Une analyse d’impact relative à la protection des données (articles 35 et 36 du RGPD) est requise au préalable en cas de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Les associations ne seront que très rarement confrontées à une telle obligation.
Une violation des données personnelles (articles 33 et 34 du RGPD) ne peut jamais être exclue à cent pour cent (des attaques par des hackers, perte de la liste des membres, perte d’un ordinateur portable ou d’un stick USB). Cette violation est tout d’abord à enregistrer dans votre registre interne (ce registre est obligatoire et indépendant de votre registre de traitement). Ensuite, vous avez en principe l’obligation de notifier la violation à la CNPD dans les 72 heures et dans certains cas, aussi aux personnes concernées. Un formulaire de notification d’une violation de données se trouve sur le site de la CNPD.
Des règles spécifiques sont prévues pour d’éventuels transferts de données vers des pays tiers (hors Union européenne) ou à une organisation internationale (articles 44 à 49 du RGPD) et les personnes concernées par ces transferts doivent en être informées au préalable. Tel est par exemple le cas si vous choisissez pour l’envoi de vos newsletters un prestataire de services qui offre ses services en Europe, mais qui transfère les données dans des pays en dehors de l’Union européenne (p.ex. les Etats-Unis d’Amérique, la Chine, l’Inde, etc.). De manière générale, la CNPD vous recommande de vérifier dès le départ si des prestataires établis dans l’Union européenne vous offrent les mêmes services, car ces derniers sont soumis aux mêmes règles en matière de de protection des données.
Vous êtes obligés de mettre en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD). Les principes de la protection des données dès la conception et par défaut (article 25 du RGPD) sont très importants. Ils impliquent que, par défaut, uniquement les personnes au sein d’une association qui ont besoin pour l’exécution de tâches particulières aient accès aux données personnelles en cause. Par exemple, le comité d’une association doit pouvoir accéder aux données des membres afin d’assumer toutes ses tâches. Par contre, le trésorier d’une association ne doit pas avoir accès à l’ensemble des données des différents traitements de données, mais, le cas échéant, uniquement à celles qui sont nécessaires pour pouvoir assumer ses tâches comme par exemple la gestion des cotisations, la tenue des livres comptables et pour effectuer des virements bancaires.
Vous pouvez par ailleurs consulter nos deux brochures (« Vos obligations en matière de protection des données » et « Vos données? Vos droits! »), ainsi que notre page dédiée au RGPD.