RGPD – Les bonnes pratiques des clubs sur Sportsregions
Le « RGPD », le règlement européen relatif à la protection des données personnelles, est entré en vigueur le 25 mai 2018.
Chacun d’entre nous doit être conscient de l’importance de cette nouvelle réglementation et de l’importance du respect des données personnelles. En effet, chaque responsable d’association qui créé un site internet pour son club à partir de https://www.sportsregions.fr/, devient responsable des traitements de données réalisés par l’intermédiaire de ce site.
Il est donc essentiel pour nous de vous sensibiliser non seulement sur vos droits, mais aussi sur vos devoirs, en tant qu’administrateur du site de votre club de sport !
Cette page n’a pas pour vocation de donner un conseil juridique (nous ne sommes pas juriste) ni de présenter le RGPD de façon exhaustive car pour cela il est préférable de consulter le site de la CNIL.
Le but ici est de donner un vision générale et pratique de ce règlement dans le cadre de l’utilisation d’un site internet sur notre plate-forme Sportsregions.
Cette page est amenée à évoluer régulièrement en fonction des retours d’expériences et des évolutions que nous pourrons apporter à Sportsregions.
Sommaire
Conseils pour se conformer aux grands principes du RGPD
Minimiser les données personnelles collectées et leur durée de conservation
Le RGPD prévoit qu’il ne faut collecter que les données personnelles « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » et les conserver pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’application du principe de minimisation est, par exemple, de ne collecter que l’adresse e-mail du destinataire dans le cadre d’une inscription à une newsletter.
En effet, pour envoyer une newsletter vous avez besoin de l’adresse e-mail du destinataire pour pouvoir techniquement lui envoyer votre newsletter mais il n’est pas nécessaire de collecter ses nom et prénom comme c’est parfois le cas.
L’inscription à la newsletter sur le site de votre club Sportsregions se conforme à se principe, seule l’adresse email est collectée.
Concernant la durée de conservation des données, l’idée générale est de ne pas conserver des informations personnelles une fois que vous avez fini de faire ce qui était prévu comme usage lors de leur collecte.
Par exemple si vous organiser un loto, vous allez enregistrer les coordonnées des participants dans le cadre de leur inscription et pour les informer des modalités de la manifestation.
Une fois l’événement passé vous n’avez pas de raison de conserver toutes les coordonnées des participants. Vous devez les supprimer.
Bien sûr vous pourriez être tenté de conserver les adresses email pour pouvoir prévenir les participants lorsque vous organiserez votre prochain loto. C’est tout à fait possible, mais il faudra leur avoir demandé clairement l’autorisation lors de la collecte de données, nous en reparlerons plus loin…
Il est donc nécessaire de supprimer régulièrement les données à caractère personnel stockées sur votre site si vous n’en avez plus l’usage.
À minima, si vous n’avez pas utilisé des données depuis plus de 3 ans, elles n’ont certainement plus rien à faire dans votre base de données (sauf obligation légale ou autre finalité spécifique).
Sur Sportsregions vous disposez de plusieurs outils pour purger les données à caractère personnel inutiles :
- Dans la liste des contacts utilisez les filtres par saisons pour lister les contacts par saison et supprimer les plus anciens. Conserver les contacts des trois dernières saisons semble raisonnable notamment pour faciliter la réinscription au club d’un adhérent inscrit dans une saison précédente.
- Dans les formulaires il est possible de supprimer l’ensemble des réponses associées à un formulaire en supprimant simplement le formulaire.
- Pour l’avenir, nous avons mis en place de nouveaux enregistrements qui, à terme, permettront de vous fournir des informations supplémentaires pour gérer au mieux vos durées de conservation des données.
Désormais, lorsque vous réalisez un formulaire en utilisant les outils Sportsregions ou tout autre solution, pensez à l’usage précis que vous allez faire de chaque information collectée. Si vous n’avez pas la réponse à la question « à quoi va me servir précisément cette donnée ? » alors c’est qu’il ne faut pas créer ce champ dans votre formulaire.
Posez-vous aussi la question sur la durée de conservation des données collectées lors de chaque création et une fois pas an « faites le ménage » dans vos résultats de formulaires.
Vérifier quel est le fondement juridique qui vous autorise à mettre en place un traitement parmi les 6 autorisés par le RGPD
Nous ne développerons ici que les fondements qui nous semblent les plus courants dans le cadre d’une association sportive mais vous trouverez une information plus complète sur le site de la CNIL.
Le Consentement univoque
« La personne a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Le consentement doit avoir été donné en toute liberté et l’objectif du traitement des données à caractère personnel doit avoir été clairement indiqué. »
En dehors des commandes de la boutique et éventuellement de l’adhésion à l’association (pour lesquelles le contrat peut être pris comme base légale) nous vous conseillons d’utiliser le « consentement » comme base légale de vos traitements. En obtenant le consentement de la personne concernée dans tous vos formulaires vous sécurisez votre collecte vis à vis du règlement et vous faite preuve de transparence vis à vis des personnes concernées.
