Pour mettre votre club en conformité avec le Règlement Général de Protection des données personnelles (RGPD), la première des étapes conseillées par la CNIL est de désigner un pilote. C’est une personne, un correspondant, qui saura répondre aux questions, qu’elles viennent de la CNIL, des adhérents, ou des utilisateurs de votre site, bref de toute personne vous ayant confié des données personnelles[1].
Je préconise toujours de travailler en équipe, mais ramené au contexte de la grande majorité des clubs sportifs associatifs, le responsable RGPD sera probablement chargé de l’ensemble de la procédure de mise en conformité. C’est-à-dire du travail de recensement des données, du tri ou de la reformulation des traitements, de la rédaction des textes d’information, et probablement jusqu’à la mise à jour technique du site et de l’envoi des notifications aux abonnés.
Qui fait quoi ?
Tout dépend de votre organisation Internet et réseaux sociaux. Je sais que dans beaucoup de clubs ces tâches sont souvent dévolues à la même personne. C’est l’occasion de passer en mode binôme.
Si vous lisez la littérature en ligne à propos du RGPD, on y évoque le titre de DPO[2] pour Délégué à la Protection des Données. Dans la pratique, les organisations qui avaient désigné un correspondant informatique et liberté peuvent gardent la même désignation.
Les organisations pour lesquelles le traitement des données n’est pas le cœur d’activité, autrement dit la quasi-totalité des clubs sportifs, peuvent désigner un chef de projet ou un responsable RGPD. Ce n’est pas une obligation pour votre club. Mais il suffit que vous traitiez des données sensibles pour que les questions qui vous sont posées soient fréquentes. Vous serez plus serein si vous savez que vous pouvez répondre à des cas critiques (voir le premier article RGPD).
Évitez d’employer le terme DPO qui implique de disposer de connaissances techniques et juridiques et de disposer de moyens d’actions en proportion des traitements.
Les qualités demandées au chef de projet RGPD
Les qualités demandées à ce correspondant sont de disposer des connaissances requises (savoir de quoi l’on parle), de communiquer efficacement, d’être disponible et joignable, et de ne pas se trouver en situation de conflit d’intérêt (être juge et partie). On attend de lui de l’objectivité. S’il se trouve en situation de « déterminer les finalités et moyens d’un traitement de données », autrement dit s’il doit optimiser la performance du traitement des données, il ne peut être objectif.
Traduit en langage clair, il faut éviter de nommer comme responsable RGPD la personne qui a la responsabilité finale de ce qui est fait avec des données personnelles. Dans une association c’est bien souvent le responsable légal, donc le ou la présidente.
Soyez pragmatique. Si vous avez encore un fichier papier, impliquez le secrétaire pour cette partie papier. Si seul votre webmaster comprend quelque chose à ce qui est fait avec les données collectées par le site internet, il sera bien plus efficace pour comprendre ce que l’on demande pour la conformité au RGPD.
Il suffit que vous ayez fait une mesure d’audience par google analytics pour récolter l’adresse IP de vos visiteurs. Donc vous avez obligation de les informer.
J’ai déjà évoqué l’utilité de faire des sauvegardes de vos données informatiques. Considérez que la mise en conformité au RGPD est en quelque sorte une sauvegarde des compétences du club en matière de gestion informatique des données personnelles.
La semaine prochaine, on rentre dans le dur avec la cartographie de vos données.
Et pour retrouver mes sujets sur les réseaux sociaux, utilisez le hashtag #RGPDclubsportif
Thierry Nauleau
[1] Rappel : quelles soient conservées informatiquement ou sous forme de fichier papier, la collecte, le traitement et le stockage des données personnelles est soumis au RGPD.
[2] Le sigle DPO vient de la formule en langue anglaise (Digital Protection Officer)
0 Comments