Informations reprises depuis le site http://www.cnil.fr
Dispense de déclaration n°8
09 May 2006 - Thème(s) : Association
Délibération n°2006-130 du 9 mai 2006 décidant de la
dispense de déclaration des traitements relatifs à la gestion
des membres et donateurs des associations à but non lucratif régies
par la loi du 1er juillet 1901 (dispense n°8)
La Commission nationale de l'informatique et des libertés,
Vu la convention n°108 du Conseil de l’Europe du 28 janvier 1981 pour
la protection des personnes à l’égard du traitement automatisé
des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 24, II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
Les traitements de données à caractère personnel relatifs
à la gestion des membres et donateurs des associations à but non
lucratif régies par la loi du 1er juillet 1901 comportant des données
sur des personnes physiques constituent des traitements courants ne paraissant
pas susceptibles de porter atteinte à la vie privée des personnes
dans le cadre de leur utilisation régulière. La Commission estime
en conséquence qu’il y a lieu de faire application des dispositions
de l’article 24.II de la loi du 6 janvier 1978 modifiée et de dispenser
ces traitements de toute formalité déclarative préalable.
Cette décision ne s’applique pas aux traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dans les conditions définies à l’article 8.II-3° de la loi du 6 janvier 1978 modifiée qui, en application de l’article 22.II-2° de la loi du 6 janvier 1978 modifiée, sont dispensés de toute formalité déclarative préalable auprès de la CNIL.
Décide :
Article 1er
Sont dispensés de déclaration les traitements de données
à caractère personnel relatifs à la gestion des membres
et des donateurs des associations à but non lucratif régies par
la loi du 1er juillet 1901 comportant des données sur des personnes physiques
qui répondent aux conditions suivantes.
Article 2 : Finalités du traitement
Les traitements doivent avoir pour seules finalités :
l’enregistrement et la mise à jour des informations individuelles
nécessaires à la gestion administrative des membres et donateurs,
en particulier la gestion des cotisations, conformément aux dispositions
statutaires qui régissent les intéressés ;
d'établir, pour répondre à des besoins de gestion, des
états statistiques ou des listes de membres, notamment en vue d'adresser
bulletins, convocations, journaux. Lorsque ces listes sont sélectives,
les critères retenus doivent être objectifs et se fonder uniquement
sur des caractéristiques qui correspondent à l'objet statutaire
de l'association.
d'établir des annuaires de membres, y compris lorsque ces annuaires sont
mis à la disposition du public sur le réseau internet.
Dans le cas où est utilisé un service de communication au public
en ligne (site internet), un traitement des données de connexion à
des fins purement statistiques peut être effectué.
Article 3 : Données traitées
Les données traitées pour la réalisation des finalités
décrites à l’article 2 sont :
identité : nom, prénoms, sexe, date de naissance, adresse, numéros
de téléphone (fixe et mobile) et de télécopie, adresse
de courrier électronique ;
identité bancaire pour la gestion des dons ;
vie associative : état des cotisations, position vis à vis de
l’association, informations strictement liés à l’objet
statutaire de l'association, à l’exclusion des données visées
à l’alinéa 2 du présent article ;
données de connexion (date, heure, adresse Internet Protocole de l’ordinateur
du visiteur, page consultée) à des seules fins statistiques d’estimation
de la fréquentation du site.
Ne peuvent bénéficier de l’exonération les traitements
comportant les données suivantes :
les données qui font apparaître, directement ou indirectement,
les origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives
à la santé ou à la vie sexuelle de celles-ci (article 8
de la loi du 6 janvier 1978 modifiée);
les données concernant les infractions, condamnations ou mesures de sûreté
(article 9 de la loi du 6 janvier 1978 modifiée);
les données relatives aux difficultés sociales et économiques
des personnes ;
le numéro d'inscription au répertoire d'identification des personnes
(n° INSEE ou n° de sécurité sociale).
