- Dispense de déclaration n°8
Délibération n°2006-130 du 9 mai 2006 décidant
de la dispense de déclaration des traitements relatifs
à la gestion des membres et donateurs des associations
à but non lucratif régies par la loi du 1er juillet
1901 (dispense n°8)
- J.O n° 128 du 3 juin 2006
-
- La Commission nationale de l'informatique et des libertés,
- Vu la convention n°108 du Conseil de
l’Europe du 28 janvier 1981 pour la protection des personnes
à l’égard du traitement automatisé
des données à caractère personnel ;
- Vu la directive 95/46/CE du Parlement européen
et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l’égard du traitement
des données à caractère personnel et à
la libre circulation de ces données ;
- Vu la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés
modifiée par la loi n° 2004-801 du 6 août 2004
relative à la protection des personnes physiques à
l’égard des traitements de données à
caractère personnel, et notamment son article 24, II ;
- Vu le décret n° 2005-1309 du
20 octobre 2005 pris pour l'application de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés, modifiée par la loi n° 2004-801
du 6 août 2004 ;
- Après avoir entendu Mme Isabelle
Falque-Pierrotin, commissaire, en son rapport et Mme Pascale
Compagnie, commissaire du Gouvernement, en ses observations ;
-
- Formule les observations suivantes :
- Les traitements de données à
caractère personnel relatifs à la gestion des membres
et donateurs des associations à but non lucratif régies
par la loi du 1er juillet 1901 comportant des données
sur des personnes physiques constituent des traitements courants
ne paraissant pas susceptibles de porter atteinte à la
vie privée des personnes dans le cadre de leur utilisation
régulière. La Commission estime en conséquence
qu’il y a lieu de faire application des dispositions de
l’article 24.II de la loi du 6 janvier 1978 modifiée
et de dispenser ces traitements de toute formalité déclarative
préalable.
- Cette décision ne s’applique
pas aux traitements mis en œuvre par une association ou
tout autre organisme à but non lucratif et à caractère
religieux, philosophique, politique ou syndical dans les conditions
définies à l’article 8.II-3° de la loi
du 6 janvier 1978 modifiée qui, en application de l’article
22.II-2° de la loi du 6 janvier 1978 modifiée, sont
dispensés de toute formalité déclarative
préalable auprès de la CNIL.
-
- Décide :
-
- Article 1er
- Sont dispensés de déclaration
les traitements de données à caractère personnel
relatifs à la gestion des membres et des donateurs des
associations à but non lucratif régies par la loi
du 1er juillet 1901 comportant des données sur des personnes
physiques qui répondent aux conditions suivantes.
-
- Article 2 : Finalités du traitement
- Les traitements doivent avoir pour seules
finalités :
- l’enregistrement et la mise à jour des informations
individuelles nécessaires à la gestion administrative
des membres et donateurs, en particulier la gestion des cotisations,
conformément aux dispositions statutaires qui régissent
les intéressés ;
- d'établir, pour répondre à des besoins
de gestion, des états statistiques ou des listes de membres,
notamment en vue d'adresser bulletins, convocations, journaux.
Lorsque ces listes sont sélectives, les critères
retenus doivent être objectifs et se fonder uniquement
sur des caractéristiques qui correspondent à l'objet
statutaire de l'association.
- d'établir des annuaires de membres, y compris lorsque
ces annuaires sont mis à la disposition du public sur
le réseau internet.
- Dans le cas où est utilisé
un service de communication au public en ligne (site internet),
un traitement des données de connexion à des fins
purement statistiques peut être effectué.
-
- Article 3 : Données traitées
- Les données traitées pour
la réalisation des finalités décrites à
l’article 2 sont :
- identité : nom, prénoms, sexe, date de naissance,
adresse, numéros de téléphone (fixe et mobile)
et de télécopie, adresse de courrier électronique
;
- identité bancaire pour la gestion des dons ;
- vie associative : état des cotisations, position vis
à vis de l’association, informations strictement
liés à l’objet statutaire de l'association,
à l’exclusion des données visées à
l’alinéa 2 du présent article ;
- données de connexion (date, heure, adresse Internet
Protocole de l’ordinateur du visiteur, page consultée)
à des seules fins statistiques d’estimation de la
fréquentation du site.
- Ne peuvent bénéficier de l’exonération
les traitements comportant les données suivantes :
- les données qui font apparaître, directement
ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l’appartenance
syndicale des personnes, ou qui sont relatives à la santé
ou à la vie sexuelle de celles-ci (article 8 de la loi
du 6 janvier 1978 modifiée);
- les données concernant les infractions, condamnations
ou mesures de sûreté (article 9 de la loi du 6 janvier
1978 modifiée);
- les données relatives aux difficultés sociales
et économiques des personnes ;
- le numéro d'inscription au répertoire d'identification
des personnes (n° INSEE ou n° de sécurité
sociale).
- Les traitements comportant les données
listées ci-dessus font l’objet de formalités
déclaratives préalables dans les conditions prévues
par la loi du 6 janvier 1978 modifiée.
-
- Article 4 : Destinataires des données
- Peuvent seuls, dans la limite de leurs attributions
respectives, être destinataires des données :
a) les personnes statutairement responsables de la gestion de
l'association ;
b) les services chargés de l'administration et de la gestion
des membres ;
c) éventuellement les organismes gérant les systèmes
d'assurance et de prévoyance, applicables aux activités
de l'association.
- Sous réserve des dispositions de
l'article 6 de la présente exonération, les informations
relatives aux membres et donateurs de l'association peuvent faire
l'objet :
- d'une diffusion sous la forme d'un annuaire ;
- d’une cession, location ou d’un échange
à des fins de prospection, à l’exclusion d’opérations
de prospection politique.
-
- Article 5 : Durée de conservation
- Les données à caractère
personnel ne peuvent être conservées après
la démission ou la radiation, sauf accord exprès
de l'intéressé. S’agissant des donateurs,
elles ne doivent pas être conservées au delà
de deux sollicitations restées infructueuses.
-
- Article 6 : Information et consentement des personnes
concernées
- Les personnes concernées sont informées,
lors de leur adhésion, de l’identité du responsable
de traitement, des finalités poursuivies par le traitement,
du caractère obligatoire ou facultatif des réponses
à apporter, des conséquences éventuelles,
à leur égard, d'un défaut de réponse,
des destinataires des données, de leur droit d’opposition,
d’accès et de rectification ainsi que des modalités
d’exercice de leurs droits.
- Lorsque les données figurent dans
un annuaire appelé à être diffusé,
les adhérents doivent en être préalablement
informés et doivent être mis en mesure de s'opposer
à ce que tout ou partie des données les concernant
soient publiées. Le droit d’opposition doit s’exprimer
par un moyen simple tel que l’apposition d’une case
à cocher.
- Lorsque le responsable du service de communication
au public en ligne utilise des procédés de collecte
automatisés de données tendant à accéder,
par voie de transmission électronique, à des informations
stockées dans l’équipement terminal de connexion
de l’utilisateur ou à inscrire, par la même
voie, des informations dans son équipement terminal de
connexion (par exemple : cookies, applets Java, composants active
X ou autre code mobile), les utilisateurs sont informés
de la finalité de l’utilisation de ces procédés
et des moyens dont ils disposent pour s’y opposer.
- Lorsque les données sont utilisées
à des fins de prospection, les personnes concernées
sont informées qu’elles peuvent s’y opposer
sans frais et sans justification.
- L’envoi de prospection commerciale
par voie électronique est subordonné au recueil
du consentement préalable des personnes concernées.
Dans ces hypothèses, les personnes doivent avoir été
invitées, au moment de la collecte de leurs données,
à consentir de manière simple et dénuée
d’ambiguïté à une utilisation de leurs
données à des fins commerciales.
Si les données à caractère personnel ont
été collectées via un formulaire, le droit
d’opposition ou le recueil du consentement préalable
doivent, selon les cas, s’exprimer par un moyen simple tel
que l’apposition d’une case à cocher.
-
- Article 7 : Sécurité
- Le responsable de traitement est tenu de
prendre toutes précautions utiles pour préserver
la sécurité des données et, notamment, empêcher
qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès.
- L’accès au traitement se fait
au moyen d’un mot de passe individuel régulièrement
renouvelé ou par tout autre dispositif au moins équivalent.
-
- Article 8 : Transmissions de données vers des pays
tiers à l’Union européenne
- Ne peuvent prétendre au bénéfice
de l’exonération les traitements automatisés
comportant la transmission de données à caractère
personnel vers des pays tiers à l’Union européenne,
y compris lorsque cette transmission est réalisée
à des fins de sous-traitance. Ces traitements font l’objet
de formalités déclaratives préalables auprès
de la CNIL dans les conditions prévues par la loi du 6
janvier 1978 modifiée.
-
- Article 9 : Effets de la dispense de déclaration
- Les traitements répondant aux conditions
visées aux articles 2 à 7 peuvent être mis
en œuvre sans délai et sans déclaration préalable
auprès de la CNIL.
La dispense de déclaration n’exonère le responsable
de tels traitements d’aucune de ses autres obligations prévues
par les textes applicables à la protection des données
à caractère personnel.
-
- Article 10
- La norme simplifiée n° 23 établie
par la délibération n° 81-089 du 21 juillet
1981 est abrogée.
- Article 11 - La présente délibération
sera publiée au Journal officiel de la République
française.
Le président Alex Türk
|
|