Politique de confidentialité

TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

Informations disponibles sur le site internet : http://www.cnil.fr

L’association recueille deux types d’informations :

  • celles de ses propres membres,
  • celles des personnes bénéficiaires de ses services.

Délibération CNIL n°2010-229 du 10 juin 2010

« La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 24-II ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

  • Les traitements de données à caractère personnel mis en œuvre par des organismes à but non lucratif pour la réalisation des seules finalités définies à l’article 2 et pour les seules données visées à l’article 3 comportant des données sur des personnes physiques constituent des traitements courants ne paraissant pas susceptibles de porter atteinte à la vie privée des personnes dans le cadre de leur utilisation régulière ;
  • La commission estime en conséquence qu’il y a lieu de faire application des dispositions de l’article 24-II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable ;
  • Cette décision ne s’applique pas aux traitements mis en œuvre par une association ou
  • tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou
  • syndical dans les conditions définies à l’article 8-II (3°) de la loi du 6 janvier 1978 modifiée
  • qui, en application de l’article 22-II (2°) de la loi du 6 janvier 1978 modifiée, sont dispensés
  • de toute formalité déclarative préalable auprès de la CNIL,

Décide :
Article 1
Sont dispensés de déclaration les traitements automatisés de données à caractère personnel mis en œuvre par des organismes à but non lucratif (associations loi 1901, associations loi 1908 de droit local en Alsace et en Moselle, fondations et fonds de dotation) comportant des données sur des personnes physiques qui répondent aux conditions suivantes.

Article 2
Finalités du traitement.
Les traitements doivent avoir pour seules finalités :


― l’enregistrement et la mise à jour des informations individuelles nécessaires à la gestion
administrative des membres et donateurs, en particulier la gestion des cotisations,


conformément aux dispositions statutaires qui régissent les intéressés ;
― d’établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de
membres ou de contacts, notamment en vue d’adresser bulletins, convocations, journaux.
Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder
uniquement sur des caractéristiques qui correspondent à l’objet statutaire de l’organisme ;


― d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la
disposition du public sur le réseau internet. Le traitement peut avoir également pour finalité
la tenue d’annuaire d’anciens élèves ou d’étudiants ;


― d’effectuer par tout moyen de communication des opérations relatives à des actions de
prospection auprès des membres, donateurs et prospects.
Dans le cas où est utilisé un service de communication au public en ligne (site internet), un
traitement des données de connexion à des fins purement statistiques peut être effectué.


Article 3


Données traitées.
Les données traitées pour la réalisation des finalités décrites à l’article 2 sont :


― l’identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;
― les informations relatives à la gestion administrative de l’organisme : état des cotisations,
position vis-à-vis de l’association, informations strictement liées à l’objet statutaire de l’organisme, identité bancaire pour la gestion des dons ;


― données de connexion (date, heure, adresse internet protocole de l’ordinateur du visiteur,
page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.


Ne peuvent bénéficier de l’exonération les traitements comportant les données suivantes :


― les données qui font apparaître, directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale
des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (art. 8 de la loi du 6 janvier 1978 modifiée) ;


― les données concernant les infractions, condamnations ou mesures de sûreté (art. 9 de la loi du 6 janvier 1978 modifiée) ;


― les données relatives aux difficultés sociales et économiques des personnes ;
― le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou numéro de sécurité sociale).
Les traitements comportant les données listées ci-dessus font l’objet de formalités déclaratives préalables dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 4
Destinataires des données.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données
:
a) Les personnes statutairement responsables de la gestion de l’association ;
b) Les services chargés de l’administration et de la gestion des membres ;
c) Eventuellement, les organismes gérant les systèmes d’assurance et de prévoyance,
applicables aux activités de l’association.
Sous réserve des dispositions de l’article 6 de la présente exonération, les données à caractère personnel traitées dans le cadre de l’activité de l’organisme peuvent faire l’objet :
― d’une diffusion sous la forme d’un annuaire ;
― d’une cession, location ou d’un échange à des fins de prospection, à l’exclusion d’opérations de prospection politique.


