Tu as une question ? Nous sommes là pour t'aider.
Infos sur les prix, les versions :
Questions techniques et assistance :
Connaissance de l'association 15 min. de lecture
Gestion associativeRègles de protection des données pour les associations suisses – Ce à quoi vous devez prêter attention
Lors de la création ou de la gestion d'une association suisse, la question se pose souvent de savoir comment respecter les obligations en matière de protection des données. Bien que la protection des données soit souvent perçue comme une tâche qui concerne principalement les entreprises, ce sujet revêt également une grande importance dans le domaine associatif. Le droit de la protection des données s'applique également aux associations. Du club de lecture local à l'initiative culturelle en passant par le club sportif, chacun est tenu de se pencher sur la question du traitement sécurisé des données personnelles.
La révision de la loi suisse sur la protection des données (LPD) a précisé les exigences en matière de protection des données en Suisse à compter de septembre 2023. Il est indispensable que les associations se conforment également à ces exigences. Il convient de sensibiliser les membres aux informations personnelles qui sont collectées, à la manière dont elles sont traitées et sécurisées, et à la manière dont une protection suffisante de la vie privée des membres de l'association peut être garantie. En Suisse, cette responsabilité incombe à l'ensemble du Bureau exécutif. Découvrez dès maintenant tout ce qu'il faut savoir sur la protection des données pour votre association et profitez de nos conseils pour protéger les données de vos membres et autres données personnelles conformément à la loi.
L’essentiel en bref
- En Suisse, les associations sont tenues de définir et de mettre en œuvre des procédures internes garantissant la sécurité et la protection des données et rendant transparente le traitement de toutes les données personnelles. Pouvez-vous garantir que les données de votre association sont protégées contre la perte et le vol ?
- Il est indispensable de vérifier régulièrement si les données sont encore d'actualité et si elles sont réellement nécessaires. Les données ne peuvent être conservées que pendant la durée nécessaire, c'est-à-dire aussi longtemps qu'il existe un but pour leur traitement, et doivent ensuite être détruites en toute sécurité. Savez-vous où toutes vos données sont stockées ? Est-il garanti que les données personnelles sont effectivement supprimées partout lorsqu'elles ne sont plus nécessaires au traitement ou lorsqu'un membre du Bureau exécutif quitte l'association et n'a donc plus accès à ces données ?
- Les membres doivent être informés de la collecte et de l'utilisation des données, ainsi que de leurs droits à cet égard. La transparence est ici essentielle. Avez-vous informé vos membres de l'endroit où vous stockez et traitez leurs données, ainsi que de la finalité de ce traitement ? Une raison courante serait, par exemple, de pouvoir facturer les cotisations annuelles.
- Lors du traitement d'informations sensibles telles que les données relatives à la santé ou à l'origine ethnique, le consentement explicite des personnes concernées doit généralement être obtenu de manière claire et sans ambiguïté.
- Des formations régulières contribuent à sensibiliser les membres à la protection des données. Contrairement à l'UE, la Suisse n'impose pas aux grandes associations de désigner un délégué à la protection des données. Il est toutefois recommandé de désigner un interlocuteur interne et d'indiquer dans la déclaration de protection des données une adresse à laquelle les demandes relatives à la protection des données peuvent être adressées.
Gestion correcte des données des membres dans les associations
En Suisse, vous êtes tenus de permettre à votre association de gérer les informations relatives à ses membres de manière simple et efficace, tout en respectant la protection des données. Il est donc essentiel d'organiser vos processus internes de manière à ce que les personnes non autorisées n'aient pas accès à ces données, mais que les bénévoles et les collaborateurs de l'association puissent consulter ou traiter les données nécessaires à l'accomplissement de leurs tâches au sein de l'association. L'accès doit être limité au strict nécessaire.
Protection contre le vol de données
Afin de protéger les données de vos membres contre tout accès non autorisé, il est important de mettre en place des processus appropriés, de prendre des mesures de sécurité techniques et de les documenter dans le cadre de mesures techniques et organisationnelles (MTOS). La tenue d'un registre des traitements n'est pas obligatoire en Suisse (seulement à partir de 250 collaborateurs). Il est toutefois fortement recommandé de créer un registre des traitements, car cela permet de garder une vue d'ensemble. Sinon, il sera difficile de mettre en œuvre les mesures requises par la loi.
