Protection des données
Question
Les associations perçoivent une augmentation des demandes d’information sur le traitement des données. À quoi faut-il veiller?
Réponse
L’obligation de fournir des informations a également fait l’objet d’une nouvelle réglementation. Les associations doivent se préparer et définir la procédure à suivre en cas de demande de renseignements. Tout d’abord, l’identité de la personne demandant des informations doit être établie (par exemple au moyen d’une carte d’identité). La personne doit ensuite être informée des données la concernant qui sont traitées et à quelles fins, de la durée de conservation de ces données et de leur origine. Le cas échéant, il convient d’indiquer quels destinataires reçoivent quelles données (p. ex. association faîtière, imprimerie, etc.). En règle générale, les renseignements devraient être fournis gratuitement par écrit dans un délai de 30 jours.
Question
Un membre souhaite convoquer une assemblée générale extraordinaire et nous a demandé de lui fournir les coordonnées de tous les membres. Sommes-nous autorisés les lui transmettre?
Réponse
Si un cinquième (ou moins selon les statuts) des membres demande une assemblée générale extraordinaire, le comité directeur doit la convoquer. Dans la pratique, cela signifie que la transmission des données des membres au sein de l’association est autorisée dans ce cas, car elles sont nécessaires à l’exercice des droits des membres, à savoir la convocation d’une assemblée générale extraordinaire (art. 64, al. 3, CC). Mais dans ce cas, seules les données nécessaires à l’exercice des droits devraient être transmises (p. ex. noms et adresses). Les données transmises ne peuvent être utilisées par le membre qu’à cette fin et doivent ensuite être détruites, ce dont le membre concerné doit être expressément informé. Comme alternative à la publication des données, le comité peut proposer d’envoyer les informations aux autres membres au nom du membre.
Question
La nouvelle loi sur la protection des données est entrée en vigueur. De quoi les associations doivent-elles tenir compte?
Réponse
La nouvelle loi sur la protection des données ne prévoit pas de directives spécifiques pour les associations. Elles doivent toutefois se conformer aux nombreuses nouvelles obligations et prescriptions de la loi. La principale nouveauté est l’extension de l’obligation d’information. Lors de la collecte de données personnelles, les associations doivent informer les personnes concernées de la nature des données collectées et des finalités de leur traitement. Dans la pratique, cette obligation d’information est généralement remplie par une déclaration de protection des données sur le site Internet.
Question
Que faut-il savoir sur l’obligation de conserver les données des membres? Devons-nous, par exemple, anonymiser les factures relatives aux cotisations annuelles?
Réponse
Les données doivent être effacées dès qu’elles ne sont plus nécessaires au traitement prévu, sauf si elles sont soumises à une obligation de conservation légale. Tant qu’il existe des créances impayées ou, par exemple, un litige, les données doivent être conservées. En outre, dans le domaine de la comptabilité, il existe une obligation de conserver pendant 10 ans les rapports annuels, les comptes annuels, les pièces comptables et les rapports de révision (cf. art. 958f CO). Si ces documents contiennent des données personnelles, ils ne peuvent être supprimés qu’après l’expiration du délai. Depuis peu, les associations devant s’inscrire au registre du commerce doivent tenir un registre de leurs membres. Elles doivent conserver les informations relatives à chaque membre pendant cinq ans, si cette personne quitte l’association (cf. art. 61a du CC).
Question
Notre association a désormais sa propre page Facebook. Pour rendre la page plus attrayante, nous désirons placer en ligne des photos de nos activités. Il arrive que certaines personnes y soient aisément reconnaissables. Faut-il leur demander leur autorisation? Les photos sur notre page Facebook ne sont visibles que par nos «amis».
Réponse
Les photos comptent parmi les données personnelles les plus sensibles et ne peuvent être publiées qu’avec l’accord des personnes concernées. Même s’il y est possible de limiter l’accès à certains contenus, Facebook reste un média public dont l’un des principaux attraits consiste à montrer toujours plus de contenu à toujours plus de monde. Une association a par ailleurs intérêt à avoir autant «d’amis» que possible.
C’est pourquoi je recommande de ne pas publier de photos sans l’accord des personnes représentées. La demande de consentement aux membres constitue par ailleurs l’occasion de les contacter.
En général, il est recommandé d’utiliser des prises de vue sur lesquelles les personnes ne sont reconnaissables que partiellement ou au milieu d’une foule. Le nom des personnes figurant sur les photos ne doit être mentionné nulle part. Les photos ne doivent pas porter atteinte à la personnalité, ni permettre de tirer des conclusions quant aux croyances religieuses, sympathies politiques, consommation de drogues ni montrer des actions criminelles, documenter le recours à l’aide sociale, etc.
Les images doivent par ailleurs être retirées immédiatement à la demande des personnes qui y sont représentées.
Question
Comme de nombreuses associations, nous communiquons via e-mails, outils de discussion, newsletters électroniques et classements numériques. Comment, en tant que comité, savoir quels outils numériques ne posent aucun problème en matière de protection des données?
Réponse
Le comité doit vérifier le sérieux des fournisseurs et s’assurer qu’ils garantissent la sécurité des données (si le fournisseur traite des données personnelles de l’association dans le cadre d’un mandat, par exemple dans le cas d’une solution cloud). Il se peut également que le fournisseur dispose de certains labels de qualité ou de certifications dans le domaine de la protection des données. Une association doit engager contractuellement le fournisseur, c’est-à-dire se faire garantir que les données seront traitées de manière sérieuse, sûre et confidentielle.
Question
La nouvelle loi sur la protection des données nécessite-t-elle une adaptation des statuts?
Réponse
Nous recommandons aux associations d’inclure un article sur la protection des données lors de la prochaine révision statutaire. Celui-ci précise comment l’association traite les données et comment, ou dans quels cas, la transmission appropriée de données de membres aux autres membres est par exemple autorisée. Pour vous aider, les statuts-types de vitamine B contiennent désormais l’article 13 sur la protection des données, avec des exemples de formulations et des commentaires: vitamineb.ch/savoir/fiches-pratiques
Question
Lors d’une votation par écrit, peut-on exiger que les membres indiquent leurs prénom, nom et apposent leur signature?
Réponse
Vous devez garantir que seules les personnes autorisées participent à la votation ou à l’élection. Il est donc important de pouvoir identifier les votant-es. Lors du décompte des voix, il est possible de demander à une personne indépendante de se charger du décompte et les résultats sont saisis sans indiquer les noms. Pour garantir l’anonymat des voix, il faudrait joindre au courrier une carte de vote à renvoyer avec le bulletin de vote ou d’élection (comme lors de votations politiques). Je ne vous conseille toutefois cette solution est qu’en cas de votation très controversée.
Question
Qui est responsable de la protection des données au sein d’une association?
Réponse
Une association dispose de nombreuses données personnelles, notamment celles de ses membres. Elle doit les gérer avec soin. Le comité de l’association est responsable de leur gestion conforme à la loi sur la protection des données. Il est notamment responsable du fait que l’association dispose d’une déclaration de protection des données et qu’elle protège systématiquement les données des membres contre toute utilisation abusive.
