Association sportive, comment organiser ma collecte de données personnelles et dans quelle mesure puis-je les exploiter ?
Articles co-écrit par Maître Hutteau-Hiltzer et Maître Gabour
Les associations sportives, dans le cadre de leurs activités et de leur fonctionnement sont amenées à traiter des données à caractère personnel, c’est-à-dire, des informations relatives à une personne physique qui la rendent identifiable directement ou indirectement.
Le traitement de données personnelles s’entend comme la collecte, l’enregistrement, la consultation ou encore l’utilisation de ces données.
Les données personnelles traitées par les associations sportives sont le plus souvent des informations personnelles comme le nom et le prénom (et celui du représentant légal en présence d’un mineur), l’âge, la date de naissance, une adresse postale, une adresse email, un numéro de téléphone mais encore des certificats médicaux de non contre-indication, des questionnaires de santé ou des photographies…
Les données personnelles collectées ont vocation à faire l’objet de traitements supplémentaires traduits par la création de fichiers (adhérents, organisations et résultats de compétitions, performances des adhérents, …) ou encore par, la diffusion de photographies ou de résultats via les réseaux sociaux, un site internet…
Ces traitements des données personnelles conduits par les associations sportives sont soumis aux règles posées par le RGPD. Dans ces conditions, il est fondamental pour l’association sportive, d’organiser ses traitements de données autour des 5 principes directeurs posés par le RGPD qui sont le principe de finalité, le principe de proportionnalité, le principe d’une durée de conservation limitée et le principe de sécurité et de confidentialité.
Afin de respecter ces principes directeurs et d’organiser valablement la collecte de données, l’association sportive doit adopter une stratégie lui permettant de se conformer aux obligations prévues par le RGPD.
Cette stratégie doit principalement s’organiser autour des cinq axes suivants :
-
Déterminer la typologie des données collectées
-
-
Quelles sont les données personnelles collectées ?
-
Attention, une association sportive ne peut pas collecter le numéro de sécurité sociale ou « NIR » d’un adhérent.
-
-
Des données de santé sont-elles collectées ?
-
A noter, que l’association sportive doit impérativement, au moment de la collecte des données, informer les personnes dont les données font l’objet de la collecte, des traitements dont elles vont faire l’objet. Des mentions spécifiques doivent apparaître sur le formulaire de collecte. Cette obligation d’information s’applique également lorsque la collecte se fait oralement. Il est nécessaire d’établir une procédure qui permet de se conformer à cette obligation d’information.
-
S’assurer que la collecte repose sur une finalité précise
Lorsque l’association collecte des données, cette collecte doit avoir une finalité précise, c’est-à-dire que la collecte doit intervenir en vue d’alimenter un fichier qui répond lui-même à un objectif précis comme par exemple, la gestion et l’organisation de la pratique sportive des membres, l’organisation de rencontres sportives, la gestion des salariés ou des bénévoles de l’association…
En parallèle, l’association doit veiller à ce que la collecte des données soit véritablement indispensable à la finalité du traitement c’est-à-dire, que les données collectées aient vocation à alimenter ledit fichier de manière adéquate, pertinente et nécessaire. Ainsi, l’association doit, en cas de contrôle, toujours être en mesure d’expliquer ses choix de collecte.
-
S’assurer du caractère licite de la collecte
L’association doit s’assurer du caractère licite de la collecte des données c’est-à-dire que cette collecte soit juridiquement permise. La collecte est juridiquement admise si elle repose sur l’une des six bases légales posées par le RGPD à savoir le consentement, l’exécution d’un contrat, une obligation légale en vertu d’une disposition légale ou réglementaire, l’intérêt légitime ou la mission d’intérêt public.
A titre d’exemples, cette notion de caractère licite se traduit concrètement par :
-
- Le recueil expresse du consentement au moment de la collecte des données par le membre ou l’adhérent ;
- Une clause du contrat d’adhésion à l’association autorise la collecte de données. À noter que dans cette situation, le contrat doit être signé par l’adhérent et que cette clause doit par ailleurs faire mention de la finalité de la collecte.
-
Déterminer la durée de conservation des informations collectées
L’association, pour chaque type de données collectées et dans le cadre de leur traitement, doit s’interroger et déterminer leur durée de conservation.
Pour déterminer la durée de conservation, deux hypothèses sont envisageables. Toute d’abord, l’hypothèse dans laquelle, la durée de conservation est déterminée par la législation ou la réglementation, dans cette situation l’association n’aura d’autre choix que de s’y conformer.
L’autre situation est celle ou la durée de conservation n’est pas encadrée par la loi, dans cette hypothèse l’association doit impérativement opérer une analyse portant sur l’ensemble du traitement et de sa finalité afin d’être en mesure de déterminer la durée de conservation adéquate.
-
S’assurer de la sécurité des données collectées
L’association qui collecte des données doit s’assurer que ces données ne soient utilisées qu’aux fins pour lesquelles elles ont été collectées. Dans ces conditions, il est fondamental que l’association mette en œuvre des mesures techniques et fonctionnelles adéquates permettant d’en préserver l’intégrité. Ces mesures techniques et fonctionnelles s’entendent par exemple comme la mise en place d’une politique d’accès et d’habilitation, la sécurisation des outils informatique, des réseaux et des serveurs, la sécurité physiques des données, l’encadrement des relations contractuelles de prestations entre l’association et ses sous-traitants ayant accès aux données…
L’ensemble de ces axes de réflexion va permettre à l’association de construire correctement son registre des activités de traitements, document obligatoire prévu par l’article 30 du RGPD et ainsi, se conformer sur ce point à la réglementation applicable en la matière.