Article 5
Durée de conservation.
Les données à caractère personnel ne peuvent être conservées après la démission, la
radiation ou le départ, sauf accord exprès de l’intéressé.


S’agissant des donateurs, la commission recommande qu’elles ne soient pas conservées audelà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de prendre toutes mesures utiles pour s’assurer que les données sont exactes, complètes et mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des sollicitations. En tout état de cause, les données doivent être conservées pour une durée limitée.


Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées.

Article 6


Information et consentement des personnes concernées.
Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable
de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou
facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut
de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de
rectification ainsi que des modalités d’exercice de leurs droits.
En cas d’établissement d’annuaire :
Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes
concernées doivent en être préalablement informées et doivent être mises en mesure de
s’opposer à ce que tout ou partie des données les concernant soit publié.
La commission recommande à cet égard que l’accès à l’annuaire par le biais d’internet soit
en accès restreint et que les personnes aient la possibilité d’indiquer les informations
qu’elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version
web que papier de l’annuaire.
Les personnes figurant dans l’annuaire doivent également avoir été mises en mesure de
s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.
En cas d’opérations relatives à des actions de prospection auprès des membres, donateurs
et prospects :
Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont
informées qu’elles peuvent s’y opposer sans frais, à tout moment et sans justification.
Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie
électronique, les personnes concernées doivent préalablement consentir à une telle
utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la
collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une
utilisation de leurs données à des fins commerciales.
La commission rappelle que le responsable du traitement qui utilise des données issues d’un
fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s’assurer que les
personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des
fins de prospection. La commission recommande que les messages de sollicitations
indiquent aux personnes démarchées l’origine des informations utilisées pour leur faire
parvenir ce message lorsque les données n’ont pas été recueillies directement par
l’organisme à l’origine du message.
Si les données à caractère personnel ont été collectées via un formulaire, le droit
d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par
un moyen simple tel que l’apposition d’une case à cocher.
En cas d’accès ou d’inscription d’informations dans l’équipement terminal de la personne :
Lorsque le responsable du service de communication au public en ligne utilise des procédés
de collecte automatisés de données tendant à accéder, par voie de transmission
électronique, à des informations stockées dans l’équipement terminal de connexion de
l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal
de connexion (par exemple : cookies, applets Java, composants active X ou autre code
mobile), les utilisateurs sont informés de la finalité de l’utilisation de ces procédés et des
moyens dont ils disposent pour s’y opposer.
Article 7
Sécurité.
Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la
sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès. L’accès au traitement se fait au moyen d’un
mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins
équivalent.
Article 8
Transmissions de données vers des pays tiers à l’Union européenne.
Ne peuvent prétendre au bénéfice de l’exonération les traitements automatisés comportant
la transmission de données à caractère personnel vers des pays tiers à l’Union européenne, y
compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements
font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions
prévues par la loi du 6 janvier 1978 modifiée.
Article 9
Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en
œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n’exonère le responsable de tels traitements d’aucune de ses
autres obligations prévues par les textes applicables à la protection des données à caractère
personnel. »
I – Informations personnelles concernant les membres de l’association
Le traitement des données personnelles mis en œuvre par tout organisme à but non lucratif pour
la gestion administrative de leurs membres, bénévoles et donateurs est dispensé de toute
déclaration.
La dispense prévoit que seules peuvent être enregistrées les données relatives à l’identité,
l’identité bancaire, vie associative, et à des fins statistiques les données de connexion.
Les données sensibles telles que les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale, sont exclues de cette dispense.
Les personnes concernées doivent être informées lors de la collecte des données de toute
opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition,
d’accès et de rectification.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion pour bien
informer les adhérents de leurs droits.
Voici la mention que l’association INSEME devrait faire figurer sur les nouveaux
bulletins d’adhésion :
« Les informations recueillies sont nécessaires pour votre adhésion. Elles font l’objet d’un traitement informatique
et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier
1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous
adresser à ……… »
II – Informations concernant les bénéficiaires des services de l’association
Il y a lieu pour l’association de déterminer si, notamment, les données recueillies sur les
bénéficiaires des aides sont susceptibles d’être des données dites « sensibles », au regard de
l’article 3 de la délibération CNIL (origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale)
Auquel cas, deux types de formulaires seront à remplir, en fonction des données traitées :