Si, par exemple, les données des membres sont stockées sur un ordinateur privé, il est essentiel de définir des directives en matière de sécurité des données. Cela peut signifier que le disque dur doit être crypté ou que l'ordinateur passe automatiquement en mode verrouillé s'il n'est pas utilisé pendant quelques minutes (afin d'empêcher toute personne non autorisée d'y accéder, par exemple si l'ordinateur est oublié dans le train). Il convient également de stipuler que les sauvegardes (backups) doivent être cryptées et conservées en lieu sûr et que des programmes antivirus appropriés doivent être installés.
Lors de l'envoi de données relatives aux membres par e-mail, par exemple à la trésorière de l'association ou en cas de changement de fonction, des moyens de transmission sécurisés doivent également être garantis. À cette fin, des processus spécifiques doivent être définis, régulièrement enseignés et, dans l'idéal, documentés. En cas d'utilisation abusive des données, vous devez être en mesure de prouver quelles mesures de sécurité vous avez mises en place et comment elles ont été appliquées.
Conseil logiciel
Vous pouvez répondre beaucoup plus facilement aux exigences en matière de protection des données en utilisant un logiciel moderne pour associations en ligne tel que ClubDesk. Avec ClubDesk, vous êtes en sécurité, car les mesures de protection techniques les plus strictes sont la norme, des pare-feu professionnels aux sauvegardes sécurisées. Vous bénéficiez en outre des mesures techniques et organisationnelles (TOM) proposées par ClubDesk. Les données étant stockées dans le cloud, toutes les personnes concernées, de la présidente à l'entraîneur, peuvent facilement accéder aux informations qui les intéressent. Vous n'avez donc que rarement besoin d'envoyer les données des membres.
Restrictions d'accès
Dans votre association, chaque personne ne devrait voir que les données des membres dont elle a réellement besoin pour son travail. Si quelqu'un est uniquement chargé de mettre à jour les coordonnées, il n'a pas besoin de savoir qui n'a pas encore payé sa cotisation. Et l'entraîneur de l'équipe junior ne devrait bien sûr avoir que des informations sur ces joueurs. Il ne doit pas être possible que la compagne du trésorier ouvre une liste Excel et voie qui est en retard dans le paiement de sa cotisation.
Si une personne quitte une fonction au sein du club, vous devez disposer de procédures claires, par exemple pour supprimer en toute sécurité les données de l'ordinateur de cette personne. En outre, vous devez documenter précisément les services en ligne (tels que Dropbox, Google Docs ou le site web du club) auxquels la personne avait accès et veiller en particulier à ce que ses accès soient supprimés lorsqu'elle quitte le club.
Conseil logiciel
L'utilisation d'un logiciel en ligne moderne tel que ClubDesk simplifie considérablement ces processus. Avec ClubDesk, il est impossible pour une personne vivant dans le même foyer d'accéder aux données des membres sans mot de passe. Vous pouvez facilement contrôler qui a accès à quelles données dans votre association, de sorte que chacun ne voit que les informations dont il a besoin pour accomplir ses tâches. Tous les droits d'accès, qu'il s'agisse des données des membres, des documents de l'association, du site web ou des factures, sont gérés de manière centralisée dans une seule solution. Si un membre du Bureau exécutif démissionne, il vous suffit de modifier les droits d'accès à un seul endroit et l'accès à toutes les données confidentielles lui sera immédiatement retiré. Il n'est donc pas nécessaire de transmettre ou de supprimer des données. Chaque membre du Bureau exécutif est responsable de la sécurité de son mot de passe.
Informations sur la suppression des données
Vous devez toujours être parfaitement informés et pouvoir indiquer clairement à vos membres, sur demande, quelles données personnelles vous enregistrez à leur sujet, où elles sont stockées et à quelles fins elles sont utilisées. Le mieux est de rédiger une déclaration générale sur la protection des données. Il est important que vous définissiez des directives claires concernant l'accès aux données : la chef de chœur est-elle autorisée à noter les présences aux répétitions, par exemple ? Vous devez également savoir où toutes les données sont stockées et comment procéder si quelqu'un demande la suppression de ses données, afin de vous assurer qu'elles sont bien supprimées.