Les traitements comportant les données listées ci-dessus font
l’objet de formalités déclaratives préalables dans
les conditions prévues par la loi du 6 janvier 1978 modifiée.
Article 4 : Destinataires des données
Peuvent seuls, dans la limite de leurs attributions respectives, être
destinataires des données :
a) les personnes statutairement responsables de la gestion de l'association
;
b) les services chargés de l'administration et de la gestion des membres
;
c) éventuellement les organismes gérant les systèmes d'assurance
et de prévoyance, applicables aux activités de l'association.
Sous réserve des dispositions de l'article 6 de la présente exonération, les informations relatives aux membres et donateurs de l'association peuvent faire l'objet :
d'une diffusion sous la forme d'un annuaire ;
d’une cession, location ou d’un échange à des fins de
prospection, à l’exclusion d’opérations de prospection
politique.
Article 5 : Durée de conservation
Les données à caractère personnel ne peuvent être
conservées après la démission ou la radiation, sauf accord
exprès de l'intéressé. S’agissant des donateurs, elles
ne doivent pas être conservées au delà de deux sollicitations
restées infructueuses.
Article 6 : Information et consentement des personnes concernées
Les personnes concernées sont informées, lors de leur adhésion,
de l’identité du responsable de traitement, des finalités
poursuivies par le traitement, du caractère obligatoire ou facultatif
des réponses à apporter, des conséquences éventuelles,
à leur égard, d'un défaut de réponse, des destinataires
des données, de leur droit d’opposition, d’accès et
de rectification ainsi que des modalités d’exercice de leurs droits.
Lorsque les données figurent dans un annuaire appelé à être diffusé, les adhérents doivent en être préalablement informés et doivent être mis en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées. Le droit d’opposition doit s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.
Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l’équipement terminal de connexion de l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, composants active X ou autre code mobile), les utilisateurs sont informés de la finalité de l’utilisation de ces procédés et des moyens dont ils disposent pour s’y opposer.
Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais et sans justification.
L’envoi de prospection commerciale par voie électronique est subordonné
au recueil du consentement préalable des personnes concernées.
Dans ces hypothèses, les personnes doivent avoir été invitées,
au moment de la collecte de leurs données, à consentir de manière
simple et dénuée d’ambiguïté à une utilisation
de leurs données à des fins commerciales.
Si les données à caractère personnel ont été
collectées via un formulaire, le droit d’opposition ou le recueil
du consentement préalable doivent, selon les cas, s’exprimer par
un moyen simple tel que l’apposition d’une case à cocher.
Article 7 : Sécurité
Le responsable de traitement est tenu de prendre toutes précautions utiles
pour préserver la sécurité des données et, notamment,
empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès.
L’accès au traitement se fait au moyen d’un mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins équivalent.
Article 8 : Transmissions de données vers des pays tiers à l’Union
européenne
Ne peuvent prétendre au bénéfice de l’exonération
les traitements automatisés comportant la transmission de données
à caractère personnel vers des pays tiers à l’Union
européenne, y compris lorsque cette transmission est réalisée
à des fins de sous-traitance. Ces traitements font l’objet de formalités
déclaratives préalables auprès de la CNIL dans les conditions
prévues par la loi du 6 janvier 1978 modifiée.
Article 9 : Effets de la dispense de déclaration
Les traitements répondant aux conditions visées aux articles 2
à 7 peuvent être mis en œuvre sans délai et sans déclaration
préalable auprès de la CNIL.
La dispense de déclaration n’exonère le responsable de tels
traitements d’aucune de ses autres obligations prévues par les textes
applicables à la protection des données à caractère
personnel.
Article 10
La norme simplifiée n° 23 établie par la délibération
n° 81-089 du 21 juillet 1981 est abrogée.
Article 11
La présente délibération sera publiée au Journal
officiel de la République française.
Le président Alex Türk
Dernière modification : 18/05/06