Comment formaliser une politique de confidentialité interne dans une ASBL ?
Réponse courte
Une ASBL luxembourgeoise doit établir une politique de confidentialité interne sous forme d'un document écrit détaillant la gestion des données personnelles : collecte, utilisation, conservation et protection. Ce document doit être validé par le responsable du traitement, communiqué à toutes les personnes concernées dans une langue qu'elles comprennent, et régulièrement mis à jour.
Le document doit identifier les bases légales de chaque traitement, les destinataires des données, les durées de conservation et les droits des personnes (accès, rectification, effacement). Si l'ASBL effectue des traitements à grande échelle, la nomination d'un DPO (délégué à la protection des données) est obligatoire. L'article L.261-1 du Code du travail complète ces obligations pour les données des salariés.
Le non-respect expose l'ASBL à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Il est recommandé de réaliser un audit préalable des traitements existants et de conserver les preuves de diffusion du document. Voir également la fiche relative à application du RGPD aux données internes de l'ASBL.
Définition
La politique de confidentialité interne est un document juridique obligatoire qui définit le cadre de protection des données à caractère personnel au sein d'une ASBL. Elle formalise les engagements de l'association concernant le traitement des données des salariés, bénévoles, membres et autres personnes concernées, conformément au RGPD et à la loi luxembourgeoise du 1er août 2018 sur la protection des données. Voir également la fiche relative à application du RGPD aux données internes de l'ASBL.
Conditions d’exercice
La mise en place d'une politique de confidentialité est obligatoire dès lors que l'ASBL traite des données personnelles. Les conditions sont les suivantes.
| Condition | Détail |
|---|---|
| Responsable | Désignation d'un responsable du traitement |
| DPO | Nomination d'un DPO si l'ASBL effectue des traitements à grande échelle |
| Approbation | Approbation formelle du conseil d'administration |
| Communication | Communication à l'ensemble des personnes concernées |
| Mise à jour | Mise à jour régulière du document |
Modalités pratiques
Le document doit impérativement contenir les éléments suivants.
| Élément | Détail |
|---|---|
| Identité | Identité et coordonnées du responsable du traitement et du DPO |
| Données collectées | Liste exhaustive des données collectées et leurs finalités |
| Bases légales | Bases légales de chaque traitement |
| Destinataires | Destinataires des données |
| Conservation | Durées de conservation |
| Droits | Droits des personnes et leurs modalités d'exercice |
| Sécurité | Mesures de sécurité implémentées |
| Violations | Procédures en cas de violation de données |
| CNPD | Coordonnées de la CNPD |
La politique doit être rédigée dans une langue comprise par les destinataires et diffusée par des moyens garantissant sa réception effective.
Pratiques et recommandations
Pour une mise en œuvre efficace :
- Réaliser un audit préalable des traitements existants
- Former le personnel aux enjeux de la protection des données
- Mettre en place des procédures de contrôle interne
- Documenter toutes les actions entreprises
- Réviser la politique au minimum une fois par an
- Conserver les preuves de diffusion
- Prévoir des sessions de sensibilisation régulières Voir également la fiche sur accès des bénévoles aux documents RH.
Cadre juridique
La politique de confidentialité d'une ASBL est encadrée par les textes suivants :
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679, art. 5-34 | RGPD : principes, droits et obligations |
| Loi du 1er août 2018 | Organisation de la CNPD |
| Art. L.261-1 et L.261-2 | Protection des données des salariés |
| Recommandations de la CNPD | Obligations spécifiques aux ASBL |
Note
La politique de confidentialité doit être considérée comme un document vivant, nécessitant des mises à jour régulières pour refléter l'évolution des pratiques de l'ASBL et des exigences légales. Une attention particulière doit être portée à la documentation des processus et à la traçabilité des actions entreprises.