La
Commission nationale de l'informatique et des
libertés,
Vu la
convention n°108 du Conseil de l'Europe du 28
janvier 1981 pour la protection des personnes à
l'égard du traitement automatisé des
données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen
et du Conseil du 24 octobre 1995 relative à la
protection des personnes physiques à
l'égard du traitement des données
à caractère personnel et à la
libre circulation de ces données ; Vu la loi
n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés
modifiée par la loi n° 2004-801 du 6
août 2004 relative à la protection des
personnes physiques à l'égard des
traitements de données à
caractère personnel, et notamment son article
24, II ; Vu le décret n° 2005-1309 du 20
octobre 2005 pris pour l'application de la loi n°
78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés,
modifiée par la loi n° 2004-801 du 6
août 2004 ; Après avoir entendu Mme
Isabelle Falque-Pierrotin, commissaire, en son rapport
et Mme Pascale Compagnie, commissaire du Gouvernement,
en ses observations ;
Formule
les observations suivantes :
Les
traitements de données à
caractère personnel relatifs à la
gestion des membres et donateurs des associations
à but non lucratif régies par la loi du
1er juillet 1901 comportant des données sur des
personnes physiques constituent des traitements
courants ne paraissant pas susceptibles de porter
atteinte à la vie privée des personnes
dans le cadre de leur utilisation
régulière. La Commission estime en
conséquence qu'il y a lieu de faire application
des dispositions de l'article 24.II de la loi du 6
janvier 1978 modifiée et de dispenser ces
traitements de toute formalité
déclarative préalable. Cette
décision ne s'applique pas aux traitements mis
en œuvre par une association ou tout autre
organisme à but non lucratif et à
caractère religieux, philosophique, politique
ou syndical dans les conditions définies
à l'article 8.II-3° de la loi du 6 janvier
1978 modifiée qui, en application de l'article
22.II-2° de la loi du 6 janvier 1978
modifiée, sont dispensés de toute
formalité déclarative préalable
auprès de la CNIL.
Décide
:
Article
1er
Sont
dispensés de déclaration les traitements
de données à caractère personnel
relatifs à la gestion des membres et des
donateurs des associations à but non lucratif
régies par la loi du 1er juillet 1901
comportant des données sur des personnes
physiques qui répondent aux conditions
suivantes.
Article
2 : Finalités du traitement
Les
traitements doivent avoir pour seules finalités
:
*
l'enregistrement et la mise à jour des
informations individuelles nécessaires à
la gestion administrative des membres et donateurs, en
particulier la gestion des cotisations,
conformément aux dispositions statutaires qui
régissent les intéressés
;
*
d'établir, pour répondre à des
besoins de gestion, des états statistiques ou
des listes de membres, notamment en vue d'adresser
bulletins, convocations, journaux. Lorsque ces listes
sont sélectives, les critères retenus
doivent être objectifs et se fonder uniquement
sur des caractéristiques qui correspondent
à l'objet statutaire de
l'association.
*
d'établir des annuaires de membres, y compris
lorsque ces annuaires sont mis à la disposition
du public sur le réseau internet.
Dans
le cas où est utilisé un service de
communication au public en ligne (site internet), un
traitement des données de connexion à
des fins purement statistiques peut être
effectué.
Article
3 : Données traitées
Les
données traitées pour la
réalisation des finalités
décrites à l'article 2 sont :
*
identité : nom, prénoms, sexe, date de
naissance, adresse, numéros de
téléphone (fixe et mobile) et de
télécopie, adresse de courrier
électronique ;
*
identité bancaire pour la gestion des dons
;
* vie
associative : état des cotisations, position
vis à vis de l'association, informations
strictement liés à l'objet statutaire de
l'association, à l'exclusion des données
visées à l'alinéa 2 du
présent article ;
*
données de connexion (date, heure, adresse
Internet Protocole de l'ordinateur du visiteur, page
consultée) à des seules fins
statistiques d'estimation de la fréquentation
du site.
Ne
peuvent bénéficier de
l'exonération les traitements comportant les
données suivantes :
* les
données qui font apparaître, directement
ou indirectement, les origines raciales ou ethniques,
les opinions politiques, philosophiques ou religieuses
ou l'appartenance syndicale des personnes, ou qui sont
relatives à la santé ou à la vie
sexuelle de celles-ci (article 8 de la loi du 6
janvier 1978 modifiée);
* les
données concernant les infractions,
condamnations ou mesures de sûreté
(article 9 de la loi du 6 janvier 1978
modifiée);
* les
données relatives aux difficultés
sociales et économiques des personnes
;
* le
numéro d'inscription au répertoire
d'identification des personnes (n° INSEE ou
n° de sécurité sociale).
Les
traitements comportant les données
listées ci-dessus font l'objet de
formalités déclaratives
préalables dans les conditions prévues
par la loi du 6 janvier 1978
modifiée.