Conseil logiciel
ClubDesk centralise la gestion des contacts, vous évitant ainsi d'avoir à jongler entre différents tableaux Excel, logiciels financiers, solutions de site web ou services de stockage en ligne dans lesquels les données des membres ou les informations d'accès sont dispersées. La suppression de toutes les données personnelles d'une personne se fait ainsi en un seul clic. Comme il n'existe qu'une seule base de données centrale, vous avez une vue d'ensemble claire des données enregistrées, de leur emplacement et des personnes responsables de leur sécurité. Ces informations sont consignées dans les mesures techniques et organisationnelles (MTO). Les MTO font partie de l'accord de traitement des données que les associations concluent lorsqu'elles utilisent ClubDesk.
Quand le droit européen s'applique-t-il aux associations suisses ?
Il existe de nombreuses différences entre le RGPD européen et la revDSG suisse. Par exemple, les grandes associations doivent désigner un délégué à la protection des données conformément au RGPD et la publication de photos et de vidéos de membres est traitée différemment.
Si votre association ne s'adresse pas à des personnes dans l'UE (par exemple par le biais de publicités ou d'événements organisés par l'association), seul le droit suisse en matière de protection des données s'applique.
Voici quelques conseils à suivre :
- Ne ciblez pas spécifiquement les personnes résidant dans l'UE dans vos publicités, sur votre site web, sur les réseaux sociaux, etc. (ne publiez pas, par exemple, les cotisations des membres ou les offres de cours en euros plutôt qu'en francs suisses).
- N'évaluez pas le comportement des utilisateurs de l'UE sur votre site web (par exemple avec Google Analytics).
Dès que vous vous adressez activement à des personnes de l'UE (par exemple, si votre association est active au niveau international) et que vous traitez leurs données personnelles, vous devez respecter le RGPD. Si vous souhaitez en savoir plus sur le droit de la protection des données pour les associations soumises au RGPD européen, vous pouvez consulter notre conseil aux associations sur le RGPD (« Protection des données dans les associations – Allemagne et Autriche »).
Mise en œuvre des règles relatives à la protection des données
La protection des données ne se limite pas à la collecte des consentements. Il s'agit de contrôler activement quelles données sont collectées, comment et combien de temps elles sont conservées et comment elles sont détruites en toute sécurité. Au sein de votre association, vous devez vérifier régulièrement si les informations conservées sont encore nécessaires et si elles sont encore à jour. Une gestion consciente des données enregistrées et une gestion de l'information sont indispensables pour la protection des données.
Protection des données dans le cadre des relations contractuelles
Si des membres bénéficient des prestations de votre association, par exemple en participant à des entraînements ou à des tournois, le traitement et l'enregistrement des données correspondantes revêtent une grande importance pour l'association et sont donc autorisés. Veillez toutefois à ne collecter que les informations nécessaires et à ne pas les conserver plus longtemps que nécessaire. Vous protégez ainsi les membres et garantissez que votre association respecte les exigences de la LPD.
Transparence en matière de protection des données
Chaque membre d'une association a le droit de savoir quelles données personnelles le concernant sont enregistrées et à quelles fins elles sont traitées. La transparence dans ce domaine constitue le fondement d'une protection des données solide. Il incombe à votre association d'expliquer de manière transparente et compréhensible comment les informations personnelles sont traitées et à quelles fins elles sont utilisées. Il est également nécessaire que les membres soient pleinement informés de leurs droits en matière de protection des données.
Informer les membres à l'aide de remarques relatives à la protection des données
En règle générale, vous informez vos membres sur la protection des données dans les remarques relatives à la protection des données de votre association. Si vous souhaitez vous assurer que les nouveaux membres potentiels aient également un aperçu de votre politique de protection des données avant leur adhésion, il est recommandé de rendre ces informations accessibles sur le site web de votre association. Les finalités du traitement des données peuvent également être consignées dans les statuts. Cela peut être particulièrement utile si des données sont transmises à des tiers, tels qu'une organisation faîtière.
