RGPD pour l'ESS : feuille de route en 5 étapes

‍

Le Règlement (UE) 2016/679 du 27 avril 2016 s'applique à toute structure qui traite des données à caractère personnel, quelle que soit sa taille. Les structures de l'ESS entrent dans son champ d'application dès lors qu'elles collectent des informations sur leurs adhérents, bénéficiaires, bénévoles, salariés ou donateurs.

‍

Face à ces obligations, de nombreuses structures se sentent démunies. Pourtant, le RGPD repose sur un principe central : la proportionnalité.

Les exigences varient selon la nature des traitements et les risques pour les personnes. Une association qui gère une liste de diffusion n'a pas les mêmes obligations qu'une structure traitant des données de santé.

‍

Cette feuille de route propose une démarche progressive en 5 étapes pour engager votre mise en conformité, adaptée aux moyens des petites et moyennes structures de l'ESS.‍

Étape 1 : Cartographier vos traitements de données

‍

Ce qu'il faut faire

‍

Identifiez les traitements de données personnelles les plus importants de votre structure. Un "traitement" désigne toute opération sur des données : collecte, enregistrement, conservation, consultation, transmission, effacement (article 4, paragraphe 2 RGPD).

‍

Pour une structure de l'ESS, il s'agit généralement de :

‍

• La gestion des adhérents ou bénévoles (identité, coordonnées, date d'adhésion)
• La gestion des bénéficiaires (coordonnées, situation familiale, données sociales ou de santé le cas échéant)
• La gestion des donateurs (coordonnées, historique des dons, préférences de communication)
• La gestion administrative et comptable (données des salariés, factures, contrats)
• La communication (listes de diffusion, newsletters, réseaux sociaux)

‍

Comment documenter

‍

Pour chaque traitement, renseignez dans un tableau sécurisé :

• La finalité : pourquoi collectez-vous ces données ?
• Les catégories de données : quelles informations traitez-vous ?
• Les personnes concernées : adhérents, bénéficiaires, bénévoles, salariés, donateurs ?
• La durée de conservation : combien de temps gardez-vous ces données ?
• Les destinataires : qui y a accès en interne et en externe ?
• La base légale : consentement, contrat, intérêt légitime, obligation légale ?

Ce tableur constituera votre registre des activités de traitement (article 30 RGPD). La CNIL met à disposition des modèles adaptés aux TPE-PME et associations.

‍

Pourquoi c'est essentiel

Le registre  vous permet de connaître précisément ce que vous faites des données, de répondre aux demandes des personnes, et de prouver votre conformité en cas de contrôle.

Étape 2 : Informer les personnes concernées

Ce qu'il faut faire

‍

Rédigez ou actualisez :

• Votre politique de confidentialité
• Les mentions d'information sur vos formulaires (adhésion, bénévolat, dons, événements, newsletter)
• Les notices remises en entretien pour les bénéficiaires

‍

Les informations obligatoires

‍

Les articles 13 et 14 du RGPD imposent de mentionner, de manière concise et compréhensible :

• L'identité du responsable de traitement (votre structure)
• Les finalités et la base légale du traitement
• Les destinataires des données (partenaires, prestataires, financeurs)
• La durée de conservation
• Les droits des personnes (accès, rectification, effacement, opposition, limitation, portabilité)
• Le droit de réclamation auprès de la CNIL
• L'existence éventuelle de transferts hors UE

‍

Comment procéder

Inspirez-vous des modèles CNIL en les adaptant à votre ton et à votre public. Privilégiez un langage simple, surtout si vous accompagnez des publics en situation de vulnérabilité.

‍

Étape 3 : Organiser la gestion des droits des personnes

‍

Ce qu'il faut faire

‍

Mettez en place une procédure simple pour traiter les demandes d'exercice de droits :

1. Désignez un point de contact : créez une adresse email dédiée (par exemple : donnees@votrestructure.org) et mentionnez-la dans vos mentions d'information.
2. Documentez la procédure : décrivez dans un document interne comment traiter une demande (qui reçoit, qui vérifie l'identité, qui recherche les données, qui répond).
3. Préparez des modèles de réponses pour les demandes courantes :
   • Demande d'accès : "Nous vous transmettons copie des données vous concernant..."
   • Demande de rectification : "Nous avons procédé à la correction demandée..."
   • Demande d'effacement : "Nous avons supprimé vos données / Nous ne pouvons y procéder car..."
   • Demande d'opposition : "Nous avons cessé le traitement / Le traitement repose sur une obligation légale..."
4. Tenez un registre des demandes : date, type de droit, traitement concerné, réponse apportée.

‍

Les délais à respecter

‍

Vous disposez d'un mois pour répondre (8 jours lorsque la demande concerne des données de santé), prolongeable de deux mois en cas de complexité (article 12, paragraphe 3 RGPD). Informez alors la personne du délai supplémentaire et des motifs.

