Le Règlement Général sur la Protection des Données, RGPD, est entré en vigueur en mai 2018. C’est un texte de loi adopté par le Parlement Européen afin d’encadrer le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne. En France, c’est la CNIL qui est chargée de veiller à la mise en conformité du RGPD. Mais en quoi les clubs de sport amateur sont-ils concernés ? À quelles obligations les associations sportives doivent-elles faire face ? Quel est l’impact du RGPD dans l’utilisation d’un logiciel de gestion d’une association ou d’un club de sport amateur dans la vie de tous les jours ? Nous faisons le point pour vous.
Pourquoi les associations sportives sont-elles concernées par le RGPD ?
Au fil des mois et des années, les associations sportives sont amenées à collecter, à stocker et à utiliser différents types de données. De son côté, le RGPD est une réglementation qui régit toute collecte et tout traitement de données personnelles. De façon quasi automatique, les associations sportives et les clubs de sport amateur sont donc concernés par le RGPD. Avant d’aller plus loin, il est important de différencier deux types de données : les données personnelles et les données sensibles. La collecte et l’utilisation de toutes ces données sont encadrées par le RGPD.
Les données personnelles
Les données personnelles sont fréquemment utilisées par un club de sport amateur. Il s’agit par exemple :
- d’une photo ;
- d’un nom ;
- d’un prénom ;
- d’une adresse postale ;
- d’une adresse mail ;
- d’un numéro de téléphone ;
- d’un numéro de sécurité sociale ;
- d’un numéro de carte d’identité.
Les données sensibles
Concernant les données sensibles, elles sont moins souvent collectées et utilisées par une association sportive. Les données sensibles portent sur :
- des opinions politiques ;
- des convictions religieuses ;
- des opinions philosophiques ;
- des données concernant l’appartenance syndicale ;
- des données génétiques ;
- des données biométriques ;
- des données concernant la santé ;
- des données concernant l’orientation sexuelle ;
- des données qui concernent la prétendue origine ethnique ou raciale.
Un club de sport amateur est confronté à des données sensibles lorsqu’il collecte par exemple des certificats médicaux ou d’autres documents relatifs à la santé de ses adhérents.
La désignation d’un DPO est-elle obligatoire pour les associations sportives ?
Le DPO est le délégué à la protection des données. Sa désignation n’est pas obligatoire dans toutes les entreprises ni pour toutes les associations sportives. Concernant les associations, sa désignation est seulement obligatoire pour celles du secteur médico-social et social. Cependant, elle est vivement recommandée pour l’ensemble d’entre elles afin qu’elles puissent se conformer au RGPD et éviter d’éventuelles sanctions. Le délégué à la protection des données peut être :
- une personne faisant partie de l’association sportive ;
- une personne externe, un prestataire.
Les missions d’un DPO sont des missions d’information, de contrôle et de conseil. Il apporte toute son expertise pour que l’association sportive puisse se conformer au RGPD.
Qu’est-ce qu’un registre des activités de traitement ?
Le registre des activités de traitement est un document d’analyse et de recensement imposé par l’article 30 du RGPD. Il offre une vue d’ensemble de la façon dont l’association sportive traite ses données. Plus précisément, le registre des activités de traitement liste l’ensemble des fichiers créés et utilisés par le club sportif. Au sein du registre, une fiche doit être créée pour chaque fichier. Concernant la fiche, elle doit mentionner :
- le nom et les coordonnées du responsable du traitement, il s’agit souvent du président de l’association ou du directeur général de la structure sportive ;
- les objectifs de chaque fichier ;
- la catégorie des données utilisées ;
- la description de la catégorie des personnes concernées ;
- la liste des personnes habilitées ayant accès au fichier ;
- la durée de conservation des données ;
- les mesures de sécurité mises en place pour protéger les données.
RGPD : quelles autres actions mettre en place pour son club de sport amateur ?
Le RGPD impose d’autres mesures aux clubs de sport amateur. Nous vous présentons les trois principales. Premièrement, un club de sport doit mettre en place des mesures pour sécuriser les données qu’il collecte, utilise et stocke. Il s’agit de bonnes pratiques, comme :
- la création d’un identifiant personnel pour chaque adhérent ou chaque bénévole ;
- la mise en place d’un protocole HTTPS pour accéder à distance au back-office du site internet de l’association sportive ;
- la mise à disposition d’un site sécurisé pour le paiement des cotisations ;
- etc.
L’utilisation d’une application mobile pour gérer un club de sport amateur permet d’apporter des réponses concrètes à ces problématiques.
Deuxièmement, l’association sportive doit faciliter l’exercice des droits des personnes. En effet, les bénévoles, les adhérents ou encore les salariés, tous ont des droits concernant leurs données personnelles. Par exemple, ils peuvent s’opposer au traitement de leurs données. Ils disposent également d’un droit de rectification et ont la possibilité de demander la suppression de leurs données.
Troisièmement, les clubs de sport qui collectent et utilisent des données doivent faire preuve de transparence. Ils doivent communiquer et indiquer clairement pour quelles raisons les données des adhérents, des parents, des bénévoles ou des clients sont collectées, stockées, voire utilisées. Pour résumer, le RGPD appliqué aux associations sportives implique la mise en place d’actions particulières. C’est aussi l’occasion de faire le tri dans les données collectées afin de ne conserver que les données essentielles. Grâce au RGPD, les données personnelles des membres du club sportif sont davantage sécurisées. Les dirigeants des clubs de sport s’inscrivent dans une démarche de transparence vis-à-vis de ces données, ce qui renforce la confiance des bénévoles et des adhérents.