Conseil logiciel
Si vous concevez le site web de votre association avec ClubDesk, vous recevrez une déclaration de confidentialité prête à l'emploi, qui peut être facilement adaptée aux besoins spécifiques de votre association. Cette proposition contient également un lien vers un générateur de déclaration de confidentialité spécialement conçu pour les associations suisses.
Remarque relative à la protection des données pour les visiteurs du site web de l'association
N'oubliez pas que vous devez informer les visiteurs du site web de votre association sur les cookies utilisés, les outils d'analyse employés et la finalité de l'enregistrement des données.
Conseil logiciel
ClubDesk vous offre une aide pratique en mettant à votre disposition, dans un site web créé avec ClubDesk, une bannière cookie prête à l'emploi et un modèle de mentions légales relatives à la protection des données. Découvrez ClubDesk dès maintenant >
Publication et transmission
À l'ère des réseaux sociaux et d'un Internet omniprésent, beaucoup de gens sont beaucoup plus conscients de la valeur de la vie privée et de l'anonymat dans le monde numérique. Vous devez en tenir compte et bien informer vos membres sur les données, images, etc. qui pourraient être publiées et où.
Données personnelles
Si vous prévoyez de partager des données de membres sur votre site web, que ce soit pour le grand public ou uniquement pour les membres de l'association, vous devez en informer au préalable les personnes concernées et, selon la situation, obtenir leur consentement. Cela vaut également pour la transmission à des tiers, par exemple à une organisation faîtière. Vous pouvez facilement mettre cela en œuvre en l'intégrant dans les statuts. Le texte pourrait par exemple être libellé comme suit :
Le SC Model Club ne conserve que les données personnelles de ses membres qui sont nécessaires à la réalisation des objectifs de l'association et veille à leur sécurité de manière appropriée. Les informations suivantes sur les membres sont communiquées aux autres membres de l'association (par exemple dans la zone du site web de l'association accessible uniquement aux membres) : nom, adresse, numéro de téléphone, e-mail, ... (tout indiquer)
Le partage des coordonnées avec les autres membres se justifie notamment par le fait que l'association doit donner à ses membres la possibilité de convoquer une Assemblée générale extraordinaire.
Vous pouvez télécharger ici des modèles de statuts fournis par « vitamin B », le service spécialisé pour les associations suisses, qui contiennent d'excellentes propositions de texte sur la protection des données et couvrent le thème de la publication des données conformément à la loi (section 13).
Téléchargement : Modèles de statuts d'association, y compris la protection des données et le consentement à la publication des données
Photos et films
Deux éléments doivent être pris en compte lors de la publication de photos et de films. D'une part, les droits du photographe, qui s'appliquent également aux photographes amateurs depuis 2020, et d'autre part, les droits des personnes représentées (droit à l'image). Il est donc recommandé d'établir un « règlement relatif aux droits d'auteur sur les images » et d'en informer vos membres actuels.
Le règlement doit notamment stipuler que l'association est autorisée à utiliser gratuitement et sans limitation de durée les images (vidéos, graphiques...) qui lui sont transmises par ses membres, dans tous les pays et sur tous les supports (site web, Instagram, magazine de l'association...). En outre, le règlement doit stipuler que les membres accordent à l'association une autorisation générale d'utiliser les images, c'est-à-dire que l'association peut publier gratuitement les images des membres pour une durée illimitée, dans tous les pays et sur tous les supports (site web, Instagram, magazine de l'association...) et que la participation à un événement vaut consentement.
Il convient également de préciser comment et quand les personnes peuvent être photographiées (par exemple, photos d'événements sportifs). Selon la situation, il convient d'obtenir au préalable le consentement des personnes concernées ou de leur donner la possibilité de s'opposer à la prise de photos.
Pour l'élaboration d'un «règlement sur les droits d'auteur des images» pour les associations, «vitamin B», le service spécialisé pour les associations, propose un guide à télécharger.
