La deuxième étape du processus de mise en conformité du club avec le RGPD consiste à identifier les données personnelles que vous avez collecté. Cette opération est clairement la plus longue car elle requiert d’agir avec méthode et d’être méticuleux. C’est pourtant une étape nécessaire pour savoir ce que vous pourrez simplifier et optimiser.

Deux points du RGPD appellent cet examen :

Chaque personne dispose d’un droit de regard sur les données qu’elle a pu vous confier.

Les données que vous avez collectées ne peuvent être conservées de façon indéfinie.

L’information personnelle au cœur du nouveau règlement

Qu’elle soit collectée de façon numérique ou manuelle lors d’une adhésion sur place, la donnée personnelle appartient à la personne qui consent à vous la confier. Parce que dans la pratique nous collectons des tas d’informations, il est fréquent qu’avec le temps des données ne soient plus à jour, qu’elles deviennent inutiles, ou même que nous ne sachions pas très bien où elles se cachent…

La collecte des données, ce que l’on en fait (le traitement), la façon dont on la conserve (le stockage), doit être traçable. Pour être en mesure de répondre facilement et rapidement à toute demande, vous avez tout intérêt à documenter votre façon de faire.

Avec quelques conseils issus du retour d’expérience cela va bien se passer.

Ce retour d’expérience m’amène à vous conseiller de fractionner l’opération de cartographie des données en deux temps :

Où sont conservées vos données ?

La question ne se pose pas seulement du point de vue du lieu de stockage, mais plutôt dans quelle application ? Dans quel répertoire ?

Le modèle de registre dont je vous parlerai la prochaine fois utilise le terme d’activité pour désigner la nature du traitement des données. Je l’ai testé, ça marche.

Quelles activités pour un club ?

La gestion des adhérents. C’est la première qui doit vous venir à l’esprit et c’est celle qui va demander le plus de réflexion. A moins d’être un club non affilié à une fédération, vous saisissez certainement les données personnelles de vos adhérents dans un logiciel de gestion fédéral.

Dans ce cas, vous devrez au préalable informer vos adhérents que ses données seront communiquées à la fédération. Du point de vue du RGPD, les données sont confiées à l’association par une personne, pas directement à la fédération. Pour les données qui vont à la fédération, notez toutes les informations requises. vous devrez les lister pour informer complètement vos adhérents.

Il y a les données qui vont à la fédé, et les données que le club collecte et traite dans sa propre application de gestion des adhérents. Cela peut être aussi bien un simple fichier Excel, qu’un fichier qui tourne sous une application maison avec une extension qui vous apparaitra mystérieuse. Il convient bien sûr de solliciter l’informaticien qui a conçu cette application maison. Ouvrir l’application ne suffit pas. La finalité est de donner à la personne qui le demande les informations personnelles que le club a collecté et avoir la possibilité d’effacer complètement ces données. Ces fonctions n’existent pas forcément dans une application maison.

Important : si vous collectez des données relatives à la santé des personnes. Ces sont des données considérées comme sensibles. Notez bien de quelles informations il s’agit et où sont-elles stockées. Nous y reviendrons dans le prochain article.

Les informations d’abonnement en ligne à la newsletter. Si la newsletter et ses abonnés sont gérés avec une messagerie email, vous n’avez rien à faire, car les données sont déjà celles que vous avez recensés pour vos adhérents, soit dans le logiciel fédéral, soit dans une application maison.

Si vos abonnés doivent s’inscrire en ligne, alors vous devez recenser les données que vous collectez et où sont-elles stockées.

Cela vaut également pour les données collectées par :

  • Des formulaires de contact
  • Des formulaires d’inscription pour les compétitions que vous organisez
  • Les formulaires d’enquête auprès de vos adhérents et du public
  • Des formulaire de ventes de prestations ou de produits dérivée

Les cookies

Rares sont les clubs qui utilisent des cookies sur leur site internet. Mais il n’est pas rare d’utiliser un système de mesure d’audience comme google analytics. Cette application génère un micro programme (un cookie), qui va relever l’adresse IP de l’ordinateur qui a effectué la connexion au site. Si par ailleurs vous utilisez une extension d’application pour collecter en ligne les adresses email pour une newsletter, il devient alors possible de combiner ces informations avec les noms et prénoms qui existent dans d’autres bases de données. C’est pour cette raison que vous devez signaler si oui ou non vous avez installé sur votre site un système de mesure d’audience.

Si votre enquête répond aux critères déontologiques d’une enquête, les réponses doivent être anonymes. Vous pouvez collecter une année de naissance ou un code postal, mais un nom, une adresse ou un numéro d’adhérent.

Les données anciennes conservées sur des supports papier. Avant toute action précipitée, il convient de faire avec ces données le même travail d’identification et de traçage que pour les données numériques. Vous vous êtes rodé avec ces dernières, la description des données papier ne vous prendra que quelques minutes et peut vous faire gagner beaucoup de temps pour la suite.

A bientôt.

Thierry Nauleau

RGPD, où sont vos fichiers ?
Étiqueté avec :                    

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :