Protection des données dans les associations
Protection des données dans les associations
Les explications ci-après ont pour but de donner aux associations, aux fédérations et à leurs membres un aperçu de leurs droits et obligations. Elles se concentrent en particulier sur les éventuelles nouvelles obligations découlant de la révision de la loi fédérale sur la protection des données (LPD).
Lors de votre adhésion à une association, vous devez transmettre un certain nombre de données personnelles : votre adresse postale et électronique, votre numéro de téléphone, votre date de naissance, etc. En outre, vos activités en tant que membre impliquent souvent le traitement d’autres informations sur votre personne, telles que, dans le cas d’un club de sport ou de fitness, des photos où vous apparaissez ou vos performances. La collecte et le traitement de ces données personnelles, p.ex. leur publication ou leur communication à des tiers, tels que sponsors, sont soumis aux exigences de loi fédérale sur la protection des données.
Le comité de l'association répond de l’utilisation des données concernant les membres de manière conforme à la loi. Le comité ne peut exiger des membres de l'association que les données personnelles qui ont un rapport direct avec le but de l'association, tel que fixé dans les statuts. S’il entend collecter et traiter d'autres données des membres de l'association ou les utiliser à d’autres finalités, ou les publier (p.ex. sur son site web), il doit, au préalable, informer les membres des motifs du traitement des données et de son caractère facultatif.
Le comité veillera en particulier aux principes suivants :
- Le principe de la finalité : Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.
- Le principe de transparence : Les membres de l'association doivent être informés si leurs données personnelles sont transmises à des tiers ou aux autres membres et, si tel est le cas, à qui et dans quel but.
- Le principe de la proportionnalité : Seules les données qui sont effectivement nécessaires à la réalisation du but de l'association peuvent être traitées.
Questions fréquentes
Qui est le responsable du traitement au sens de l’art. 5, let. j, LPD ?
À l’égard des tiers, c’est l’ensemble de l’association qui est généralement responsable du traitement : c’est donc la personne morale qui est responsable du traitement des données et de la garantie des droits envers les personnes concernées et envers le PFPDT.
Toutefois, les sanctions pénales prévues par la LPD ne frappent en principe pas la personne morale, mais la personne physique qui assume effectivement la responsabilité du respect de la LPD et qui, dans le cas d’espèce, a commis l’une des infractions visées aux art. 60 et ss de la LPD. Pour plus d’informations sur les sanctions pénales, nous vous prions de consulter la page suivante :
La responsabilité (pénale) de cette personne dépend de sa fonction et de son rôle concret dans le cas d’espèce – elle incombe a priori aux personnes ayant une fonction de direction.
Qui est responsable du respect des dispositions de protection des données au sein de l’association ?
En tant que corporation, une association est gérée et représentée par ses organes. L’organe suprême de l’association, l’assemblée générale, élit parmi les membres de l’association des représentants qui forment la direction. Cette dernière, en tant qu’organe exécutif, représente l’association à l’extérieur.
Au sein de l’association, il incombe à la direction de veiller au respect des dispositions relatives à la protection des données. Si la direction met par exemple en place un service pour la gestion de l’association, elle est également tenue d’établir des directives de traitement des données dans le règlement interne et de surveiller régulièrement la gestion. Les tâches liées à la mise en œuvre des dispositions de protection des données peuvent également être confiées à une personne spécifique, qui peut être ou non membre de la direction. Peu importe qui est responsable de la mise en place ou de la surveillance des mesures relatives à la protection des données, l’important est que le service ou la personne en question dispose d’une vue d’ensemble sur les traitements de données qui sont effectués. Dans tous les cas, les rôles doivent être clairement définis afin d’éviter tout problème lié à un manque de réglementation. Le cas échéant, les personnes responsables doivent définir les processus de traitement et les règles correspondantes (en particulier le règlement de traitement).
Les associations ont-elles besoin du consentement ou de l’accord de leurs membres pour traiter leurs données ?
Les principes de traitement n’ont pas été fondamentalement modifiés par la révision de la loi. Les données personnelles ne peuvent être traitées que de manière licite, le traitement doit être conforme aux principes de bonne foi et de la proportionnalité (cf. art. 6 LPD). Les données personnelles des membres de l’association peuvent toujours être traitées sans le consentement des personnes concernées, si le traitement est nécessaire, par exemple, à la réalisation du but de l’association. Il est important que les données ne soient traitées que pour la finalité pour laquelle elles ont été collectées et que cette finalité soit également reconnaissable pour la personne concernée (principe de la finalité). À cet égard, nous renvoyons aux explications ci-après concernant l’art. 19 LPD, qui concrétise le devoir d’informer du responsable du traitement.
Le traitement de données personnelles en violation des principes de la protection des données (p. ex. traitement pour une autre finalité) peut entraîner une atteinte à la personnalité de la personne concernée. Un tel traitement peut toutefois être justifié s’il existe un intérêt privé ou public prépondérant (p. ex. traitement de données en lien direct avec un contrat) ou si la personne concernée a donné son consentement.
Si un consentement est nécessaire pour un traitement de données, la personne concernée doit être informée de manière complète et adéquate sur tous les aspects essentiels du traitement. À ce sujet, nous renvoyons aux explications ci-après concernant l’art. 19 LPD. Pour le traitement de données sensibles (p. ex. données sur la santé) ou le profilage à risque élevé, la loi exige un consentement exprès, autrement dit que les personnes concernées donnent explicitement leur accord pour le traitement des données.
Qu’en est-il de la publication de photos de membres de l’association sur un site Internet ?
Le consentement des personnes concernées peut constituer un motif justificatif pour la publication de photos sur le site Internet de l’association. Les personnes concernées qui ont donné leur accord pour la publication de photos sur le site Internet de l’association peuvent révoquer ce consentement à tout moment par la suite. Sauf si d’autres motifs justificatifs s’appliquent, l’association doit immédiatement retirer les photos concernées. À cet égard, nous vous prions de consulter la page suivante :
Le nom d’un donateur peut-il être communiqué à la famille d’une personne décédée ?
La communication des noms des donateurs et des montants donnés à la famille du défunt nécessite l’accord des donateurs. Les donateurs doivent être informés au moment du don que leurs données seront communiquées et ils doivent avoir la possibilité d’accepter ou de refuser cette communication de manière simple, par exemple au moyen d’une indication sur le bulletin de versement.
Communication des données des membres
Communication des données des membres au sein de l'association
En principe, le comité se chargera de la communication des informations à tous les membres au sein de l’association. Si celle-ci a lieu par voie électronique, il utilisera la fonction « copie cachée » afin d’éviter que les adresses e-mail ne soient communiquées aux autres membres.
La communication de données de membres (p.ex. remise de la liste des membres avec les adresses) aux autres membres n'est en principe autorisée que si le consentement de chaque membre a été requis au préalable et la finalité de l’utilisation des données transmises devra être clairement définie (p.ex. pour la prise de contact entre les membres - pour des activités en lien avec l’association, mais pas pour de la prospection commerciale).
Cas particulier : Communication des données à l’organisation faîtière
L'organisation faîtière ou la fédération est une personne morale indépendante de l'association qui a par conséquent le statut de tiers au regard des membres. Les données de ces derniers ne peuvent donc être transmises à l'organisation faîtière que si les personnes concernées ont donné leur accord ou si cela est prévu par les statuts.
Communication des données de membre à des tiers (hors de l’association)
La communication de données de membres à des tiers n'est autorisée que si les membres ont été informés des finalités de la communication de ces données et qu’ils y ont expressément consenti ou qu’ils ont la possibilité de s’y opposer préalablement. L’information doit préciser quelles données (adresse, date de naissance, numéro de téléphone, etc.) sont transmises, à quelle finalité (p.ex. publicité, octroi d’une licence) et à quels tiers (sponsors, fédération etc.). Les statuts ou un règlement spécifique peut prévoir le cas échéant cette communication.
La communication des données à des tiers est également envisageable lorsque la loi le prévoit ou le prescrit (p. ex. la communication des données dans une procédure pénale).
Publication des données de membres
Avant toute publication, le comité de l'association examinera l’opportunité de publier les données en question, que cela soit dans une revue ou sur le site web de l’association, selon le contexte et la finalité visée par une publication, et en informera les membres. La publication des données sur Internet comporte des risques accrus d’atteinte à la personnalité. Les informations publiées deviennent accessibles dans le monde entier, et les personnes concernées n'ont aucun contrôle de l'usage qui est fait de ces données. Ce qui y est une fois publié sur Internet ne peut quasiment plus être effacé. Il paraît ainsi souvent plus judicieux de restreindre l’accès aux données des membres à un cercle restreint de personnes dans un espace réservé sur le site web.
Cas d’application :
La publication du procès-verbal de l'assemblée générale sur le site web a pour conséquence qu’un nombre illimité de personnes dans le monde entier auront accès au contenu du procès-verbal. Comme vous ne devez envoyer le procès-verbal qu'à vos membres, la publication sur Internet constituerait un traitement disproportionné de données personnelles. Une alternative garantissant l’accès au contenu du procès-verbal à vos seuls membres serait plus appropriée.
Quelles sont les principales nouveautés ? (droits et obligations)
Renforcement du principe de la minimisation des données
Conformément au principe de proportionnalité (cf. art. 6, al. 2, LPD), seules peuvent être traitées les données personnelles qui sont appropriées et nécessaires à la finalité du traitement. La proportionnalité entre la finalité et les moyens utilisés doit être assurée et les droits des personnes concernées doivent être respectés dans la mesure du possible. Le principe de proportionnalité se recoupe en partie avec les principes nouvellement introduits de « protection des données dès la conception et par défaut », qui sont fixés à l’art. 7 LPD.
En vertu de cet article, les traitements de données personnelles au sein des associations et des fédérations doivent être conçus de manière à ce qu’ils soient limités au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose autrement.
Les données personnelles doivent être effacées ou rendues anonymes dès qu’elles ne sont plus nécessaires à la finalité du traitement et lorsqu’il n’existe aucune obligation légale de les conserver, par exemple l’obligation de conserver pendant dix ans les rapports annuels, les comptes annuels et les pièces comptables.
Devoir d’informer lors de la collecte de données personnelles
Le devoir d’informer prévu à l’art. 19 LPD concerne tous les traitements de données et vise à améliorer leur transparence, ce qui renforce également les droits des personnes concernées. La personne concernée doit être informée en particulier de l’identité et des coordonnées du responsable du traitement, de la collecte de données personnelles, des finalités du traitement et de toute autre information conformément à l’art. 19, al. 2, LPD.
L’information doit être donnée lors de la collecte de données personnelles. Le devoir d’informer s’applique même lorsque les données ne sont pas collectées directement auprès des personnes concernées. Les informations doivent être communiquées de manière concise, transparente, compréhensible et facilement accessible. Plus les données personnelles traitées sont sensibles et plus le risque d’atteinte à la personnalité est grand, plus les exigences relatives à l’étendue et au degré de détail des informations à fournir aux personnes concernées sont élevées.
La pratique a montré qu’il était utile de présenter toutes les informations sur la collecte de données et les traitements de données qui sont pertinentes au regard du principe de la transparence dans des avis ou dans des dispositions de protection des données séparés et de les publier ensuite, par exemple, sur le site Internet de l’association ou de la fédération. Lors de la collecte de données, il est ainsi possible de se référer à ces informations librement accessibles.
Lorsqu’il est question de sites Internet, ces avis sont appelés déclaration de protection des données. Si des données personnelles sont collectées sur un site Internet (p. ex. au moyen d’un formulaire de contact), il est possible de fournir des informations dans une déclaration de protection des données (conçue par niveaux). Lors du choix des modalités d’information, le responsable du traitement doit s’assurer que les personnes concernées reçoivent les informations les plus importantes dans le premier niveau de communication.
Pour plus d’informations, nous vous renvoyons aux informations publiées sur la page:
Suite à l’entrée en vigueur de la nouvelle loi, tous les membres doivent-ils être informés des données déjà collectées ?
Les principes du traitement des données sont restés pour l’essentiel les mêmes depuis l’entrée en vigueur de la nouvelle loi sur la protection des données (cf. ci-dessus). Par conséquent, les responsables du traitement ne sont pas tenus d’informer de nouveau les personnes concernées des traitements de données effectués avant le 1er septembre 2023, pour autant que ces traitements étaient déjà reconnaissables et qu’ils n’aient pas changé.
Renforcement des droits des personnes concernées
Les personnes dont les données personnelles sont traitées ont le droit d’obtenir des informations sur leurs propres données. Ces informations doivent en général être communiquées aux personnes concernées dans un délai de 30 jours et gratuitement. Les personnes concernées ont par ailleurs le droit de demander la rectification des données erronées ou l’effacement de données. Les associations et les fédérations doivent offrir aux personnes concernées la possibilité d’exercer facilement leurs droits. C’est pourquoi la communication des informations visées à l’art. 19 LPD est si importante. Les informations relatives à ces droits et une adresse de contact pourraient être publiées sur le site Internet.
Obligation de procéder à une analyse d’impact relative à la protection des données personnelles
Lorsque de nouveaux traitements de données sont prévus et qu’ils sont susceptibles d’entraîner un risque élevé pour les personnes concernées, il faut procéder à une analyse d’impact relative à la protection des données personnelles (AIPD). L’AIPD doit décrire le projet avec précision et examiner les mesures à prendre pour protéger les personnes concernées. L’art. 22, al. 2, LPD, précise que lors de l’utilisation de nouvelles technologies, l’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Plus le traitement est étendu et plus les données sont sensibles, plus le risque est susceptible d’être élevé.
Pour les organisations relativement petites telles que les associations, il n’est pas toujours évident de savoir si une telle analyse doit être effectuée. Il est donc conseillé de procéder à une analyse préalable des risques afin d’avoir une idée plus concrète des traitements de données et des risques et de pouvoir ainsi évaluer de manière plus objective la nécessité de procéder à une AIPD.
Pour plus d’informations sur l’AIPD, nous vous renvoyons aux informations publiées sur la page:
Obligation d’établir un règlement de traitement
Conformément à l’art. 5 de l’ordonnance sur la protection des données (OPDo), les responsables du traitement privés et les sous-traitants privés doivent établir un règlement lorsqu’ils traitent de manière automatisée (c’est-à-dire pas seulement par voie analogique, mais à l’aide d’ordinateurs, de smartphones, de tablettes ou de caméras) des données sensibles à grande échelle ou lorsqu’ils procèdent à un profilage à risque élevé.
L’expression « à grande échelle » fait référence à des cas dans lesquels les données sensibles ne sont pas traitées de manière isolée. Il y a notamment traitement à grande échelle lorsque le traitement des données sensibles représente une activité principale de l’association. Les associations dans les domaines de la santé et de l’action sociale (typiquement les organisations de patients) sont susceptibles d’être concernées par cette obligation.
Un profilage à risque élevé est un traitement qui permet d’apprécier les caractéristiques essentielles de la personnalité, et donc qui donne une image complète d’une personne. Il peut s’agir des informations provenant d’applications de santé telles que les trackers de fitness, qui permettent un assemblage et un appariement d’un grand nombre de données différentes.
Obligation de tenir un registre des activités de traitement
Le responsable du traitement ainsi que tous les sous-traitants sont tenus de tenir un registre de leurs activités de traitement. Le registre consiste en une description générale des activités de traitement contenant au moins les informations énumérées à l’art. 12, al. 2 et 3 LPD et répond aux obligations de transparence et de documentation.
Les associations et fédérations comptant moins de 250 collaborateurs (y compris les collaborateurs bénévoles) et dont les traitements ne comportent que de faibles risques d’atteinte à la personnalité sont en principe déliés de l’obligation de tenir un registre, à moins que le traitement porte sur des données sensibles à grande échelle ou que le traitement constitue un profilage à risque élevé (art. 24, al. 1, let. a et b, OPDo). Les associations dans les domaines de la santé et de l’action sociale (typiquement les organisations de patients) sont susceptibles d’être largement concernées par cette obligation en raison du critère de traitement de données sensibles. Indépendamment de l’obligation, tenir un registre reste utile dans la mesure où il permet d’avoir une connaissance suffisante des processus de traitement au sein de son association.
Reconnaissance des codes de conduite des associations professionnelles, sectorielles et économiques
Les associations professionnelles, sectorielles et économiques qui sont autorisées par leurs statuts à défendre les intérêts économiques de leurs membres peuvent établir des codes de conduite qui précisent certaines notions de la LPD pour leur domaine respectif et qui aident à appliquer correctement les normes de protection des données (art. 11 LPD). Ces explications peuvent aider à clarifier, par exemple, ce qu’il faut entendre par « risque élevé » au sens de l’art. 22, al. 1, LPD. Contre paiement d’un émolument, les codes élaborés peuvent être soumis au PFPDT afin qu’il prenne position, mais il ne s’agit pas d’une obligation.
Quelles données en rapport avec une manifestation de sport populaire a-t-on le droit de traiter ?
Avec l’avènement du téléphone portable et des réseaux sociaux, prendre et publier des photos fait partie de notre quotidien. À quoi faut-il faire attention ?
Les moteurs de recherche donnent accès à toutes les informations publiées sur Internet… y compris celles que l’on préférerait jeter aux oubliettes.
Consultez nos FAQ ou appelez notre hotline.
Conformément à la loi fédérale sur la protection des données, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
Tout ce qu'il faut savoir sur les nouveautés de la loi sur la protection des données.