Le règlement général sur la protection des données, appelé simplement « RGPD », est le règlement (UE) 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016. Elle concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données.
Étant donné que les associations tiennent à jour de vastes bases de données personnelles, le présent règlement a une incidence directe sur la façon dont les associations recueilleront, tiendront à jour et géreront les données essentielles à leurs activités. Note : « Données personnelles » et « Informations d’identification personnelle » ne sont pas la même chose et sont souvent confondus. Les données personnelles sont définies ci-dessous.
Ce qui est tout aussi important, le présent règlement s’applique à toute organisation, quel que soit son lieu d’implantation ou son siège social, qui conserve les données d’un résident de l’UE. Cela jette un filet très large et touche à toute organisation internationale essentielle.
Qu’est-ce que le RGPD ?
Il est entré en vigueur le 24 mai 2016. Toutefois, en raison de sa période de mise en œuvre de deux ans, il n’a été applicable qu’à partir du 25 mai 2018. À partir de cette date, il laisse aux organisations au plus 10 mois pour s’assurer qu’elles sont en mesure de se conformer. Étant donné qu’il est un règlement à l’échelle de l’UE, il n’exige pas des États membres qu’ils adoptent une législation supplémentaire pour sa mise en œuvre. Certains États membres de l’UE (tels que l’Allemagne, l’Irlande et le Royaume-Uni), saisissent toutefois l’occasion d’introduire en même temps une nouvelle législation nationale.
Quelle est l’information la plus pertinente pour les associations ?
Les règlements sont assez détaillés (88 pages), mais en résumé, il y a quelques domaines de conformité qui sont les plus pertinents pour les associations.
Consentement :
Les utilisateurs doivent fournir un consentement (pas de cases à cocher automatiques) aux communications par courrier électronique.
Droit d’être oublié :
Les utilisateurs ont le droit d’effacer et leurs données deviennent obsolètes dans le système.
Droit de comprendre les données détenues :
Les utilisateurs ont le droit de demander à une organisation de divulguer les données personnelles qu’elle détient sur eux sans frais pour l’utilisateur.
Gestion de la sécurité et de la confidentialité :
Les organisations doivent disposer de mesures de protection des données raisonnables pour protéger les données personnelles et la vie privée des consommateurs contre la perte ou l’exposition.
Notification de violation de données :
Les organisations qui traitent les données doivent informer le responsable du traitement des données (par exemple les associations) qui doivent alors informer une autorité de surveillance désignée, d’une violation de données personnelles dans les 72 heures suivant l’identification de la violation. Des détails spécifiques sur la violation, tels que sa nature et le nombre approximatif de sujets touchés, doivent être fournis. Les sujets doivent également être avertis le plus rapidement possible lorsque la violation met en danger leurs droits et libertés.
Qu’est-ce que les associations veulent savoir de leurs fournisseurs ?
Les associations devraient subir un examen de bout en bout de toutes les façons dont elles saisissent, conservent et traitent les données sur les individus. Dans le cadre de cette analyse, elles devraient se tourner vers tous les fournisseurs de solutions qui touchent ou gèrent les données en leur nom pour s’assurer qu’elles se conforment au règlement.
Cet article n’est pas destiné à être utilisé comme conseiller juridique ni à être utilisé pour déterminer comment la réglementation s’applique à un client d’une association particulière. Nous encourageons les associations à engager des consultants en conformité ou des conseillers juridiques. Une entreprise reconnu qui travaille dans ce domaine est RGPD Express.