Traitement minutieux des données sensibles
Les données particulièrement sensibles, telles que les informations relatives à la santé, nécessitent un traitement spécial. Elles ne peuvent généralement être collectées qu'avec le consentement explicite de la personne concernée. Votre association est tenue d'agir avec une prudence particulière dans de tels cas et de s'assurer que le consentement des membres est obtenu de manière volontaire et éclairée. Il est préférable de demander conseil à un expert en protection des données.
Les données particulièrement sensibles comprennent :
- les données relatives à la santé (par exemple, allergies, intolérances, blessures)
- les données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques d'une personne
- l'appartenance à un syndicat
- les données génétiques, les données biométriques qui sont traitées exclusivement dans le but d'identifier de manière unique une personne physique
- les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne
Utilisation responsable des listes de membres
Les listes de membres constituent un exemple de traitement de données personnelles au sein d'une association. Il est important de définir précisément qui, au sein de votre association, a accès à ces listes et à quelles fins elles peuvent être utilisées. La transmission de ces listes doit être strictement contrôlée afin d'éviter toute violation de la protection des données.
Conseil logiciel
Un logiciel pour associations tel que ClubDesk vous permet de déterminer facilement qui a accès à certaines données des membres. Il est toutefois important d'attirer l'attention des collaborateurs de votre association sur le fait que, même si les données sont sécurisées au sein de ClubDesk, cette sécurité n'est plus garantie dès qu'elles sont téléchargées sur un ordinateur privé ou envoyées par e-mail (c'est-à-dire sans mesures de sécurité appropriées telles que l'anonymisation, le cryptage ou la protection par mot de passe).
La protection des données dans les associations va bien au-delà du simple respect des exigences légales. Il s'agit d'une gestion responsable des informations qui renforce la confiance des membres. Une association doit disposer d'une politique de protection des données qui est activement mise en œuvre. Cela inclut des formations régulières sur la protection des données pour les responsables.
Formations régulières sur la protection des données : importance
Les formations à la protection des données sont essentielles pour acquérir une bonne compréhension du traitement des données personnelles au sein de votre association. En raison de la complexité du sujet, il est nécessaire d'informer en permanence sur les droits et obligations qui en découlent. Grâce à des ateliers internes ou à la mise à disposition de supports d'information, vous pouvez sensibiliser votre association à la protection des données et éviter d'éventuelles infractions.
Organisez de temps à autre une réunion ou une rencontre en ligne avec les personnes qui ont accès aux données personnelles au sein de l’association et abordez à chaque fois un thème différent de ce guide pratique. Passez par exemple en revue les « principales mesures techniques » ci-dessous lors d’une réunion, puis les « principales mesures organisationnelles » lors de la suivante. Consignez vos discussions par écrit afin de pouvoir communiquer efficacement vos mesures aux nouveaux collaborateurs de l'association.
Vous trouverez un document détaillé et bien structuré, qui peut servir de base pour des formations, sur le site « vitamin B » : télécharger le PDF
Mesures techniques et organisationnelles de protection des données
Il est indispensable que votre association prenne non seulement des mesures organisationnelles, mais aussi techniques (TOM). Cela est prescrit à l'article 7 de la revDSG. Cela comprend, par exemple, le cryptage des données, l'utilisation de mots de passe sécurisés et la protection contre tout accès non autorisé. L'équipement technique de l'association doit être conforme aux exigences en matière de protection des données et être régulièrement mis à jour.
Conseil logiciel
Un logiciel moderne pour associations tel que ClubDesk vous permet d'externaliser une série de mesures, qui sont alors prises en charge par ClubDesk, mais pas toutes. Il est important que vous vous occupiez vous-même d'aspects tels que la sécurité des mots de passe et les directives relatives à la publication des données. Découvrez ClubDesk dès maintenant >
Les principales mesures techniques
Pare-feu & WLAN
Pour protéger vos données, il est essentiel que tous les ordinateurs, y compris les ordinateurs privés sur lesquels les collaborateurs de l'association enregistrent des données relatives à l'association, soient équipés de pare-feu modernes et gérés de manière professionnelle. Vous devez en outre configurer votre réseau WLAN de manière sécurisée, par exemple en utilisant la norme WPA2 et des mots de passe complexes.
