Mise en conformité RGPD des associations sportives

RGPD chez les associations sportivesUne année après l’entrée en application du règlement général sur la protection des données personnelles dit « RGPD », beaucoup d’entreprises ont commencé une démarche de mise en conformité. Toutefois, pour les associations, la prise de conscience paraît moins évidente.

Pourtant, le règlement concerne tous les organismes qui traitent des données personnelles, peu importe le statut juridique, le caractère public ou privé de la structure ou encore la recherche de profit ou non. En pratique, la majorité des associations sportives tiennent au minimum une liste de leurs adhérents ou bénévoles. Elles réalisent dès lors un traitement de données à caractère personnel et sont donc pleinement concernées par le règlement.

 

Une application classique du RGPD chez les associations sportives

Pour se mettre en conformité, les associations sportives vont devoir adapter la gestion de leurs données de la même manière que les entreprises.

  1. Première étape : désignation d’un pilote chargé de la mise en conformité.
    Pour la majorité des associations (qui traitent peu de données), il n’est pas nécessaire de nommer un délégué à la protection des données (DPD ou DPO en anglais). La simple désignation d’un responsable RGPD au sein de l’association est suffisante.
  2. Seconde étape : établissement d’une cartographie des données de l’organisme dans le but d’établir un registre des différents traitements réalisés par l’organisme.
    Celui-ci renseigne sur la finalité des différents traitements, la durée de conservation des données, les destinataires, les mesures de sécurité, les personnes concernées, etc. Un modèle est mis à disposition sur le site CNIL.
  3. Une fois le pilote désigné et le registre établi, il est nécessaire d’adapter les traitements aux principes du RGPD.
    Ceci, par exemple, par l’apposition d’une mention d’information lors de la collecte des données sur les différents formulaires d’inscription aux activités (principe de transparence). Mais aussi en limitant la collecte des données uniquement aux informations utiles pour réaliser la finalité du traitement (principe de minimisation).

Attention aux données de santé

RGPD, données de santé, clubs sports, public, enfantsDans le cas des associations sportives, une attention particulière doit être portée en cas de collecte de données de santé.
En effet, celles-ci sont considérées comme sensibles au regard du règlement et nécessitent un consentement préalable de la personne concernée lors de la collecte (il faut noter qu’un simple certificat d’aptitude à la pratique sportive ne constitue pas une donnée de santé pour la CNIL).

De plus, dans le cas d’une association sportive, si les données de santé sont recueillies auprès de personnes vulnérables comme les enfants ou les personnes âgées, une analyse d’impact relative à la protection des données devient obligatoire.
Celle-ci permet d’évaluer le traitement au regard des principes du RGPD tel que la minimisation, finalité, durée de conservation, etc. Mais aussi les risques sur la sécurité des données par rapport aux mesures de sécurité mises en place.

Nous avons élaboré un outil (PIA), dans le but de réaliser ces analyses.

 

Si vous souhaitez en savoir plus, contactez-nous !

Le respect des droits des personnes

Le RGPD s’appliquant de la même manière que pour les autres organismes, les associations sportives doivent également garantir le respect des droits des personnes (droit d’accès, droit d’opposition, droit de rectification, droit à l’oubli et le droit à la portabilité pour les plus importants).
Ainsi, un adhérent pourra, par exemple, exercer son droit d’accès auprès de son club, afin de consulter toutes les données que l’organisme traite, le concernant.

L’application des sanctions par la CNIL

La CNIL prévoit en cas de non-conformité une amende pouvant aller jusqu’à 20 millions d’euros. Toutefois, il faut noter que les associations ne sont pas la cible prioritaire de la CNIL.
De plus, en cas de contrôle, un délai est laissé afin de corriger les éventuelles non-conformités.

Néanmoins, une amende de 75 000 euros a déjà été prononcée à l’égard d’une association pour le développement des Foyers pour avoir insuffisamment protégé les données des utilisateurs de son site internet.
Une décision semblable pourrait donc être envisagée dans le milieu associatif sportif démontrant l’importance d’une mise en conformité au RGPD.

Un article proposé par Pierre HUMANN
Consultant Juriste RGPD

 

Vous souhaitez établir un diagnostic RGPD rapide de votre association sportive ?
Nos consultants juristes RGPD se tiennent à votre disposition.


Actualité du Groupe


10 juillet 2019 : e-Assistance RGPD : la nouvelle offre d’assistance ACTECIL est en ligne !
5 juillet 2019 : Mise en conformité RGPD des associations sportives
27 juin 2019 : RGPD ACADEMY, site dédié aux formations RGPD se lance sur les réseaux sociaux !
25 juin 2019 : #LOGEMENT #BAILLEURS SOCIAUX – Comment répondre à une demande de droit d’accès ?
24 juin 2019 : La Maison de l’Artisanat propose une Conférence sur la Cybersécurité, animée par ActeCIL, à Colmar, le 27 juin 2019, à partir de 18h00 !
18 juin 2019 : Publicité ciblée, Stratégie de Digital Marketing et RGPD
10 mai 2019 : L’outil APM dévoile toutes ses fonctionnalités lors du Congrès : « Compliance & Technologie » de l’IRC
10 avril 2019 : La Minute RGPD : Le registre du traitement
10 avril 2019 : MEET’UP RGPD À TOULOUSE : ENCORE QUELQUES PLACES DISPONIBLES !
10 avril 2019 : NOUVELLE FORMATION E-LEARNING : LES BAILLEURS SOCIAUX ET LE RGPD
accueil Blog Actu-CIL