La nouvelle loi sur la protection des données est entrée en vigueur le 1er septembre 2023. Elle règle la gestion conforme à la loi des données dites personnelles. Les associations qui collectent des données de personnes physiques (membres, clients, bénévoles, bénéficiaires etc.) y sont donc soumises au même titre que les autres organisations.
La nouvelle loi s’adapte à la numérisation et au Règlement européen sur la protection des données (RGPD). La protection des données n’est pas juste une chicane administrative: elle doit permettre de mieux protéger les personnes et leurs droits de la personnalité.
Le texte de la page suivante a été copiée sur le site du Préposé fédéral à la protection des données (PFPDT).
Vous trouverez également une fiche technique plus complète (en .PDF) et rédigé en collaboration avec un juriste sur la page de Vitamine B.
Collecte et utilisation des données au sein d’une association
L’affiliation à une association implique le traitement de données personnelles. A quelles conditions peuvent-elles être collectées et utilisées ?
L’affiliation à une association p.ex. culturelle ou sportive implique le traitement d’informations personnelles : adresse, date de naissance, photos, performances, etc. L’utilisation de ces données de membre, p.ex. leur publication sur Internet ou leur communication à des sponsors, est soumise à certaines conditions.
Lors de votre adhésion à une association, vous devez transmettre un certain nombre de données personnelles : votre adresse postale et électronique, votre numéro de téléphone, votre date de naissance, etc. En outre, vos activités en tant que membre impliquent souvent le traitement d’autres informations sur votre personne, telles que, dans le cas d’un club de sport ou de fitness, des photos où vous apparaissez ou vos performances. La collecte et le traitement de ces données personnelles, p.ex. leur publication ou leur communication à des tiers, tels que sponsors, sont soumis aux exigences de loi fédérale sur la protection des données.
Le comité de l’association répond de l’utilisation des données concernant les membres de manière conforme à la loi. Le comité ne peut exiger des membres de l’association que les données personnelles qui ont un rapport direct avec le but de l’association, tel que fixé dans les statuts. S’il entend collecter et traiter d’autres données des membres de l’association ou les utiliser à d’autres finalités, ou les publier (p.ex. sur son site web), il doit, au préalable, informer les membres des motifs du traitement des données et de son caractère facultatif.
Le comité veillera en particulier aux principes suivants :
- Le principe de la finalité : Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.
- Le principe de transparence : Les membres de l’association doivent être informés si leurs données personnelles sont transmises à des tiers ou aux autres membres et, si tel est le cas, à qui et dans quel but.
- Le principe de la proportionnalité : Seules les données qui sont effectivement nécessaires à la réalisation du but de l’association peuvent être traitées.
Communication des données des membres au sein de l’association
En principe, le comité se chargera de la communication des informations à tous les membres au sein de l’association. Si celle-ci a lieu par voie électronique, il utilisera la fonction « copie cachée » afin d’éviter que les adresses e-mail ne soient communiquées aux autres membres.
La communication de données de membres (p.ex. remise de la liste des membres avec les adresses) aux autres membres n’est en principe autorisée que si le consentement de chaque membre a été requis au préalable et la finalité de l’utilisation des données transmises devra être clairement définie (p.ex. pour la prise de contact entre les membres – pour des activités en lien avec l’association, mais pas pour de la prospection commerciale).
Communication des données de membre à des tiers (hors de l’association)
La communication de données de membres à des tiers n’est autorisée que si les membres ont été informés des finalités de la communication de ces données et qu’ils y ont expressément consenti ou qu’ils ont la possibilité de s’y opposer préalablement. L’information doit préciser quelles données (adresse, date de naissance, numéro de téléphone, etc.) sont transmises, à quelle finalité (p.ex. publicité, octroi d’une licence) et à quels tiers (sponsors, fédération etc.). Les statuts ou un règlement spécifique peut prévoir le cas échéant cette communication.
La communication des données à des tiers est également envisageable lorsque la loi le prévoit ou le prescrit (p. ex. la communication des données dans une procédure pénale).
Cas particulier : Communication des données à l’organisation faîtière
L’organisation faîtière ou la fédération est une personne morale indépendante de l’association qui a par conséquent le statut de tiers au regard des membres. Les données de ces derniers ne peuvent donc être transmises à l’organisation faîtière que si les personnes concernées ont donné leur accord ou si cela est prévu par les statuts.
Publication des données de membres
Avant toute publication, le comité de l’association examinera l’opportunité de publier les données en question, que cela soit dans une revue ou sur le site web de l’association, selon le contexte et la finalité visée par une publication, et en informera les membres. La publication des données sur Internet comporte des risques accrus d’atteinte à la personnalité. Les informations publiées deviennent accessibles dans le monde entier, et les personnes concernées n’ont aucun contrôle de l’usage qui est fait de ces données. Ce qui y est une fois publié sur Internet ne peut quasiment plus être effacé. Il paraît ainsi souvent plus judicieux de restreindre l’accès aux données des membres à un cercle restreint de personnes dans un espace réservé sur le site web.