ENSEIGNEMENT 7 : La difficulté de concilier respect du RGPD et mission sociale
Parmi les problématiques abordées durant les observations la gestion des données est revenue comme un questionnement sans fin, faut-il mettre en place une gestion responsable au mépris de l’efficacité des démarches ?
RGPD dans les associations : entre obligation et défis pratiques
Pour une association, le RGPD impose une gestion rigoureuse et transparente des données personnelles collectées dans le cadre de ses activités quotidiennes. Cela signifie que l’association doit recenser tous les traitements de données qu’elle effectue, s’assurer de la pertinence et de la minimisation des données collectées, et être transparente quant à l’utilisation de ces données auprès des personnes concernées.
Elle doit également organiser l’exercice des droits des individus sur leurs données, garantir la sécurité des données pour prévenir les risques de fuite ou d’accès non autorisé, et, dans certains cas, désigner un Délégué à la Protection des Données (DPO) pour superviser la conformité au RGPD.
La mise en conformité avec le RGPD n’est pas seulement une obligation légale ; elle est aussi une démarche éthique visant à renforcer la confiance entre l’association et ses membres, bénévoles, salariés, et autres parties prenantes, en assurant une protection efficace de leurs données personnelles.
Cependant, dans le cadre de nos observations, il est apparu que le respect total du RGPD était ressenti par certains salariés comme un frein à leurs activités. Ce problème découle de deux facteurs principaux : le manque de formation et de compréhension des salariés sur la gestion des données personnelles et le manque de moyen pour former et rémunérer un Délégué à la Protection des Données.
Réalités pratiques : gérer les données au quotidien
Que ce soit à travers la mise en place de dispositif d’accueil comme le wifi ouvert ou la gestion des mots de passe des bénéficiaires, la gestion des données est omniprésente dans le quotidien des salariés. Elle est source d’agacement, d’incompréhension et est vue comme une contrainte supplémentaire.
Une structure de l’aide à la personne est par exemple confrontée à des questionnements sur l’usage des données et des comptes personnels des bénéficiaires. Certains étant incapables de réaliser par eux-mêmes certaines actions, les aidants et soignants prennent la responsabilité de les réaliser. Dans d’autres cas les salariés s’affranchissent des règles en vigueurs en contactant à l’aide d’un téléphone personnel des participants un un atelier car la communication classique mettait trop de temps à se mettre en place. Fortement contraire au RGPD ces pratiques sont pourtant nécessaires dans la configuration actuelle de l’association.
Malgré un guide réalisé par la CNIL sur les usages du RGPD pour les associations, il apparaît nécessaire de mettre en place des actions de sensibilisation et de prévention. À la lumière de nos observations, il apparaît également nécessaire de former tous les salariés à la compréhension et à l’utilité d’une gestion responsable des données. La prise en compte des moyens et de la taille diverses des structures de l’ESS est également un point clé ressorti des temps d’échanges.