Rechercher
Fermer ce champ de recherche.

RGPD : deux mois après, où en sont les associations et les fondations ?

Deux mois après sa mise en place, les entreprises mais aussi les associations et fondations restent malgré tout peu armées sur les mesures à prendre et les risques qui pèsent sur leurs structures en cas de non-conformité. 

Rappel de la réglementation

Le RGPD  a pour mission de renforcer la protection des données des personnes en termes d’accès, de rectification, de transparence et d’opposition à l’utilisation de leurs données mais aussi en ce qui concerne la gestion de ces données, de leur portabilité et de leur modification ou suppression.

Le Réglement accentue également les obligations pesant sur les responsables de traitement et des sous-traitants en demandant la réalisation d’une cartographie des données qu’ils manipulent et une analyse d’impact des traitements pouvant engendrer un risque élevé pour les droits et libertés des personnes (Art.35).  Une fois ces relevés effectués, les organismes doivent mettre en place des mesures pour garantir la sécurité de ces données. Toute violation devra être notifiée à la CNIL et, le cas échéant, aux personnes concernées. Aussi, les organismes publics ou dans les organismes faisant un traitement à grande échelle de données sensibles doivent nommer un délégué à la protection des données. 

Enfin, le RGPD renforce les pouvoirs de sanction de la CNIL puisque les entreprises en non-conformité avec la réglementation s’exposeront à des amendes pouvant aller jusqu’à un plafond de 4% du chiffre d’affaire annuel global.

Actualité de la réforme

Depuis son entrée en vigueur, il n’y a pas eu de bouleversement radical dans les méthodes de la CNIL. Celle-ci continue d’appliquer ses méthodes qui passent par des contrôles et des demandes de mise en conformité assorties de sanctions éventuelles lorsque ces demandes ne sont pas suivi d’effet sauf mauvaise foi de la part de la structure.

Aussi, concernant le secteur associatif, début juin l02018, la CNIL a infligé une amende de 75 000 euros à l’Association pour le Développement des Foyers (ADEF) car, comme elle le précise dans sa Délibération n°2018-003 du 21 juin 2018, celle-ci a « substantiellement manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés ». Elle avait en effet constaté qu’il était possible d’accéder librement aux données personnelles des membres de l’association sur Internet.

Devant ce risque, l’IDAF incite ses adhérents à s’informer des bonnes pratiques à adopter pour leur mise en conformité.

Vous pouvez dès à présent retrouver le compte-rendu de la conférence « Protection des données–Êtes-vous en conformité ? » qui résume les points de vue de nos experts sur ces questions.

Partager