Réglement européen sur la protection des données et le sport : qu'est-ce donc ?

Ce nouveau règlement européen entré en application depuis le 25 mai 2018 s'applique à toute entité qui collecte, traite et stocke des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne.

Quelles sont les implications de cette nouvelle régulation pour le CDOS ?

L'objectif principal de cette nouvelle réglementation poursuit trois objectifs :
• Renforcer les droits des personnes, notamment par la création d'un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées

Quelles sont les données considérées comme personnelles?

Les “données à caractère personnel” sont définies comme toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment le nom, le prénom, une adresse postale et/ou électronique, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique.
En tant qu'association sportive, nous collectons et conservons une quantité importante de données personnelles dans le fichier de nos licenciés (données bancaires, liste de vos contacts, certificats médicaux, fiches sanitaire pour les sportifs mineurs, etc.)
Les données personnelles sont nombreuses et utilisées quotidiennement.
Ainsi, pour une entité sportive, la référence aux données personnelles inclue les informations sur les membres, les volontaires service civiques, les stagiaires, les salariés, les partenaires et donateurs (personne physique), y compris vos contacts via votre site web.

En quoi le GDPR diffère-t-il des réglementations existantes ?

Les quatre différences les plus importantes sont:

1- Une portée géographique plus large
2- Des sanctions plus lourdes
3- Le consentement du licencié : les associations traitant des données personnelles doivent être claires et directes quant à la raison pour laquelle elles veulent collecter ces données.
En outre, le règlement précise que ces traitements ne sont licites que si la personne concernée a donné son consentement de façon claire, indubitable et démontrable a posteriori.
Enfin, les organisations doivent faire en sorte que ces personnes puissent retirer leur consentement.
Les obligations du RGPD supposent donc qu'une organisation doit à tout moment savoir de quelles données elle dispose, leur localisation, l'objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement.
4- Obligation de signaler les violations de données : selon les termes de la nouvelle réglementation, les organisations seront tenues de signaler les violations de données à leurs autorités de surveillance dans les 72 heures suivant la découverte d'une violation.
Donc en tant qu'association, nous sommes désormais en mesure de déceler si l'intégrité de vos données a été compromise et y remédier promptement, tout en consignant et notifiant l'événement.

Que dois-je faire en tant qu'association pour devenir conforme au RGPD ?

Les 6 étapes de la CNIL :
• Désigner un pilote
• Faire un état des lieux et des traitements des données personnelles
• Prioriser les actions à mener
• Gérer les risques
• Organiser les processus internes
• Documenter la conformité.

Pour de plus amples renseignements :
• Les bons réflexes la protection des données personnelles