d’opérations de prospection politique.
Article 5
Durée de conservation.
Les données à caractère personnel ne peuvent être conservées après la démission, la
radiation ou le départ, sauf accord exprès de l’intéressé.
S’agissant des donateurs, la commission recommande qu’elles ne soient pas conservées audelà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de
prendre toutes mesures utiles pour s’assurer que les données sont exactes, complètes et
mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des
sollicitations. En tout état de cause, les données doivent être conservées pour une durée
limitée.
Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles
ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la
campagne de collecte de dons pour lesquelles elles ont été louées.
Article 6
Information et consentement des personnes concernées.
Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable
de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou
facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut
de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de
rectification ainsi que des modalités d’exercice de leurs droits.
En cas d’établissement d’annuaire :
Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes
concernées doivent en être préalablement informées et doivent être mises en mesure de
s’opposer à ce que tout ou partie des données les concernant soit publié.
La commission recommande à cet égard que l’accès à l’annuaire par le biais d’internet soit
en accès restreint et que les personnes aient la possibilité d’indiquer les informations
qu’elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version
web que papier de l’annuaire.
Les personnes figurant dans l’annuaire doivent également avoir été mises en mesure de
s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.
En cas d’opérations relatives à des actions de prospection auprès des membres, donateurs
et prospects :
Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont
informées qu’elles peuvent s’y opposer sans frais, à tout moment et sans justification.
Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie
électronique, les personnes concernées doivent préalablement consentir à une telle
utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la
collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une
utilisation de leurs données à des fins commerciales.
La commission rappelle que le responsable du traitement qui utilise des données issues d’un
fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s’assurer que les
personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des
fins de prospection. La commission recommande que les messages de sollicitations
indiquent aux personnes démarchées l’origine des informations utilisées pour leur faire
parvenir ce message lorsque les données n’ont pas été recueillies directement par
l’organisme à l’origine du message.
Si les données à caractère personnel ont été collectées via un formulaire, le droit
d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par
un moyen simple tel que l’apposition d’une case à cocher.
En cas d’accès ou d’inscription d’informations dans l’équipement terminal de la personne :
Lorsque le responsable du service de communication au public en ligne utilise des procédés
de collecte automatisés de données tendant à accéder, par voie de transmission
électronique, à des informations stockées dans l’équipement terminal de connexion de
l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal
de connexion (par exemple : cookies, applets Java, composants active X ou autre code
mobile), les utilisateurs sont informés de la finalité de l’utilisation de ces procédés et des
moyens dont ils disposent pour s’y opposer.
Article 7
Sécurité.
Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la
sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès. L’accès au traitement se fait au moyen d’un
mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins
équivalent.
Article 8
Transmissions de données vers des pays tiers à l’Union européenne.
Ne peuvent prétendre au bénéfice de l’exonération les traitements automatisés comportant
la transmission de données à caractère personnel vers des pays tiers à l’Union européenne, y
compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements
font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions
prévues par la loi du 6 janvier 1978 modifiée.
Article 9
Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en
œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n’exonère le responsable de tels traitements d’aucune de ses
autres obligations prévues par les textes applicables à la protection des données à caractère
personnel. »
I – Informations personnelles concernant les membres de l’association
Le traitement des données personnelles mis en œuvre par tout organisme à but non lucratif pour
la gestion administrative de leurs membres, bénévoles et donateurs est dispensé de toute
déclaration.
La dispense prévoit que seules peuvent être enregistrées les données relatives à l’identité,
l’identité bancaire, vie associative, et à des fins statistiques les données de connexion.
Les données sensibles telles que les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale, sont exclues de cette dispense.
Les personnes concernées doivent être informées lors de la collecte des données de toute
opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition,
d’accès et de rectification.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion pour bien
informer les adhérents de leurs droits.
Voici la mention que l’association INSEME devrait faire figurer sur les nouveaux
bulletins d’adhésion :
« Les informations recueillies sont nécessaires pour votre adhésion. Elles font l’objet d’un traitement informatique
et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier
1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous
adresser à ……… »
II – Informations concernant les bénéficiaires des services de l’association
Il y a lieu pour l’association de déterminer si, notamment, les données recueillies sur les
bénéficiaires des aides sont susceptibles d’être des données dites « sensibles », au regard de
l’article 3 de la délibération CNIL (origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale)
Auquel cas, deux types de formulaires seront à remplir, en fonction des données traitées :

m, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et
mobile) et de télécopie, adresse de courrier électronique ;
― les informations relatives à la gestion administrative de l’organisme : état des cotisations,
position vis-à-vis de l’association, informations strictement liées à l’objet statutaire de
l’organisme, identité bancaire pour la gestion des dons ;
― données de connexion (date, heure, adresse internet protocole de l’ordinateur du visiteur,
page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.
Ne peuvent bénéficier de l’exonération les traitements comportant les données suivantes :
― les données qui font apparaître, directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale
des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (art. 8 de la loi
du 6 janvier 1978 modifiée) ;
― les données concernant les infractions, condamnations ou mesures de sûreté (art. 9 de la
loi du 6 janvier 1978 modifiée) ;
― les données relatives aux difficultés sociales et économiques des personnes ;
― le numéro d’inscription au répertoire d’identification des personnes (numéro INSEE ou
numéro de sécurité sociale).
Les traitements comportant les données listées ci-dessus font l’objet de formalités
déclaratives préalables dans les conditions prévues par la loi du 6 janvier 1978 modifiée.
Article 4
Destinataires des données.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données
:
a) Les personnes statutairement responsables de la gestion de l’association ;
b) Les services chargés de l’administration et de la gestion des membres ;
c) Eventuellement, les organismes gérant les systèmes d’assurance et de prévoyance,
applicables aux activités de l’association.
Sous réserve des dispositions de l’article 6 de la présente exonération, les données à
caractère personnel traitées dans le cadre de l’activité de l’organisme peuvent faire l’objet :
― d’une diffusion sous la forme d’un annuaire ;
― d’une cession, location ou d’un échange à des fins de prospection, à l’exclusion
d’opérations de prospection politique.
Article 5
Durée de conservation.
Les données à caractère personnel ne peuvent être conservées après la démission, la
radiation ou le départ, sauf accord exprès de l’intéressé.
S’agissant des donateurs, la commission recommande qu’elles ne soient pas conservées audelà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de
prendre toutes mesures utiles pour s’assurer que les données sont exactes, complètes et
mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des
sollicitations. En tout état de cause, les données doivent être conservées pour une durée
limitée.
Concernant les données relatives aux prospects, à savoir celles issues d’un fichier loué, elles
ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la
campagne de collecte de dons pour lesquelles elles ont été louées.
Article 6
Information et consentement des personnes concernées.
Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable
de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou
facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut
de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de
rectification ainsi que des modalités d’exercice de leurs droits.
En cas d’établissement d’annuaire :
Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes
concernées doivent en être préalablement informées et doivent être mises en mesure de
s’opposer à ce que tout ou partie des données les concernant soit publié.
La commission recommande à cet égard que l’accès à l’annuaire par le biais d’internet soit
en accès restreint et que les personnes aient la possibilité d’indiquer les informations
qu’elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version
web que papier de l’annuaire.
Les personnes figurant dans l’annuaire doivent également avoir été mises en mesure de
s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.
En cas d’opérations relatives à des actions de prospection auprès des membres, donateurs
et prospects :
Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont
informées qu’elles peuvent s’y opposer sans frais, à tout moment et sans justification.
Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie
électronique, les personnes concernées doivent préalablement consentir à une telle
utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la
collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une
utilisation de leurs données à des fins commerciales.
La commission rappelle que le responsable du traitement qui utilise des données issues d’un
fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s’assurer que les
personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des
fins de prospection. La commission recommande que les messages de sollicitations
indiquent aux personnes démarchées l’origine des informations utilisées pour leur faire