Sur votre site la demande de consentement peut être faite via une ou plusieurs cases à cocher dans le bas de vos formulaires, au dessus du bouton de validation.
Cependant la case à cocher n’est pas obligatoire si les données collectées dans le formulaire sont destinées à un seul usage ( une seule « finalité ») clairement exprimé. En effet, dans ce cas en cliquant sur le bouton « valider » l’utilisateur peut exprimer une volonté claire et non ambiguë au traitement de ses données.
Un reflex à avoir : Si vous demandez dans votre formulaire une information qui va vous servir à autre chose que le but initial poursuivi lors de la création du formulaire, c’est probablement qu’il faut ajouter une case à cocher pour obtenir l’accord de la personne sur cet usage secondaire de ses données.
Il faudra donc être précis dans l’explication de l’usage que vous allez faire des données collectées et ne pas hésiter à utiliser plusieurs cases à cocher différentes lorsque les finalités sont différentes.
Exemple : Reprenons notre exemple précédent. Vous organisez un loto et vous demandez aux participants de s’inscrire via un formulaire en ligne mais vous souhaitez également pouvoir les relancer lorsque vous organiserez d’autres soirées loto. Vous pensez donc utiliser les données pour deux finalités distinctes.
Vous devez, dans ce cas expliquer clairement la finalité principale « gestion de votre inscription au loto ». La case à cocher peut être utilisée mais n’est pas obligatoire car la personne comprend bien qu’en cliquant sur le bouton valider elle communique ses données personnelles pour s’inscrire.
Par contre, vous devez impérativement utiliser une case à cocher pour obtenir le consentement concernant l’utilisation des donnée pour votre finalité secondaire:
- J’accepte de recevoir des informations par email concernant les futurs Loto organisés par le club (case à cocher).
Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie
Dans le cas de votre site Sportsregions le meilleur exemple est la boutique en ligne.
Si vous vendez un tee-shirt du club via la boutique, vous avez besoin de collecter les nom/Prénom/adresse de livraison/coordonnées de contact du client pour être en mesure d’exécuter le contrat (CGV) que le client et votre club concluent dans le cadre de cette vente. Vous n’avez donc pas besoin de demander une autorisation particulière au client. Par contre, si vous vouliez utiliser l’adresse e-mail de ce même client pour lui envoyer la newsletter du club il faudrait lui demander son autorisation via une case à cocher spécifique.
Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement (votre association) est soumis
A titre d’exemple, les factures clients doivent être conservées 10 ans avec votre comptabilité. Cette obligation légale justifie la collecte et la conservation des données à caractère personnel de vos clients utilisées pour la facturation pendant cette durée. Si vous éditer des factures via la « gestion commerciale » de votre site sportsregions, toutes les factures sont sauvegardées mais pensez à les conserver si un jour vous changez de système.
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée
Ce fondement légal peut sembler très pratique mais nous vous déconseillons de l’utiliser pour justifier de la légalité d’un traitement de données à caractère personnel dans le cadre de votre association sans demander l’avis d’un spécialiste. En effet cette approche nécessite une interprétation qu’il nous semble préférable de réserver aux professionnels.
Les autres bases légales sont :
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Votre association n’est probablement pas concernée par ces deux dernières bases légales.
Éviter de traiter des données sensibles
Vous devez veiller à ne pas collecter des informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle car le traitement de ce type de données nécessite des précautions spécifiques.
Afficher les mentions légales sous vos formulaires et obtenez le consentement des personnes concernant le traitement de leurs données
Nous avons ajouté les mentions légales nécessaires dans les pages automatisées qui collectent des données personnelles sur votre site (contact, newsletter). Nous vous conseillons cependant de les contrôler car les informations insérées automatiquement (coordonnée du club, email) dépendent de ce que vous avez saisi dans la rubrique « identification du club » de votre site.
Concernant vos formulaires personnalisés, vous devez vous assurez par vous même que les mentions nécessaires y figurent bien. Nous avons ajouté dans l’outil de création de formulaire la possibilité pour le club de construire facilement les mentions légales adaptées au formulaire créé. Vous pouvez également ajouter les demandes de consentement par case à cocher. L’enregistrement du consentement obtenu est, dans ce cas, automatiquement enregistré dans la base de données conformément à ce qui est demandé par le RGPD.
À noter : Nous faisons le maximum pour vous aider à respecter les obligations légales mais l’usage ou non des outils fournis et l’interprétation des textes légaux sont de votre responsabilité. Nous restons bien sûr à vos coté si vous avez besoin d’aide.
