Le RGPD s'applique-t-il même si l'ASBL ne traite que des données internes ?
Réponse courte
Oui, le RGPD s'applique intégralement à toute ASBL luxembourgeoise, même si elle ne traite que des données internes concernant ses membres, salariés, bénévoles ou dirigeants. Les articles 2 et 3 du RGPD ne prévoient aucune exemption pour les traitements internes, et la conformité est obligatoire dès le premier traitement de données personnelles.
L'ASBL doit désigner un responsable du traitement, tenir un registre des activités de traitement (article 30), informer les personnes concernées, sécuriser les données (article 32), permettre l'exercice des droits d'accès, de rectification et d'effacement (articles 15 à 22) et notifier les violations à la CNPD sous 72 heures (article 33). L'article L.261-1 du Code du travail complète ces obligations pour les données des salariés.
Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La CNPD peut contrôler à tout moment la conformité des traitements, y compris pour une ASBL ne traitant que des données internes.
Définition
Le traitement de données internes désigne toute opération effectuée sur des informations relatives aux membres, salariés, bénévoles ou dirigeants d'une ASBL. Ces opérations incluent la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'extraction, la consultation, l'utilisation, la communication ou la destruction des données, qu'elles soient automatisées ou non.
Conditions d’exercice
L'application du RGPD est déclenchée par trois critères cumulatifs.
| Critère | Détail |
|---|---|
| Traitement | Existence d'un traitement de données à caractère personnel |
| Identification | Identification possible des personnes physiques concernées |
| Cadre organisé | Cadre organisé de l'activité (excluant l'usage purement personnel) |
Les articles 2 et 3 du RGPD précisent qu'aucune exemption n'est prévue pour les traitements internes des ASBL.
Modalités pratiques
L'ASBL doit mettre en place les mesures suivantes.
| Mesure | Détail |
|---|---|
| Responsable | Désigner un responsable du traitement des données |
| Registre | Tenir un registre des activités de traitement (Art. 30 RGPD) |
| Information | Informer les personnes concernées (Art. 13 et 14 RGPD) |
| Sécurité | Sécuriser les données (Art. 32 RGPD) |
| Droits | Permettre l'exercice des droits des personnes (Art. 15 à 22 RGPD) |
| Notification | Notifier les violations à la CNPD sous 72h (Art. 33 RGPD) |
Pratiques et recommandations
Pour une mise en conformité efficace :
- Réaliser un audit des données internes traitées
- Établir une politique de confidentialité spécifique
- Former les membres et salariés à la protection des données
- Mettre en place des procédures de gestion des droits
- Documenter toutes les mesures de conformité
- Effectuer des revues périodiques des traitements Voir également la fiche sur politique de confidentialité interne dans une ASBL.
Cadre juridique
L'application du RGPD aux ASBL repose sur les textes suivants :
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 | RGPD : protection des données personnelles |
| Loi du 1er août 2018 | Organisation de la CNPD |
| Art. L.261-1 et s. | Protection des données des salariés |
| Art. 11(3) de la Constitution | Droit à la protection des données |
Note
La CNPD peut contrôler à tout moment la conformité des traitements internes. Les sanctions peuvent atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, même pour une ASBL ne traitant que des données internes.