Conformité et rentrée 2022

Rentrée 2022 des associations et centres de loisirs :

Jouez-le jeu de la conformité !

Si la rentrée des classes en a peut-être attristé plus d’un, le mois de septembre annonce aussi avec joie le retour des activités extra-scolaires et extra-professionnelles. Musique, sport, art : pour permettre à leurs adhérents de profiter de leurs offres, les organismes en charge de ces hobbies opèrent nécessairement divers traitements de données.

Et comme chaque rentrée s’accompagne de bonnes résolutions : plus question pour ces entités de se contenter de rassembler de vulgaires formulaires d’inscription ou de constituer des groupes de mails de participants ! Fini d’être vieux jeu !

Que vous soyez en charge de l’animation de ces activités ou membre d’un club, l’heure est venue de clarifier les règles du jeu applicables en matière de protection des données personnelles au sein de ces structures de loisirs.

Ne croyez pas pouvoir fausser le jeu : ces exigences sont valables pour tous les systèmes d’information, qu’ils soient manuscrits ou numériques. Le fait que votre club ne soit pas équipé d’appareils informatiques ne change rien. Vos dossiers papiers méritent, eux aussi, toute votre attention.

Mais n’ayez crainte, nous vous le promettons : en matière de conformité, le jeu en vaut la chandelle ! [1][2][3]

[1] En dehors de ces recommandations relatives aux traitements des données personnelles des adhérents des centres de loisirs, les organismes concernés peuvent être amenés à manipuler celles de leurs salariés ou bénévoles. Il convient de noter que des règles spécifiques sont applicables pour la gestion des données personnelles collectées dans le cadre de ces activités de ressources humaines.

[2] Conformément au principe de minimisation des données personnelles prévu à l’article 5(1)(c) du Règlement Général sur la Protection des Données (RGPD).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Identifier les flux de données ainsi que les opérations de traitement indispensables au fonctionnement du centre de loisir

D’entrée de jeu, l’organisme doit analyser les besoins en données personnelles de ses membres. Il doit déterminer pourquoi ces informations lui seront nécessaires, c’est-à-dire la finalité de leur collecte.

Exemple: recenser le nombre d’adhérents, leur niveau ou encore le jour auquel ils se sont inscrits pour générer un planning d’activités, créer un fichier destiné à organiser des tournois et compétitions, enregistrer un spectacle pour en faire un CD vendu à l’issue de la représentation, réaliser des statistiques pour coordonner les relations avec des partenaires (collectivités, sponsors…), etc.

Le responsable de traitement ne peut recueillir que les seules données strictement adéquates, pertinentes et nécessaires à atteindre ces finalités2. Nous vous conseillons donc :

  • De limiter autant que possible les traitements de données réalisés ;

Exemple : l’établissement d’un trombinoscope est-il essentiel pour mener à bien l’activité de loisir. De restreindre le type et le volume des données personnelles recueillies uniquement à celles permettant d’accomplir ces objectifs.

Exemple: les structures de loisir n’ont pas besoin de connaître le numéro de sécurité sociale de leurs membres. De même, les clubs sportifs ont seulement besoin de connaître l’absence de contre-indications de leurs adhérents à la pratique du sport, par le biais d’un certificat médical.

 Il ne leur appartient pas de savoir les causes d’une éventuelle incapacité de leur membre à poursuivre l’activité en compétition, et encore moins d’établir eux-mêmes une « fiche médicale » à remplir par l’intéressé ou d’exiger une photocopie de son carnet de santé. Ces documents comprennent des données non seulement sensibles, mais aussi certaines couvertes par le secret médical. 

Les organismes ayant recours à de telles pratiques risqueraient d’être mis hors jeu par la CNIL3.

Instaurer une organisation interne garantissant la conformité du centre de loisir

Au-delà des précautions entourant le choix des traitements de données à effectuer, la structure de loisir doit respecter l’ensemble des autres obligations légales lui incombant en matière de protection des données.

Cela implique notamment :

  • De s’interroger sur la nécessité voire l’obligation de désigner un Délégué à la Protection des Données ;

Dans tous les cas, nous vous recommandons qu’une personne soit nommée comme référent sur le sujet.

  • De mettre en œuvre les mesures juridiques, logiques et physiques appropriées propres à assurer la sécurité des données manipulées ;
  • De définir une procédure destinée à gérer efficacement les demandes d’exercice de droits des personnes concernées par le traitement de leurs données personnelles ;
  • De rédiger et tenir à jour un registre des activités de traitement ;

Cette formalité impérative sera l’un des premiers points vérifiés par les autorités compétentes en cas de contrôle. Afin de constituer et actualiser rapidement ce registre, avec l’ensemble des mentions requises, RGPD-Experts a mis au point pour vous une solution simple d’utilisation : REGISTER +.

Il est essentiel d’anticiper et de veiller au maintien d’une « dynamique RGPD » constante, car quand « les jeux sont faits, rien ne va plus ».

ATTENTION AUX JEUX DE DUPES

Certains traitements de données peuvent être mis en œuvre par d’autres entités. Il incombera alors à ces dernières de veiller au respect de la législation en vigueur en matière de protection des données si elles ont déterminé seules « les finalités et les moyens » de ce traitement.