Respecter le droit à la portabilité des données
Le nouveau règlement impose au responsable de traitement de mettre en place des moyens permettant aux personnes dont les données sont traitées d’exporter leurs données dans un format structuré.
Sur sportsregions, toutes les données personnelles détenues par le club sur une personne peuvent être mise à sa disposition dans son espace personnel (ou via un e-mail), pour téléchargement.
C’est vous (superAdmin du site-club) qui choisissez de mettre ces informations à sa disposition ou pas, en allant dans la rubrique « contacts et adhésions > gestion des données personnelles.
Mettre en place un registre de conformité des traitements de données à caractère personnelles
Au delà des données personnelles traitées par votre association via sportsregions vous détenez probablement des données personnelles sur d’autres supports (fichier Excel, classeur papier, contrats de travail des salariés etc).
Le RGPD impose la mise en place d’un registre général recensant tous les traitements de données à caractère personnel de votre association.
Pour en savoir plus sur le registre nous vous conseillons de consulter le site de la CNIL qui fournit par ailleurs un modèle de registre en format excel utilisable librement par votre association.
Au niveau de Sportsregions nous avons également l’obligation de tenir un registre des traitements de données à caractère personnel en qualité de Sous-traitant des associations utilisatrices de notre plate-forme. Ce registre est tenu à disposition de la CNIL en cas de contrôle.
Par ailleurs, même si le secteur associatif n’est pas la cible prioritaire de ce nouveau règlement, nous sommes à votre disposition en cas de contrôle de votre structure pour vous aider à répondre à toute question concernant les traitements que vous effectuez via Sportsregions.
Assurer la sécurité des données à caractère personnel
Chez sportsregions nous mettons tout en oeuvre pour assurer la sécurité des données stockées sur notre plate-forme. Cela passe par des mesures de protections mais aussi de redondance et de sauvegarde des serveurs visant à garantir le redémarrage rapide en cas d’incident.
De votre coté en tant que responsable du site-club (superAdmin) vous avez également une responsabilité importante dans la protection des données de vos membres.
En effet c’est à vous d’attribuer les rôles (à partir d’Animateur) qui permettent d’accéder à certaines données personnelles enregistrées dans le site. Il est donc important de choisir le bon niveau de rôle en fonction du niveau de confiance accordé à la personne qui en bénéficie.
C’est également à vous de communiquer les bonnes pratiques aux responsables à qui vous attribuez des rôles élevés en évitant par exemple le partage d’un compte/mot de passe personnel entre plusieurs utilisateurs .
Signaler les violations de données personnelles et prévoir des procédures de notification à la Cnil et aux personnes concernées
Si le responsable de traitement (le club) ou le sous-traitant (sportsregions) constate une intrusion avec présomption de vol de données à caractère personnel, ils ont l’obligation de le signaler à la CNIL et aux personnes concernées notamment si les données en question sont particulièrement sensibles et peuvent engendrer un préjudice important pour les personnes.
Éviter les transferts de données personnelles « hors EU »
Au niveau de votre club, pour les traitements en dehors de sportsregions, nous vous recommandons de veiller à ne pas charger des informations personnelles de vos membres sur des systèmes hors Europe tel que des plates-formes de réseaux sociaux ou autre sans leur avoir préalablement demandé leur accord.
Concernant Sportsregions, nous réalisons les développements techniques et la maintenance des systèmes via nos équipes situées en France (au Mans – 72) et nous avons sélectionné des sous-traitants exclusivement Européens pour les services qui doivent être externalisés comme l’envoi des SMS, le push sur appli mobile et les data centers pour l’hébergement de nos serveurs.
Nous sommes conscients que ce règlement n’est pas évident à appliquer à la lettre dans une petite association gérée par des bénévoles mais il a le mérite de sensibiliser tous les acteurs à la protection des données qui leurs sont confiées et de poser un cadre légal.
Tout laisse à penser que l’organisme de contrôle (CNIL) tiendra également compte de la situation des associations dès lors quelles sont de bonne volonté et ont entrepris un minimum de démarches visant à prendre soin des données de leurs membres. Cependant chacun d’entre nous doit être bien conscient de l’importance de cette nouvelle réglementation et de l’importance du respect des données personnelles.
Chez Sportsregions, nous allons continuer à faire évoluer la plate-forme en affinant notre prise en compte du RGPD dans tous les process existants et en intégrant systématiquement la démarche dès la conception des nouvelles fonctionnalités. Nous vous informerons lors de chaque mise en ligne d’une nouveauté si elle a un impact vis à vis de la protection des données.
De votre coté, comme d’habitude, n’hésitez pas à nous faire part de vos expériences et à nous proposer des évolutions.