AMAP, Paysan.ne : vos obligations avec le «Règlement Général sur la protection des données personnelles» (RGPD)
Dans la lettre d’information du mois de juin le réseau AuRA vous informait de sa politique de confidentialité.
Le 25 mai 2018, est entré en vigueur le RGPD, texte de référence européen en matière de protection des données personnelles pour les résidents de l’U.E. Ce règlement s’applique à toutes les entreprises (dont associations) et vient renforcer la protection des données personnelles (toute information se rapportant à une personne physique identifiée ou identifiable : nom, prénom, adresse, etc..) des citoyens et citoyennes.
Chaque structure doit mettre en place des outils et processus visant à garantir la conformité du traitement des données personnelles à la nouvelle règlementation et être en mesure de prouver à tout moment cette conformité. Cette obligation s’applique même si le traitement est effectué sur l’ordinateur personnel d’un des membres de l’AMAP.
Chaque association (déclarée ou de fait) doit ainsi posséder un Registre des activités de traitement des données : ce registre permet d’identifier tous les traitements de données effectués par l’association.
La CNIL propose un modèle de registre standard : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
Il est conseillé d’avoir une personne responsable du traitement (un délégué à la protection des données) en charge de la protection des données. En cas de contrôle, c’est elle qui transmettra toutes les informations à la CNIL.
- Informations à savoir pour une base de données des adhérents :
Préciser la finalité des données collectées, informer les adhérents de la manière dont ils peuvent exercer leurs droits (modification et suppression des données, portabilité) et mentionner la durée de conservation des données. Chaque adhérent est en droit d’accéder à toutes les informations, le concernant, détenues par l’association.
Il est nécessaire d’obtenir le consentement de l’adhérent pour la collecte et le traitement de ses données personnelles en ajoutant les mentions légales à tous vos formulaires et les informations relatives aux droits des adhérents (données personnelles). Attention, le silence ou une case pré cochée ne sont pas considérés comme un accord valable.
Exemples de mentions légales :
« Les informations recueillies sont nécessaires pour la validation de votre adhésion. Elles font l’objet d’un traitement informatique et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, l’adhérent bénéficie d’un droit d’accès et de rectification des informations qui le concernent, qu’il peut exercer à tout moment en envoyant un mail à …….. »
« Les données collectées sont sécurisées, ne sont pas utilisées à des fins commerciales et ne feront pas l’objet d’une communication à des tiers. »
Précisions :
- Si les données sont également diffusées sur le site internet ou sur les outils de communication, elles sont aussi concernées.
Attention, en cas de demande de suppression des données par l’adhérent, il faut s’assurer qu’elles sont complètement effacées du site internet. Attention au problème des caches (selon les moteurs de recherche) ; comment faire ? Avec une balise « noarchive » : https://support.google.com/webmasters/answer/79812?hl=fr
- En cas de piratage des données, prévenir l’adhérent concerné et la CNIL sous 72 Heures.
Le réseau AuRA remercie les AMAP de Provence pour ce travail partagé