Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Association, fondation & transmission de données
22 juin 2022

En novembre dernier, la Commission nationale de l’informatique et des libertés (Cnil) publiait  un guide de sensibilisation dédié à la mise en conformité des associations et fondations au Règlement Général sur la Protection des Données (RGPD). Celui-ci rappelle notamment l’obligation de responsabilisation auquel est soumise toute association ou fondation mettant en œuvre des traitements de données à caractère personnel. Le 20 juin 2022, la CNIL s’est de nouveau prononcée en la matière, cette fois-ci dans le cadre de transmissions de fichiers de donateurs.

Quelles sont les règles de transmission de données entre associations ? Les règles sont-elles différentes en cas de transmission de données par une association pour des finalités commerciales ?

association

Quelles sont les actions à mettre en œuvre par les associations et fondations ?

Les règles à suivre par une association ou une fondation diffèrent selon le but de la prospection à laquelle se livrera l’organisme destinataire des données.

Que retenir ?

La transmission de données à caractère personnel à des tiers constitue un traitement au sens du règlement général sur la protection des données (RGPD, article 4). En conséquence, les associations et fondations qui procèdent à la transmission desdites données doivent se conformer aux exigences du RGPD.

Ainsi, à l’instar des actions mises en place pour d’autres traitements, ces entités doivent veiller à la base légale de la transmission des données (intérêt légitime ou consentement) et en tirer les conséquences. L’information des personnes concernées est également requise quel que soit la finalité de la transmission. Une attention particulière doit aussi être portée à la minimisation des données afin que l’entité qui transmet les données se limite à celles strictement nécessaires à des actions de prospection. La sécurité des flux de données est enfin à prendre en compte.

En dernier lieu, il convient de souligner que l’organisme destinataire des données, qu’il s’agisse d’une société commerciale ou d’une autre association ou fondation, est soumis au RGPD. En particulier, il lui appartient d’informer les personnes concernées dans les conditions requises par l’article 14 du RGPD, applicable en cas de collecte indirecte de données. Cette information devra être délivrée au plus tard au moment de la première communication avec les personnes concernées. En outre, les règles exposées ci-dessus s’appliqueront également si l’organisme destinataires des données souhaite à son tour procéder à leur transmission.