09 Mai 2006 - Thème(s) : Association

Délibération n°2006-130 du 9 mai 2006 décidant de la dispense de déclaration des traitements relatifs à la gestion des membres et donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 (dispense n°8)

J.O n° 128 du 3 juin 2006

La Commission nationale de l'informatique et des libertés,

Vu la convention n°108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; 

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 24, II ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les traitements de données à caractère personnel relatifs à la gestion des membres et donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 comportant des données sur des personnes physiques constituent des traitements courants ne paraissant pas susceptibles de porter atteinte à la vie privée des personnes dans le cadre de leur utilisation régulière. La Commission estime en conséquence qu’il y a lieu de faire application des dispositions de l’article 24.II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable.

Cette décision ne s’applique pas aux traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dans les conditions définies à l’article 8.II-3° de la loi du 6 janvier 1978 modifiée qui, en application de l’article 22.II-2° de la loi du 6 janvier 1978 modifiée, sont dispensés de toute formalité déclarative préalable auprès de la CNIL. 

Décide :

Article 1er

Sont dispensés de déclaration les traitements de données à caractère personnel relatifs à la gestion des membres et des donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 comportant des données sur des personnes physiques qui répondent aux conditions suivantes.

Article 2 : Finalités du traitement

Les traitements doivent avoir pour seules finalités :

• l’enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations, conformément aux dispositions statutaires qui régissent les intéressés ;
• d'établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres, notamment en vue d'adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l'objet statutaire de l'association.
• d'établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet.

Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.

Article 3 : Données traitées

Les données traitées pour la réalisation des finalités décrites à l’article 2 sont :

• identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier  électronique ;
• identité bancaire pour la gestion des dons ;
• vie associative : état des cotisations, position vis à vis de l’association, informations strictement liés à l’objet statutaire de l'association, à l’exclusion des données visées à l’alinéa 2 du présent article ;
• données de connexion (date, heure, adresse Internet Protocole de l’ordinateur du visiteur, page consultée) à des seules fins statistiques d’estimation de la fréquentation du site.

Ne peuvent bénéficier de l’exonération les traitements comportant les données suivantes :

• les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8 de la loi du 6 janvier 1978 modifiée);
• les données concernant les infractions, condamnations ou mesures de sûreté (article 9 de la loi du 6 janvier 1978 modifiée); 
• les données relatives aux difficultés sociales et économiques des personnes ;
• le numéro d'inscription au répertoire d'identification des personnes (n° INSEE ou n° de sécurité sociale).

Les traitements comportant les données listées ci-dessus font l’objet de formalités déclaratives préalables dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 4 : Destinataires des données

Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données :
a) les personnes statutairement responsables de la gestion de l'association ;
b) les services chargés de l'administration et de la gestion des membres ;
c) éventuellement les organismes gérant les systèmes d'assurance et de prévoyance, applicables aux activités de l'association.

Sous réserve des dispositions de l'article 6 de la présente exonération, les informations relatives aux membres et donateurs de l'association peuvent faire l'objet :

• d'une diffusion sous la forme d'un annuaire ;
• d’une cession, location ou d’un échange à des fins de prospection, à l’exclusion d’opérations de prospection politique.

Article 5 : Durée de conservation

Les données à caractère personnel ne peuvent être conservées après la démission ou la radiation, sauf accord exprès de l'intéressé. S’agissant des donateurs, elles ne doivent pas être conservées au delà de deux sollicitations restées infructueuses.

Article 6 : Information et consentement des personnes concernées

Les personnes concernées sont informées, lors de leur adhésion, de l’identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de leur droit d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de leurs droits.

Lorsque les données figurent dans un annuaire appelé à être diffusé, les adhérents doivent en être préalablement informés et doivent être mis en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées. Le droit d’opposition doit s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.

Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l’équipement terminal de connexion de l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, composants active X ou autre code mobile), les utilisateurs sont informés de la finalité de l’utilisation de ces procédés  et des moyens dont ils disposent pour s’y opposer.

Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais et sans justification.

L’envoi de prospection commerciale par voie électronique est subordonné au recueil du consentement préalable des personnes concernées. Dans ces hypothèses, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins commerciales.
Si les données à caractère personnel ont été collectées via un formulaire, le droit d’opposition ou le recueil du consentement préalable doivent, selon les cas, s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.

Article 7 : Sécurité

Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

L’accès au traitement se fait au moyen d’un mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins équivalent.

Article 8 : Transmissions de données vers des pays tiers à l’Union européenne

Ne peuvent prétendre au bénéfice de l’exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l’Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 9 : Effets de la dispense de déclaration

Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n’exonère le responsable de tels traitements d’aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

Article 10

La norme simplifiée n° 23 établie par la délibération n° 81-089 du 21 juillet 1981 est abrogée.

Article 11

La présente délibération sera publiée au Journal officiel de la République française.

Le président  Alex Türk