciales.

Mais l'association doit informer au préalable ses adhérents de cette éventuelle revente et leur permettre de s'y opposer. Cette opposition peut se faire par exemple au moyen d'une case à cocher figurant sur le bulletin d'adhésion : « Vos coordonnées pourront être cédées à des partenaires commerciaux. Si vous ne le souhaitez pas, veuillez cocher la case ci-contre ».

La vente du fichier des adhérents est une opération lucrative dont le bénéfice peut être imposable si le seuil de franchise des activités lucratives accessoires est dépassé.