Bonjour à tous,
Nous aimerions, au sein de notre association, mettre en place une démarche liée à la RGPD.
Malgré plusieurs recherches effectuées principalement sur le site de la CNIL, nous aimerions avoir vos conseils et suggestions pour mettre en place les différentes étapes afin d’être au point niveau conformité.
Quels conseils pouvez-vous nous donner ?
Merci d’avance pour votre collaboration
Nicolas
Bonjour Nicolas,
Dans leurs présentations, @agueidan, @AlainIN et @JulieEtabli ont indiqué avoir des compétences dans le domaine. Peut-être pourront-iels vous aiguiller.
Bonne journée !
Bonjour,
Pour le moment votre demande est assez vague.
Mais voilà quelques premiers éléments de réponses.
Si vous collectez des informations personnelles (nom, prénom, adresse, mail etc…) dans le cadre d’une adhésion, d’une inscription à un événement par exemple ou autre, ça doit être dans un cadre précis, avec une finalité, une durée de conversation.
Par exemple, si vous récupérer les mails des personnes, si ce n’est pas clairement indiqué, vous n’avez pas le droit de vous en servir pour envoyer une newsletter ensuite. Si vous demandez l’âge des participants, il doit y avoir un intérêt (pour des statistiques par exemple). On parle de minimisation. Vous ne demandez que les éléments dont vous avez vraiment besoin à l’instant T (et pas dans un futur peut-être, au cas où).
La finalité de tous les éléments doit être justifié. Vous en avez besoin pour faire un « traitement de données ». Et une fois ce traitement effectué, vous n’avez plus besoin des informations et devez les supprimer ou les anonymiser.
Cela dépend de votre association et de ses activités.
Personnellement, je pars du principe qu’il faut réduire le nombre d’éléments et simplifier les choses.
Par exemple, ne pas avoir une base de données papier (typiquement des bulletins d’adhésion) en plus d’une base virtuelle (via helloasso par exemple). Car les deux bases sont censés être identiques et à jour. Donc c’est souvent plus simple de tout faire en dématérialisée. On évite les doublons et les erreurs.
Pour vous donne un exemple, j’ai travaillé en bibliothèque et il y avait une base papier et une base logiciel. Sauf que, la base logiciel était mise à jour (car l’adhérent a changé d’adresse, finalement à inscrit un enfant etc…) alors que la base papier n’avait pas évolué. Il faut souvent simplifier les choses, c’est aussi du bon sens 
En fin d’année, on purgeait la base de donnée : suppression des comptes inactifs, anonymisation des historiques de prêts (pas besoin de savoir que c’est Mr Michu qui a emprunté tel ou tel BD l’an dernier, juste besoin d’une statistique)
Quand on parle de suppression des informations, c’est également le cas dans les archives papiers. Y a t il un intérêt à conserver les bulletins d’adhésions qui ont plus de 3 ans ? A priori non.
- un adhérent toujours actif réactualise son compte tous les ans
- un adhérent qui n’est plus actif disparait de la base
Il faut voir ça comme un grand ménage de printemps.
Là on est sur du pratico-pratique.
Si par dessus vous souhaitez ajouter une dimension numérique éthique, il faudra vous poser la question des outils :
- quel système pour gérer la boite mail de l’association
- qui dans l’association (membre du bureau) a accès à quoi (drive ou système partagé)
- comment sont protégés les informations (physiques et virtuelles)
Voilà les premiers éléments qui me viennent en tête
2 « J'aime »