parvenir ce message lorsque les données n’ont pas été recueillies directement par
l’organisme à l’origine du message.
Si les données à caractère personnel ont été collectées via un formulaire, le droit
d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par
un moyen simple tel que l’apposition d’une case à cocher.
En cas d’accès ou d’inscription d’informations dans l’équipement terminal de la personne :
Lorsque le responsable du service de communication au public en ligne utilise des procédés
de collecte automatisés de données tendant à accéder, par voie de transmission
électronique, à des informations stockées dans l’équipement terminal de connexion de
l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal
de connexion (par exemple : cookies, applets Java, composants active X ou autre code
mobile), les utilisateurs sont informés de la finalité de l’utilisation de ces procédés et des
moyens dont ils disposent pour s’y opposer.
Article 7
Sécurité.
Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la
sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès. L’accès au traitement se fait au moyen d’un
mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins
équivalent.
Article 8
Transmissions de données vers des pays tiers à l’Union européenne.
Ne peuvent prétendre au bénéfice de l’exonération les traitements automatisés comportant
la transmission de données à caractère personnel vers des pays tiers à l’Union européenne, y
compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements
font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions
prévues par la loi du 6 janvier 1978 modifiée.
Article 9
Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en
œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n’exonère le responsable de tels traitements d’aucune de ses
autres obligations prévues par les textes applicables à la protection des données à caractère
personnel. »
I – Informations personnelles concernant les membres de l’association
Le traitement des données personnelles mis en œuvre par tout organisme à but non lucratif pour
la gestion administrative de leurs membres, bénévoles et donateurs est dispensé de toute
déclaration.
La dispense prévoit que seules peuvent être enregistrées les données relatives à l’identité,
l’identité bancaire, vie associative, et à des fins statistiques les données de connexion.
Les données sensibles telles que les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale, sont exclues de cette dispense.
Les personnes concernées doivent être informées lors de la collecte des données de toute
opération visant à diffuser leurs données personnelles, ainsi que sur leur droit d’opposition,
d’accès et de rectification.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion pour bien
informer les adhérents de leurs droits.
Voici la mention que l’association INSEME devrait faire figurer sur les nouveaux
bulletins d’adhésion :
« Les informations recueillies sont nécessaires pour votre adhésion. Elles font l’objet d’un traitement informatique
et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier
1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous
adresser à ……… »
II – Informations concernant les bénéficiaires des services de l’association
Il y a lieu pour l’association de déterminer si, notamment, les données recueillies sur les
bénéficiaires des aides sont susceptibles d’être des données dites « sensibles », au regard de
l’article 3 de la délibération CNIL (origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des
personnes, les infractions, condamnations ou mesure de justice, les informations sur les
difficultés sociales et le numéro de sécurité sociale)
Auquel cas, deux types de formulaires seront à remplir, en fonction des données traitées :

  • soit une déclaration normale,
  • soit une demande d’autorisation.
    Les deux types de formulaires seront ci-après annexés. (Annexe)
    Par ailleurs, il est proposé une formule-type de consentement au traitement des données
    personnelles, dès lors qu’un dossier est ouvert par l’association :
    L’association INSEME dispose d’un système informatique destiné à faciliter la gestion des
    dossiers d’aides et à réaliser, le cas échéant, des travaux statistiques à usage de
    l’association.
    Les informations recueillies lors de votre demande feront l’objet, sauf opposition justifiée de
    votre part, d’un enregistrement informatique. Ces informations sont réservées
    exclusivement à l’association, aux organismes sociaux et aux professionnels de santé
    concernés par votre démarche et ne feront l’objet d’aucune transmission sans accord de
    votre part.
    Vous pouvez obtenir communication des données vous concernant en vous adressant à
    l’assocation, auprès de …. [personne désignée à cet effet].
  • Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés