L'utilisation des données personnelles des membres d'une association

Les associations disposent de nombreuses données personnelles concernant leurs membres (p. ex. leur adresse, date de naissance, numéro de téléphone, des photographies) dont l'utilisation est soumise à certaines règles. La direction de l'association est habilitée à disposer de ces données dans l'exécution de ses tâches; elle répond, à ce titre, de leur utilisation réglementaire et conforme à la législation sur la protection des données.

La loi sur la protection des données se fonde notamment sur les principes suivants :

  • Le principe de transparence, en vertu duquel la finalité et le nombre des données traitées de chaque membre doivent faire l'objet d'une information claire et complète. Ainsi, les membres de l'association devront être informés si leurs données personnelles sont transmises à des tiers et, si tel est le cas, à qui et dans quel but.
  • Le principe de la proportionnalité, en vertu duquel seules peuvent être traitées les données des membres qui sont effectivement nécessaires à la réalisation du but de l'association.
  • Le principe de la finalité, en vertu duquel l'association ne peut traiter les données que dans le but indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.

Quantité des données limitée

Votre qualité de membre d'une association ne vous oblige pas à lui fournir toutes vos données personnelles.

La direction ne peut requérir des membres de l'association que les données personnelles qui ont un rapport direct avec le but de l'association. Si elle entend collecter et traiter d'autres données des membres de l'association, elle doit, au préalable, les informer sur les motifs de cette collecte. Les membres seront, en outre, informés du caractère facultatif de la communication de ces données.

Transmission des données de membre à des tiers hors de l'association

La communication de données de membres (p. ex. certaines adresses ou la liste complète des adresses) à des tiers n'est autorisée que:

  1. si le consentement de chaque membre a été requis au préalable ou si les membres, après avoir été informés sur le destinataire et sur le but de la communication des données, sont habilités à faire opposition,
    ou
  2. si les statuts de l'association indiquent clairement les données qui peuvent être transmises à des tiers et dans quel but (p. ex. à des fins de publicité, de sponsoring) et désignent les tiers,
    ou
  3. si une loi autorise le traitement des données ou le prescrit (p. ex. la communication des données dans une procédure pénale).

Communication des données des membres dans le cadre de l'association

La communication de données de membres dans le cadre de l'association n'est autorisée que:

  1. si le consentement de chaque membre a été requis au préalable ou si les membres, après avoir été informés sur le destinataire et sur le but de la communication des données, sont habilités à faire opposition,
    ou
  2. si les statuts de l'association fixent clairement le cadre de la communication des données (p. ex. remise de listes comportant les noms, les prénoms et les adresses),
    ou
  3. si une loi autorise le traitement des données ou le prescrit.

Il faut être très prudent quand une association (régionale) transmet des données de ces membres à l'organisation faîtière (suisse). L'organisation faîtière est une personne morale indépendante de l'association qui a par conséquent le statut de tiers au regard des membres. Les données de ces derniers ne peuvent donc être transmises à l'organisation faîtière que si les personnes concernées ont donné leur accord. En d'autres termes, une organisation faîtière ne peut exiger d'une association que celle-ci lui communique les données de ses membres.

Tout membre peut, en tout temps, s'opposer à la communication de ses données ou retirer partiellement ou totalement son consentement.

Publication des données de membres sur Internet

La publication des données sur Internet comporte certains risques. Internet est un média accessible dans le monde entier et ce qui y est une fois publié ne peut quasiment plus être effacé. Pour cette raison, le PFPDT conseille d'observer la démarche suivante:

  1. La direction de l'association déterminera précisément le but visé par la publication. Elle examinera conjointement les opportunités suivantes:
  2. Les données destinées à la publication sont-elles vraiment nécessaires eu égard au but visé?
  3. Est-il utile et judicieux de publier les données à l'échelle internationale (en particulier les photographies)?
  4. Ne vaut-il pas mieux autoriser l'accès aux données à un cercle restreint de personnes comme la direction ou les membres? Ceci peut se faire par l'attribution d'un numéro d'identification et d'un mot de passe. Des systèmes de cryptage éprouvés comme le protocole SSL (Secure Socket Layer) permettent aujourd'hui de transmettre des données en toute sécurité. La clé de cryptage devra correspondre à l'état de la technique.

Si l'association veut absolument publier les données en ligne, elle doit d'abord informer les membres concernés sur les données personnelles qui seront publiées et sur les risques liés à une telle publication. Par la suite, il est nécessaire de recueillir leur consentement.

Limitation des risques d'abus lors de traitement et publication des données

En principe, seules peuvent être traitées et communiquées les données des membres qui sont absolument nécessaires. Les données sensibles et les profils de la personnalité au sens de l'art. 3, let. c et d LPD ne peuvent pas être publiées.

On spécifiera par écrit dans quel but des données sont communiquées; on exigera, en outre, du destinataire une garantie écrite attestant que les données ne seront pas utilisées à d'autres fins que celles qui ont été convenues (une peine conventionnelle peut être prévue).

Les données des membres peuvent être transmises sur support papier ou par voie électronique. On jugera, selon les cas, la forme de transmission susceptible de porter le moins possible atteinte à la personnalité des membres.

Les données qui ne sont plus utilisées seront effacées, d'où la nécessité de vérifier périodiquement le bien-fondé et l'utilité des données des membres qui sont publiées sur Internet.

Droit d'accès et autre prétentions des personnes concernées

Toute personne (ou son représentant légal) peut, en vertu de la loi sur la protection des données, demander au maître d'un fichier si des données la concernant sont traitées et quelles sont ces données.

Vous trouverez ici une lettre-type permettant de faire valoir votre droit d'obtenir des renseignements.

Vous y trouverez également un guide concernant vos droits en matière de protection des données personnelles.

Il y a atteinte à la personnalité lorsque vos données de membre sont traitées en violation de la législation. Dans ce cas, vous demanderez d'abord à la direction de l'association qu'elle rectifie immédiatement la situation. Si elle ne prend aucune mesure pour supprimer l'infraction ou si elle refuse de traiter les données conformément au droit, vous pouvez intenter une action en exécution devant un juge civil conformément à l'art. 15 LPD. Vous pouvez notamment exiger que vos données personnelles soient rectifiées ou détruites ou que leur communication à des tiers soit interdite. En cas de violation de vos droits de sociétaire vous pourrez intenter une action en justice conformément à l'art. 75 CC.

Etat: juillet 2011

Informations complémentaires

https://www.edoeb.admin.ch/content/edoeb/fr/home/dokumentation/datenschutz/merkblaetter/umgang-mit-mitgliederdaten-in-einem-verein.html