Article
4 : Destinataires des données
Peuvent
seuls, dans la limite de leurs attributions
respectives, être destinataires des
données :
a) les
personnes statutairement responsables de la gestion de
l'association ;
b) les
services chargés de l'administration et de la
gestion des membres ;
c)
éventuellement les organismes gérant les
systèmes d'assurance et de prévoyance,
applicables aux activités de l'association.
Sous réserve des dispositions de l'article 6 de
la présente exonération, les
informations relatives aux membres et donateurs de
l'association peuvent faire l'objet :
*
d'une diffusion sous la forme d'un annuaire
;
*
d'une cession, location ou d'un échange
à des fins de prospection, à l'exclusion
d'opérations de prospection politique.
Article
5 : Durée de conservation
Les
données à caractère personnel ne
peuvent être conservées après la
démission ou la radiation, sauf accord
exprès de l'intéressé. S'agissant
des donateurs, elles ne doivent pas être
conservées au delà de deux
sollicitations restées
infructueuses.
Article
6 : Information et consentement des personnes
concernées
Les
personnes concernées sont informées,
lors de leur adhésion, de l'identité du
responsable de traitement, des finalités
poursuivies par le traitement, du caractère
obligatoire ou facultatif des réponses à
apporter, des conséquences éventuelles,
à leur égard, d'un défaut de
réponse, des destinataires des données,
de leur droit d'opposition, d'accès et de
rectification ainsi que des modalités
d'exercice de leurs droits. Lorsque les données
figurent dans un annuaire appelé à
être diffusé, les adhérents
doivent en être préalablement
informés et doivent être mis en mesure de
s'opposer à ce que tout ou partie des
données les concernant soient publiées.
Le droit d'opposition doit s'exprimer par un moyen
simple tel que l'apposition d'une case à
cocher. Lorsque le responsable du service de
communication au public en ligne utilise des
procédés de collecte automatisés
de données tendant à accéder, par
voie de transmission électronique, à des
informations stockées dans l'équipement
terminal de connexion de l'utilisateur ou à
inscrire, par la même voie, des informations
dans son équipement terminal de connexion (par
exemple : cookies, applets Java, composants active X
ou autre code mobile), les utilisateurs sont
informés de la finalité de l'utilisation
de ces procédés et des moyens dont ils
disposent pour s'y opposer. Lorsque les données
sont utilisées à des fins de
prospection, les personnes concernées sont
informées qu'elles peuvent s'y opposer sans
frais et sans justification. L'envoi de prospection
commerciale par voie électronique est
subordonné au recueil du consentement
préalable des personnes concernées. Dans
ces hypothèses, les personnes doivent avoir
été invitées, au moment de la
collecte de leurs données, à consentir
de manière simple et dénuée
d'ambiguïté à une utilisation de
leurs données à des fins
commerciales.
Si les
données à caractère personnel ont
été collectées via un formulaire,
le droit d'opposition ou le recueil du consentement
préalable doivent, selon les cas, s'exprimer
par un moyen simple tel que l'apposition d'une case
à cocher.
Article
7 : Sécurité
Le
responsable de traitement est tenu de prendre toutes
précautions utiles pour préserver la
sécurité des données et,
notamment, empêcher qu'elles soient
déformées, endommagées, ou que
des tiers non autorisés y aient accès.
L'accès au traitement se fait au moyen d'un mot
de passe individuel régulièrement
renouvelé ou par tout autre dispositif au moins
équivalent.
Article
8 : Transmissions de données vers des pays
tiers à l'Union européenne
Ne
peuvent prétendre au bénéfice de
l'exonération les traitements
automatisés comportant la transmission de
données à caractère personnel
vers des pays tiers à l'Union
européenne, y compris lorsque cette
transmission est réalisée à des
fins de sous-traitance. Ces traitements font l'objet
de formalités déclaratives
préalables auprès de la CNIL dans les
conditions prévues par la loi du 6 janvier 1978
modifiée.
Article
9 : Effets de la dispense de
déclaration
Les
traitements répondant aux conditions
visées aux articles 2 à 7 peuvent
être mis en œuvre sans délai et sans
déclaration préalable auprès de
la CNIL.
La
dispense de déclaration n'exonère le
responsable de tels traitements d'aucune de ses autres
obligations prévues par les textes applicables
à la protection des données à
caractère personnel.
Article
10
La
norme simplifiée n° 23 établie par
la délibération n° 81-089 du 21
juillet 1981 est abrogée.
Article
11
La
présente délibération sera
publiée au Journal officiel de la
République française.
Le
président Alex Türk
|
Accueil
|
Le
club
| Organisations
| Entraînements
| Compétitions
| Administratif
| Contacts
| Liens
| Réservé
adhérents
| Plan
du site
| Avertissement
|