Contrôle d'accès
Il convient de contrôler non seulement l'accès au réseau, mais aussi l'accès physique aux ordinateurs et aux disques durs de sauvegarde, etc. sur lesquels sont stockées des données personnelles. Idéalement, vous devez les conserver dans des locaux sécurisés auxquels seules les personnes autorisées ont accès.
Droits d'accès
En attribuant des mots de passe, en définissant des rôles d'accès et en affectant des groupes d'utilisateurs, vous pouvez déterminer précisément qui a accès à quelles données. Assurez-vous que seules les personnes autorisées ont accès (c'est-à-dire pas les membres de la famille de la présidente ou du trésorier) et que les mots de passe utilisés sont sûrs (par exemple, qu'ils comportent au moins 10 caractères, des lettres, des chiffres et des caractères spéciaux).
Cryptage
Afin de protéger vos données contre tout accès non autorisé, elles doivent être stockées et transmises sous forme cryptée. Veillez à ce que tous les collaborateurs utilisent des méthodes de cryptage sécurisées et des mots de passe forts.
Copies de sauvegarde
Des sauvegardes régulières sont indispensables pour pouvoir restaurer vos données même après une panne du système ou une cyberattaque. N'oubliez pas de sauvegarder et de crypter vos sauvegardes et de les mettre à jour lorsque des données sont supprimées.
Conseil logiciel
Heureusement, un logiciel en ligne tel que ClubDesk vous permet d'économiser beaucoup de travail et de mesures. En effet, les données de votre association sont exclusivement stockées dans le centre de données ClubDesk et sont donc sécurisées selon toutes les règles de l'art. De plus, des sauvegardes quotidiennes sont effectuées et il n'est pas possible d'accéder aux données des membres sans mot de passe. Il n'est pas non plus nécessaire d'envoyer des données ou de les transmettre à d'autres personnes. Vous n'avez donc pas besoin d'établir des règles sur la manière dont les données doivent être supprimées de l'ancien ordinateur ou cryptées avant d'être envoyées.
Les principales mesures organisationnelles
Procédures et directives
Assurez-vous que votre club établit des règles claires pour le traitement des données, qu'elles sont bien documentées et que toutes les personnes qui traitent ces données savent exactement ce qui est autorisé et ce qui ne l'est pas. Cela implique également que vous soyez conscient de l'importance de traiter les données de manière sécurisée. Pensez à définir des règles claires pour les mots de passe (longueur, caractères spéciaux, etc.) et à la manière dont vous traitez la publication d'informations et de photos.
Informations et formations
Veillez à ce que toutes les personnes qui travaillent avec les données de votre club soient parfaitement informées sur le thème de la protection des données. Rappelez régulièrement à vos membres l'importance de respecter les mesures de sécurité, d'utiliser des mots de passe forts et de crypter les données. Le phishing et le spoofing sont également des risques à prendre en compte lorsque des données personnelles sont stockées localement.
Contrats de traitement des données
Si vous utilisez des services externes pour stocker ou transférer des données personnelles, vous devez vous assurer que ces services offrent la protection nécessaire à vos données. C'est le cas, par exemple, de ClubDesk grâce à l'accord de traitement des données qui fait partie des conditions générales. Si vous utilisez d'autres outils tels que le stockage dans le cloud ou des fournisseurs de sites web, vérifiez qu'ils offrent également les accords nécessaires.
Analyse des risques
Vérifiez régulièrement vos mesures et vos processus. Assurez-vous qu'ils sont toujours à jour et qu'ils correspondent aux menaces actuelles et aux possibilités techniques. Ainsi, votre association reste en sécurité et vous avez toujours une longueur d'avance.
