RGPD : ce que ça change pour le Ciné Jacques Demy
Suite à l’atelier de sensibilisation organisé par la CNIL en partenariat avec le réseau SCALA, auquel j’ai participé en tant que bénévole, voici un résumé des points importants et des actions concrètes à mettre en place au sein de notre association. Mon rôle ici est simplement de vous transmettre les informations recueillies lors de cette journée.
C’est quoi le RGPD, concrètement ?
Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne qui encadre la façon dont nous collectons, utilisons et conservons les données personnelles de nos bénévoles, abonnés à la newsletter et autres contacts. En tant qu’association, nous sommes concernés, même si nos données sont limitées.
Ce que nous faisons déjà bien ✅
Plusieurs bonnes pratiques sont déjà en place au Ciné Jacques Demy :
- Notre site est sécurisé (HTTPS), WordPress et ses plugins sont régulièrement mis à jour, et des sauvegardes hebdomadaires sont effectuées.
- L’accès administrateur au site est restreint à deux personnes.
- Chaque bénévole dispose d’un identifiant personnel ( adresse mail) avec un mot de passe individuel.
- Les accès sont attribués selon les rôles de chacun.
- L’accès à la base des 550 adresses email de la newsletter est limité aux deux administrateurs, et chaque email contient bien un lien de désinscription.
- Les comptes rendus de bureau ne sont accessibles qu’aux bénévoles.
Les actions à mener 🔧
Voici les points sur lesquels nous devons encore progresser :
1. Gérer les départs de bénévoles Lorsqu’un bénévole quitte l’association, son compte doit être supprimé et ses données personnelles effacées ou anonymisées dans un délai de 6 à 12 mois maximum. Il nous faut donc tenir une liste claire des entrées et sorties de bénévoles pour assurer ce suivi.
2. Clarifier le consentement pour la newsletter L’inscription à la newsletter doit être accompagnée d’un consentement explicite : une case à cocher clairement formulée, avec une information sur l’utilisation des données. Je regarde ce point.
3. SI des documents papier existent sécuriser les documents Les documents internes contenant des données personnelles (listes de bénévoles, coordonnées…) doivent être conservés sous clé.
4. Clarifier l’usage des ordinateurs de l’association Existe-t-il un ou plusieurs ordinateurs dédiés à l’association ? Si des données personnelles y sont stockées, il faut s’assurer qu’ils sont sécurisés et accessibles uniquement aux personnes habilitées.
5. Le registre des traitements — ✅ déjà créé ! Le registre des traitements a été mis en place suite à cet atelier. Il liste toutes les catégories de données que nous utilisons, pour quelle raison et combien de temps nous les conservons. Il est actuellement accessible aux membres du bureau — il reste à définir collectivement où le conserver de façon pérenne. Si une autorité de contrôle venait à nous le demander, nous sommes en mesure de le fournir.
6. Désigner un référent RGPD Un membre de l’association doit être identifié comme responsable du suivi de ces questions. Ce n’est pas obligatoire au sens strict, mais c’est fortement recommandé pour assurer un suivi cohérent dans le temps.
7. Encadrer l’utilisation des photos de bénévoles — ✅ déjà fait ! Le consentement des bénévoles pour l’utilisation de leur image a été recueilli lors de la dernière assemblée générale. Il reste à conserver ce document au même endroit que le registre des traitements pour en garder une trace claire et accessible.
En résumé
Nos données sont peu nombreuses et bien ciblées : adresses email des abonnés à la newsletter, coordonnées des bénévoles, comptes rendus de bureau. C’est une bonne chose. L’enjeu est maintenant de structurer quelques pratiques pour être pleinement en règle et protéger au mieux les personnes qui nous font confiance.
Lien vers le PDF de présentation de cette matinée
François THIBAULT