Exemple : une mairie mettant à disposition d’une association un local équipé d’un système de vidéosurveillance.

 

 

③ Organiser la collecte des données personnelles des adhérents et leur information

Les centres de loisirs sont tenus de jouer franc-jeu à l’égard des personnes concernées. Celles-ci doivent être informées du traitement fait de leurs données personnelles, ainsi que des principales caractéristiques de ces opérations de traitements. Les informations devant être obligatoirement communiquées sont énumérées aux articles 13 et 14 du RGPD. Il convient cependant d’apporter quelques précisions.

Nous vous invitons à distinguer, dans l’intégralité de vos formulaires, les données obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Ainsi, vos adhérents pourront choisir de vous fournir ou non certaines informations supplémentaires les concernant.

Nous vous invitons également à détailler précisément les raisons pour lesquelles vous recueillez ces informations, de manière à ce que vos futurs membres puissent s’opposer à l’utilisation de leurs données personnelles pour certaines finalités précisément identifiées.

Attention particulière selon le type de données récoltées

Chacun dispose sur son image d’un droit exclusif et absolu. La représentation d’une personne fait l’objet d’une protection accrue. Elle est garantie tant par la législation en vigueur en matière de protection des données que par l’article 9 du Code civil.

Conséquence : la prise de photographies et de vidéos ainsi que la diffusion de ces enregistrements ne peuvent s’effectuer que sous de strictes conditions.

Au-delà de l’information des adhérents sur ces captations envisagées, le centre de loisirs devra préalablement avoir recueilli leur autorisation. Les intéressés doivent pouvoir refuser que leur image soit utilisée pour telle ou telle finalité. Le club ne pourra pas davantage exploiter la photo / vidéo prise à d’autres fins que celle pour laquelle ses membres avaient consenti de se prêter au jeu.

Nous vous recommandons donc d’être vigilant lorsque vous souhaitez élaborer un trombinoscope, re-visualiser les matchs pour augmenter les performances de vos joueurs, poster des photos en ligne pour faire la publicité de votre activité, etc.

Attention particulière selon les personnes concernées par le traitement de leurs données

L’information dont est redevable le centre de loisirs à ses adhérents doit leur être délivrée par tout moyen approprié lors de la collecte de leurs données.

Cette information doit être claire, concise et précise. Elle doit également être facilement accessible : les intéressés ne doivent pas trouver ces renseignements à l’issue d’un véritable jeu de piste les renvoyant de bureaux en bureaux, ou de liens hypertextes en liens hypertextes.

Il convient donc de diversifier les modes de communication employés. Votre politique de protection des données peut être rendue disponible sur votre site, affichée dans vos locaux, inscrite dans le livret de présentation de vos activités, sur les formulaires d’inscription, expliquée à l’oral lors des réunions de présentation, etc.

Il y a également lieu d’adapter la forme de cette information au public visé. Si ces renseignements doivent être transmis au représentant légal de l’enfant lorsqu’un mineur est concerné, nous vous conseillons tout de même d’utiliser des images ludiques permettant à ces jeunes de comprendre leurs droits en la matière, et d’évoquer le sujet avec eux.

Attention particulière concernant les destinataires ultérieurs des données récoltées

Si le centre de loisirs entend communiquer les données personnelles de ses membres à des tiers, il doit les en aviser. Ces derniers doivent être informés qu’ils peuvent, en principe, s’y opposer.

Exemple : Les clubs ou associations affiliés à une fédération sportive sont tenus de transférer les certificats médicaux de leurs adhérents à la fédération pour leur délivrer leur licence (art. L.231-2 du Code du sport).

A l’inverse, une mairie ne saurait exiger la transmission des données recueillies par une association au prétexte qu’elle finance en partie son activité, ni conditionner ses subventions à la communication de ces données.

Attention particulière concernant la réutilisation, à d’autres fins, des données collectées

Le RGPD ne tolère pas les doubles-jeux : l’organisme de loisirs ne peut pas réutiliser les données personnelles de ses adhérents pour atteindre un autre but que celui qu’il avait initialement affiché, sauf si ces derniers y consentent.

Exemple: la publication en ligne des résultats obtenus par un membre suppose qu’il y ait préalablement consenti. De même, il est interdit d’utiliser des informations collectées pour établir une carte d’adhérent à des fins de prospection commerciale si l’intéressé n’en avait alors pas été informé, ou s’y était opposé.

Ces exigences issues de la législation en vigueur en matière de protection des données ne sont qu’un échantillon des obligations incombant aux responsables de traitement. Les centres de loisirs jouent gros s’ils ne s’y conforment pas. Outre les sanctions pénales et administratives encourues, la réputation voire la survie de l’entité sont en jeu. Le statut d’association ou la petite taille de la structure ne sont pas gage d’impunité : la CNIL veille à calmer le jeu de celles qui tricheraient au détriment de la sécurité des données personnelles de leurs membres.

Pourtant, la mise en conformité et le maintien en conformité d’une entité peuvent s’avérer être un jeu d’enfant, si elle est correctement accompagnée dans ses démarches. En bénéficiant des conseils de professionnels à l’écoute, ayant à cœur de trouver des solutions adaptées à ses activités et ses contraintes, l’organisme pourra alors tirer son épingle du jeu !

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.