RGPD - base de données des adhérents

0

Bonjour,
Notre structure associative est composée d'adhérents qui prennent leur carte chaque année auprès de leur association locale (en général la plus proche de leur domicile). Cette carte est vendue par la fédération aux associations locales (juridiquement indépendantes), une partie du prix de l'adhésion revient à la fédération (ouvre accès aux structures/activités françaises mais également internationales).
Pour être conforme au RGPD, nous avons changé de logiciel (auparavant une base de donnée Access, non sécurisé, vieillot) et utilisons dorénavant le logiciel "AssoConnect" , logiciel créé pour les associations, qui permet de faire en plus la compta, les mailings...
La fédération a signé un contrat avec "AssoConnect" et prend en charge le coût, l'objectif étant aussi d'aider les associations locales pour leur gestion.
Certaines ne veulent pas y saisir les adhésions aussi, en plus d'un fichier Excel comportant les données nécessaires, nous leur demandons une délégation pour le faire à leur place.
Nous estimons que la fédération est en droit de posséder un minimum d'information des adhérents (env. 7 500 au total)
Est-ce réglementaire ?
Celles qui sont d'accord remplissent un document "référent" à partir duquel nous ouvrons les droits à l'administrateur.
Les adhérents ayant une adresse mail ont possibilité de mettre à jour leurs informations dans leur profil (ils en sont informés)
Faisons nous les choses correctement ?
Avons-nous le droit d'exiger de détenir une base de données avec les coordonnées des adhérents (le strict minimum : nom, prénom, adresse, date de naissance... ? tél et adresse mail ne sont pas obligatoires mais l'adresse mail serait un plus pour pouvoir correspondre)
Merci de votre aide quant à savoir si nous faisons les choses correctement au vu du RGPD.
Je reste bien entendu à votre disposition par mail .
Mme Schmitt Christine
christine.schmitt@amis-nature.org

Meilleures réponses

  • 0

    J'ai trouvé une entreprise spécialisée dans la mise en conformité RGPD des associations et autres structures de l'économie sociale et solidaire (SCOP, SCIC, etc...). Elle propose notamment un service de DPO externalisé mutualisé. Je n'ai jamais eu affaire à cette entreprise mais cela peut vous intéresser alors je partage.
    https://liberating.fr/

  • 0

    Bonjour Christine,

    Avant de regarder si vous êtes conformes au RGPD, il faut vous tourner vers vos documents statutaires (Statuts de la fédération, statuts des associations locales et éventuels règlement intérieur) pour vérifier ce qui y est prévu en la matière.

    Ensuite, il vous faut regarder dans le détail les documents permettant de collecter l'adhésion : théoriquement l'adhérent doit à minima y être informé de l'utilisation prévue de ces données, y compris dans votre cas la transmission à la Fédération et ce que la Fédération en fera.

    Il n'est pas toujours aisé de tout noter sur un bulletin d'adhésion : la recommandation de la CNIL serait de faire court et clair, et de renvoyer vers votre "politique de gestion des données personnelles" afin que l'adhérent, s'il le souhaite, puisse prendre connaissance de l'ensemble des utilisations prévues de ses données.

    Enfin, ne pas négliger qu'il s'agit d'un sujet particulièrement sensible en France, et prendre les réticences au sérieux. Les craintes doivent être entendues, le sujet dialogué afin de trouver une solution ensemble, sans être dans "l'exigence", surtout si nous n'en avez pas du tout les moyens.

    Dans la pratique, pour vous, une solution pourrait être :

    • de soulever en interne votre crainte de ne pas être en règle et les risques juridiques non-négligeables encourus;
    • en réponse à ce problème, de composer un comité de pilotage sur cette question en associant des membres bénévoles de la direction, des salariés "techniciens" (informaticien, communication...) et des membres des associations locales;
    • comité qui demandera l'accompagnement par un professionnel indépendant pour poser un diagnostic global, clair et concerté quant à votre gestion des données personnelles;
    • Diagnostic qui sera partagé à tous et qui pourra amener, parmi les recommandations, à faire évoluer vos statuts et règlements intérieurs, à rédiger cette politique de gestion de données personnelles...
    • Qui une fois rédigés, seront votés en AG, et deviendront donc une condition d'adhésion des associations locales à la fédération, vous dotant ainsi du "droit" d'exiger les données, avec de véritables leviers.

    Alors oui, ça peut prendre 1 an, mais vous y gagnerez potentiellement beaucoup dans votre dynamique associative.

    Tenez-nous au courant, ça pourra en intéresser d'autres !

    Fraternellement,

    Xavier GRIMAULT

Connectez-vous ou Inscrivez-vous pour répondre.