«Oui, les associations devront également respecter le Règlement européen sur la protection des données à partir du 25 mai 2018», le rappelle la CNIL sur son site. Mais pas toujours facile de se repérer dans les obligations et les principes, même si certains ne sont pas nouveaux.
Aussi le Mouvement associatif propose de répondre à quelques-unes des questions que se posent les associations, sous forme de foire aux questions. Le guide rappelle que «Les noms, prénoms, adresse mails, adresses postales, qui peuvent figurer sur vos fichiers de type Excel, les bulletins d’adhésion, les contrats de travail, etc. sont des données à caractère personnel». Et qu’il n’est pas possible de conserver ces données indéfiniment. Au-delà d’une durée à fixer, il faut donc soit effacer les données, soit les anonymiser.
Le guide propose une feuille de route pour les associations afin de mettre en place outils et bonnes pratiques. Un pilote doit être désigné et les fichiers recensés (recrutement, paye, formation, donateurs, enquêtes…) et caractérisés: quel objectif, quelles données utilisées, durée, personnes ayant accès au fichier…
Le tri dans les fichiers doit ensuite être réalisé: ne stocker que les données nécessaires, repérer les données sensibles… et éliminer les données qui ne vous servent à rien. Assurez-vous ensuite que vos formulaires de collecte de données comportent bien les mentions utiles, la CNIL proposant sur son site des exemples de mention. Et enfin, les associations doivent garantir la sécurité de leurs fichiers (perte de données, piratage…). Pour cela, antivirus, changement régulier de mot de passe, voire chiffrement des données… doivent être mis en place.
