Comment gérer la protection des données des adhérents ?

Collecte de données sur une base légale

Un traitement n’est licite que s’il repose sur une base juridique valable

Le RGPD prévoit que tout traitement de données à caractère personnel n’est licite que s’il est nécessaire et repose sur l’une des bases prévues à son article 6. Ce principe est structurant dans le contexte associatif, où les formulaires tendent parfois à intégrer des informations excédant les besoins réels. La collecte doit correspondre à :

• l’exécution d’un contrat : la gestion de l’adhésion, des cotisations, de l’accès aux services, leur facturation et leur paiement ;
• une obligation légale telle que les obligations fiscales (reçus fiscaux) ou sociales de l’association ;
• une mission d’intérêt public ou de service public dont les associations peuvent être investies ;
• un intérêt légitime comme les convocations, l’appel à cotisation, la communication associative, la prospection limitée auprès des adhérents.

L’association doit justifier le choix de la base légale pour chaque finalité dans sa documentation interne et ne collecter aucune donnée dont elle n’a pas l’usage.

La nature des données traitées : un enjeu central de qualification et de proportionnalité

Les associations traitent une diversité de données dont la qualification conditionne le régime juridique applicable. Il s’agit principalement de données « ordinaires » :

• des données d’identification (nom, prénom) ;
• des coordonnées (adresse, e-mail, téléphone) ;
• des informations relatives à la vie associative (adhésion, cotisation, participation aux activités).

Ces données relèvent du régime de droit commun, mais restent soumises aux principes fondamentaux de l’article 5 du RGPD, en particulier celui de minimisation, selon lequel elles doivent être «adéquates, pertinentes et limitées à ce qui est nécessaire».

Certaines associations sont conduites à traiter des catégories particulières de données, dites « sensibles », notamment :

• des données de santé (associations sportives, médico-sociales) ;
• des données portant sur les convictions religieuses ou philosophiques (associations cultuelles ou militantes) ;
• des données relatives aux mineurs.

Ces traitements sont en principe interdits, sauf exceptions limitativement énumérées telles que l’activité d’une association poursuivant une finalité spécifique, avec les garanties appropriées.

La Commission nationale de l’informatique et des libertés (CNIL) souligne que ces traitements appellent une vigilance renforcée, notamment en matière de sécurité et de limitation des accès.

Le consentement à la collecte des données

Le consentement de la personne doit être libre, spécifique, éclairé et univoque, notamment pour certaines communications marketing ou pour certains traitements non indispensables à la relation d’adhésion. Les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement(2) insistent sur son caractère libre et spécifique.

Les obligations des associations : une conformité proportionnée

Information et transparence

Les articles 12 à 14 du RGPD imposent une information « concise, transparente, compréhensible et aisément accessible ». La CNIL a précisé ces exigences dès 20195 et le Conseil d’État a confirmé en 20206 que le défaut d’information constitue un manquement autonome. L’information doit porter notamment sur :

• les finalités et les bases juridiques de la collecte des données et de leur traitement ;
• les destinataires des informations ;
• la durée de conservation des données ;
• les droits des personnes.

Cela induit notamment de mettre à jour tous les formulaires d’adhésion et supports de collecte pour y insérer des mentions d’information complètes et conformes (identité du responsable, finalités, base légale, droits, durées de conservation, destinataires, etc.).

Accountability : une formalisation incontournable

Le RGPD impose un principe général de responsabilisation (accountability) : l’association doit non seulement respecter les règles, mais aussi être en mesure de démontrer sa conformité (politique interne, procédures, registres, analyses d’impact, audits, etc.).

Il impose également :

• une protection des données dès la conception (privacy by design) : intégrer la protection des données dès la conception de tout nouvel outil ou projet de collecte (process, minimisation des données) ;
• une protection des données par défaut (privacy by default) : limiter par défaut la collecte et le traitement des données et restreindre les accès aux seules personnes légitimes.

Les associations doivent alors mettre en place une véritable « feuille de route » de conformité, selon leur taille et leurs activités. Elles doivent ainsi :

• formaliser des politiques et procédures (gestion des droits, information, sécurité, gestion des sous-traitants, etc.) ;
• documenter les analyses d’impact pour les traitements à risque élevé ;
• mettre en place des audits internes et de formation des collaborateurs.

Le RGPD impose de définir et de communiquer une durée de conservation selon les catégories de données ou des critères pour la déterminer.

L’association doit veiller à ne pas conserver les données au-delà de ce qui est nécessaire aux finalités poursuivies. Elle doit ainsi définir des durées de conservation adaptées pour les données des adhérents, les intégrer dans les mentions d’information et prévoir des purges et anonymisations régulières.

En cas de violation de données (piratage) susceptible d’engendrer un risque pour les droits et libertés des personnes, le RGPD impose une notification à la CNIL dans un délai bref et une information des personnes concernées lorsque la violation entraîne un risque élevé. À titre préventif, l’association doit mettre en place des mesures techniques (mots de passe, sauvegardes, chiffrement si nécessaire, contrôle des accès) et organisationnelles (gestion des habilitations, sensibilisation des bénévoles et salariés) proportionnées aux risques et prévoir une procédure de gestion des violations.

La tenue d’un registre des activités de traitement, outil central de la conformité, permet de recenser toutes les obligations en matière de protection des données personnelles mises en place par l’organisme et les événements qui y sont liés (les traitements, leurs finalités, les catégories de données, les destinataires, les durées de conservation, les mesures de sécurité, les incidents, les réclamations, etc.). Ce registre est tenu par le responsable de traitement et par les sous-traitants. Il peut être écrit sous forme électronique et est mis à disposition de l’autorité de contrôle sur demande.

Le RGPD impose également la désignation d’un délégué à la protection des données (DPO), notamment :

• lorsque le traitement est effectué par un organisme public, ce qui peut viser certaines associations investies d’une mission de service public ;
• lorsque les activités induisent des traitements exigeant un suivi régulier à grande échelle de personnes ou de données sensibles ou relatives à des infractions.

Cela concerne essentiellement les associations assurant un suivi comportemental de leurs membres ou traitant massivement des données, notamment de santé, politiques ou religieuses. Néanmoins, même lorsqu’il n’est pas légalement obligatoire, il est recommandé de désigner un DPO afin d’informer et de conseiller l’association sur ses obligations, de contrôler la conformité interne, d’être l’interlocuteur privilégié de la CNIL et de piloter la mise en conformité.

5 Règl. (UE) 2016/679, préc., art. 82.

5 CNIL, délib, n°2019-093 du 4 juillet 2019, JO du 19.

6 CE 19 juin 2020, req. no 430810, ÛLebonÜ ; ÛAJDA 2020. 1263Ü ; ÛD. 2020. 2043Ü, Ûnote F. Jault-SesekeÜ ; ÛRTD eur. 2020. 955, obs. A. BouveresseÜ

7 CNIL, « La transmission de fichiers de donateurs ou de contacts entre associations et fondations », 20 juin 2022 ; v. JA 2022, no 663, p. 3, édito T. Guillois ; ibid. p. 9, obs. T. Giraud (LIEN A POSER) ; JA 2023, no 674, p. 33, étude B. Jacob et C. Candau.