Chaque traitement de données doit respecter et être basé uniquement sur un des six critères de légitimité prévus par le RGPD : le consentement, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d’intérêt public ou encore l’intérêt légitime.
Dans des cas marginaux, des textes légaux peuvent prescrire des traitements de données par une association qui ont une incidence sur ses activités (le Code du travail, la loi modifiée du 21 avril 1928 sur les associations et les fondations sans but lucratif, les dispositions en matière de sécurité sociale et d’impôts, dans le cadre de la lutte anti-dopage, etc.). Par exemple, le Code Antidopage de l'Agence Luxembourgeoise Antidopage, qui transcrit les règles et principes énoncés au Code Mondial Antidopage, oblige ladite Agence à rapporter publiquement l’issue d’une procédure antidopage, en précisant, entre-autres, le nom du sportif ou de l’autre personne ayant commis la violation.
Or, de manière générale, trois critères de légitimité peuvent entrer en ligne de compte dans le cadre du traitement de données par une association:
1. Le recueil du consentement
Attention : La personne doit avoir un choix réel de refuser le traitement et elle doit au préalable avoir reçu les informations mentionnées ci-dessous. Par ailleurs, par la mise en place de différentes cases à cocher, une personne doit avoir la possibilité d’accepter un traitement (p.ex : recevoir la newsletter) tout en refusant un autre (p.ex. l’utilisation des données à des fins de marketing). Les cases cochées par défaut sont interdites.
Voici quelques exemples pratiques où le recueil du consentement apparaît nécessaire et approprié:
- publication de données de contact privées des membres d’un comité sur votre site internet ;
- publication dans une revue d'information des dates de naissance des nouveau-nés des membres, ainsi que leurs dates de mariage ;
- inscription à une newsletter ;
- transfert des données de contact des licenciés d’un club sportif à un magasin de sport ;
- transfert des données de contact des personnes inscrites dans des séances d’un groupe d'entraide à une autre association ;
- publication des noms des sponsors externes (personnes physiques) à une association, ainsi que le montant des dons ;
- mise en place d’un groupe « What’sApp » par un entraîneur pour communiquer avec les joueurs et leurs parents et sous condition de leur proposer une alternative en cas de refus.
Attention : Pour les mineurs, le consentement des représentants légaux est requis. Lorsqu’un enfant a atteint l’âge de discernement ou « l'âge de raison », qui se situe selon la jurisprudence actuelle entre 12 et 14 ans, le double consentement du parent et de l’enfant est recommandé, afin de tenir compte de la volonté de l’enfant.
Le consentement ne doit pas nécessairement se manifester par un formulaire écrit, mais peut aussi ressortir de tout autre déclaration ou acte positif clair, par laquelle une personne accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Par exemple, par le fait de payer les cotisations pour sa carte de membre, une personne accepte de figurer sur la liste des membres d’une association et de recevoir chaque année une demande de renouvellement de son abonnement. Néanmoins, pour des moyens de preuve (envers vos membres et lors de contrôles réalisés par la CNPD), il est recommandé de documenter de quelle manière le consentement a été recueilli. Or, il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité.
2. Exécution d'un contrat
Si le traitement de données s’avère nécessaire à l'exécution d'un contrat auquel la personne concernée est partie. Par exemple, pour exécuter le contrat de travail d’un salarié d’une association, le recueil de diverses données est nécessaire (en principe le nom, prénom, adresse, date de naissance, numéro d’identification national et le compte bancaire). Dans ce cas, le recueil du consentement n’est pas le fondement approprié pour le traitement de données.
Encore, l’appartenance à une association peut dans certains cas et en fonction des statuts et des activités poursuivies (prestations de services offertes) être considérée comme relation contractuelle entre les membres et l’association elle-même. Or, les traitements des données concernant les différents membres ne doivent pas dépasser ce qui est nécessaire pour exécuter ledit contrat (en principe limité au nom, prénom, adresse, année de naissance et le compte bancaire).
3. Intérêts légitimes
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’association, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. Voici quelques exemples :
- publication sur son site internet d’une liste des noms, prénoms et années de naissance des joueurs d’un club sportif ;
- envoi aux héritiers d’une personne décédée d’une liste des donateurs et des montants des dons reçus ;
- publication sur le site internet des noms, prénoms et adresses mail professionnelles des membres du comité ;
- publication temporaire des noms, prénoms et années de naissance des joueurs sélectionnés pour un match et les résultats des compétitions ;
- transmission des données des joueurs et membres à l’organisateur d’un tournoi ;
- transmission de données des joueurs à une fédération en vue d’obtenir une licence.