‍‍

Étape 4 : Sécuriser vos données‍

‍

Ce qu'il faut faire

‍

Mettez en place des mesures techniques et organisationnelles adaptées au niveau de risque (article 32 RGPD) et à votre organisation. Ci-après des exemples de mesures faciles à mettre en oeuvre :

‍

Limiter les accès

• Créez des comptes individuels (pas de compte partagé)
• Accordez les accès uniquement aux personnes qui en ont besoin
• Révoquez immédiatement les accès en cas de départ

‍

Utiliser des mots de passe robustes

• Au moins 12 caractères, complexes
• Utilisez un gestionnaire de mots de passe
• Activez la double authentification quand c'est possible

‍

Sauvegarder vos données régulièrement

• Sauvegardes hebdomadaires ou quotidiennes selon le volume
• Stockez-les dans un environnement distinct et sécurisé (cloud chiffré, disque dur externe dans un lieu sûr)

‍

Chiffrer les données sensibles

• Protégez par mot de passe les fichiers contenant des données de santé, de situation sociale, etc.
• Privilégiez les solutions cloud avec chiffrement de bout en bout

‍

Former vos équipes

• Sensibilisez salariés et bénévoles aux bonnes pratiques (verrouillage des postes, vigilance sur les emails, pas de clés USB perdables)
• Organisez une session annuelle d'une heure

‍

Limiter la conservation

• Supprimez les données dès qu'elles ne sont plus nécessaires. Exemple : données d'un participant à un événement ponctuel suppression 3 mois après, sauf consentement pour être recontacté

‍

Pourquoi c'est essentiel

Une violation de données peut avoir des conséquences graves : atteinte aux personnes, perte de confiance, sanctions de la CNIL. Des mesures simples réduisent considérablement ce risque.

Étape 5 : Encadrer vos prestataires

‍

Ce qu'il faut faire

‍

Listez vos principaux prestataires qui traitent des données personnelles pour votre compte. Par ex: :

‍

• Hébergeur web
• Plateforme d'emailing (newsletter)
• Logiciel de gestion (CRM, comptabilité)
• Expert-comptable
• Autres prestataires ayant accès aux données

‍

Pour chaque prestataire, vérifiez :

1. L'existence de clauses qui encadrent la sous-traitance des données dans les contrats (annexe, clause(s) dédié(es))
2. Leur contenu : ces clauses doivent couvrir les exigences de l'article 28 RGPD (objet, durée, nature du traitement, obligations du sous-traitant, mesures de sécurité, sort des données en fin de contrat)
3. La localisation des données : UE, EEE ou pays avec garanties appropriées (clauses contractuelles types de la Commission européenne)

‍

Comment procéder

La plupart des prestataires sérieux proposent déjà des clauses ou une annexe encadrant la sous-traitance selon les principes du RGPD. Si elles existent, vérifiez qu'elles sont présentes dans votre contrat et leur conformité avec le RGPD mais également les droits et obligations du prestataire. Si elles manquent, il faut modifier le contrat pour encadrer la sous-traitance des données.

Si vous avez un doute sur la portée ou la validité de ces clauses, sollicitez un conseil juridique.

‍

Pourquoi c'est essentiel

Vous restez responsable des données même quand un prestataire les traite pour votre compte. L'absence de contrat engage votre responsabilité en cas de contrôle ou de violation de données chez le prestataire.

‍

Aller plus loin : cas particuliers

‍

Données sensibles et publics vulnérables

Si votre structure traite des données sensibles (santé, origine, convictions, vie intime) ou accompagne des publics particulièrement exposés, les exigences sont renforcées. Il est alors fortement recommandé de réaliser une analyse d'impact (article 35 RGPD) pour identifier les risques principaux (atteinte à la confidentialité, accès non autorisé, stigmatisation) et définir des mesures de protection adaptées.

‍

Transferts de données hors UE

Si vous utilisez des outils hébergés hors de l'UE (certains clouds américains, par exemple), assurez-vous que des garanties appropriées sont en place : décision d'adéquation de la Commission européenne, clauses contractuelles types ou autres mécanismes validés.

‍

Délégué à la protection des données (DPO)

La désignation d'un DPO est obligatoire pour certaines structures (notamment celles traitant des données sensibles à grande échelle). Pour les petites structures, elle reste facultative mais peut être utile pour structurer la démarche.

‍

****

‍

Au-delà de l'obligation légale, une démarche de conformité RGPD bien menée permet de :

‍

• Renforcer la confiance de vos bénéficiaires, adhérents, bénévoles et donateurs
• Rassurer vos financeurs et partenaires, de plus en plus attentifs à ces questions
• Valoriser votre démarche éthique en cohérence avec vos valeurs
• Réduire les risques de violation de données et de sanctions

Cette feuille de route permet d'engager une démarche de conformité progressive, qui pourra ensuite être approfondie au fil du temps en fonction de vos moyens et de l'évolution de vos activités.

‍