Attention aux intérêts et droits fondamentaux des personnes concernées, ainsi qu’au principe de minimisation des données. Collectez et traitez uniquement les données nécessaires pour atteindre les objectifs prévus.
Par exemple : A moins de disposer du consentement, l’indication sur un site web d’un club sportif de la date de naissance exacte et de la nationalité des joueurs, ainsi que des adresses privées des membres du comité dépasserait le strict nécessaire et constituerait une ingérence dans la vie privée des personnes concernées.
Attention : Une association n’est pas en droit de traiter les données pour une autre finalité que celle pour laquelle elle les a collectées.
Par exemple, une association ne peut transmettre les données de ses membres à un magasin de vêtements afin que ce dernier leur envoie de la publicité, sauf à avoir le consentement préalable des membres.
Cas particulier des données dites « sensibles »
Une vigilance particulière est nécessaire en cas de traitement de données sensibles (p.ex. l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, les données de santé ou des données concernant la vie sexuelle ou l'orientation sexuelle). Par principe, il est interdit de traiter de telles données, sauf si une des dix conditions prévues au RGPD est remplie, comme par exemple :
- le consentement explicite des personnes concernées ;
- une obligation en matière de droit du travail ;
- le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, à condition que ledit traitement se rapporte exclusivement aux membres et que les données ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
- les données sont manifestement rendues publiques ;
- …
Attention au droit à l’image
Le droit à l’image signifie que toute personne a sur son image et l’utilisation qui en est faite un droit exclusif et peut s’opposer à une diffusion non autorisée par elle. Alors même qu'il n'existe pas de texte spécifique portant sur le droit à l'image en droit luxembourgeois, la jurisprudence en la matière l'a clairement consacré. En effet, la plupart de ces décisions judiciaires se fondent sur l'article 1 de la loi du 11 août 1982 concernant la protection de la vie privée, qui dispose que «chacun a droit au respect de sa vie privée».
En principe, chaque personne concernée doit donner son consentement préalable pour la prise, ainsi que pour la publication de sa photo. Pour la prise et la publication de photos de mineurs, le consentement des représentants légaux est requis, et à partir de l’âge de discernement, également le consentement du mineur. Si une association est amenée à prendre et publier des photos de mineurs au cours de ses activités, la CNPD recommande de soumettre une fois par an un formulaire de consentement auxdits représentants et le cas échéant aux mineurs en précisant clairement pour quelles finalités des photos peuvent être prises et sur quels supports les photos peuvent être publiées (internet, intranet, journal d’une association, sur les réseaux sociaux, etc.), tout en leur permettant d’accepter la publication sur un support et non sur un autre.
Dans les autres cas, le consentement à la prise de vue peut aussi se manifester par un acte positif clair, comme par exemple le fait de poser lors d’une fête de fin d’année d’une association pour une photo prise par une personne appartenant à l’association. Encore, si un membre d’une association participe à une réunion d’information sur un sujet spécifique et s’il est indiqué sur la porte d’entrée que des photos seront prises pour illustrer la réunion sur le site internet de l’association, ce membre donne son consentement en entrant dans la salle de réunion. Néanmoins, une personne peut retirer son consentement en demandant au photographe de supprimer ses photos sur son appareil et/ou de les retirer d’un éventuel site en cas de publication.
Comme quasiment chaque droit, le droit à l’image connaît aussi des exceptions, comme en cas de prévalence du droit à la liberté d’expression qui comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations (comme par exemple l’illustration d’une activité d’une association sur son site internet ou la publication d’un article de presse sur un événement d’une association). Lors d’une manifestation publique organisée par une association, des photos peuvent donc être prises et publiées sur différents supports, sans consentement des personnes concernées. Si un individu s’oppose à cette publication, l’association doit, dans la mesure du possible, respecter cette opposition et, à titre d’illustration, retirer l’image (la photo individuelle) ou flouter la personne concernée.
Dans tous les cas, le droit des personnes concernées d’être informées est à respecter.
Vous pouvez consulter dans ce contexte sur notre site internet notre guidance spécifique et plus détaillée relative au droit à l’image.