Conseil logiciel
L'utilisation d'un logiciel pour associations tel que ClubDesk simplifie considérablement la définition et la documentation des mesures organisationnelles. Si un membre du Bureau exécutif quitte l'association, il vous suffit de modifier ses droits d'accès à un emplacement central dans ClubDesk. Si vous travaillez avec différents outils logiciels et des données stockées localement, il est important de documenter précisément qui a accès à quels services et données. Ainsi, en cas de départ, vous pouvez savoir où les droits d'accès doivent être désactivés et qui en est responsable, avec, si nécessaire, des instructions détaillées pour la désactivation. Vous pouvez également vous assurer que les personnes qui quittent l'organisation transmettent les données confidentielles à leurs successeurs en toute sécurité, par exemple en appliquant des règles de cryptage pour l'envoi d'e-mails, et que toutes les données personnelles sont complètement supprimées de leur ordinateur privé. ClubDesk vous évite toutes ces tâches.
Gestion des violations de la protection des données
Même en faisant preuve de la plus grande diligence, des violations de la protection des données peuvent survenir. Dans un tel cas, votre association doit disposer d'un plan d'action en cas de violation des données. Ce plan définit les mesures à prendre en cas de violation de la protection des données, y compris la notification des responsables et l'information des membres concernés. Une réaction rapide et sûre dans de telles situations est essentielle pour maintenir la confiance des membres et limiter les dommages potentiels.
Enregistrement et obligation de rendre compte
Conformément à la LPD, votre association en Suisse doit être en mesure de prouver qu'elle applique les procédures de protection des données et respecte les directives correspondantes. Cela nécessite une documentation des processus de traitement des données, de leurs bases légales et des mesures de sécurité mises en œuvre. La documentation sert non seulement à rendre des comptes aux autorités de surveillance, mais aussi comme mesure de contrôle interne.
Vous trouverez une liste des points les plus importants à documenter dans la loi fédérale sur la protection des données, au chapitre 2, section 1, article 12.
Eine Liste der wichtigsten Punke, die ihr dokumentieren müsst, findet ihr im Bundesgesetz
über den Datenschutz in Kapitel 2 Abschnitt 1 Artikel 12
Guide revDSG pour votre association à télécharger
Personne responsable
Déterminez qui, au sein de votre association, est chargé de la protection des données et responsable des mesures techniques et organisationnelles appropriées.
Enregistrer uniquement les données nécessaires
Garantit que seules les données nécessaires sont collectées et que la durée de conservation est déterminée en fonction des besoins et des exigences légales.
Garantie de la sécurité des données
Mettre en œuvre et actualiser régulièrement des mesures de protection afin de garantir la confidentialité, l'intégrité et la disponibilité des données.
Documenter les processus relatifs à la protection et à la sécurité des données
Établit un registre contenant des informations sur les responsabilités, les droits d'accès et les finalités du traitement des données, comme prévu à l'article 12 du RGPD.
Définir les droits d'accès
Veille à ce que chacun ne voie que les données nécessaires à son travail.
Informer les membres sur le traitement des données
Informez par écrit les nouveaux membres lors de leur adhésion sur le traitement des données (quelles données, à quelles fins, où elles sont enregistrées et publiées) et tenez les membres existants informés des modifications. Publiez des informations sur la protection des données sur votre site web et envisagez une modification des statuts.
Former le Bureau exécutif et les collaborateurs de l'association
Veille à ce que toutes les personnes qui travaillent avec les données des membres au sein de l'association soient informées de la revDSG et s'y conforment.
Contrats de traitement des commandes (AVV)
Conclut des contrats de traitement des commandes avec des prestataires externes ou intègre des accords de protection des données dans les contrats de prestation de services et vérifie régulièrement leurs mesures de protection des données.
Obligation de signaler les violations de la protection des données
Met en place une procédure permettant de réagir rapidement et d'informer les membres et les autorités de contrôle en cas de violation de la protection des données.
Droit suisse ou droit européen
Vérifiez si vous devez vous conformer uniquement à la resDSG suisse ou également au RGPD européen (voir chapitre « Quand le droit européen s'applique-t-il aux associations suisses ?»).
Résumé : Protection des données au sein de l'association
La protection des données représente pour les associations suisses un processus dynamique qui exige une organisation bien pensée et une optimisation constante. Il est essentiel de trouver un équilibre entre une gestion efficace de l'association et la protection de la vie privée et des données des membres. Une action proactive et la participation active des membres sont déterminantes pour le succès. Des solutions logicielles telles que ClubDesk peuvent grandement faciliter le respect des lois sur la protection des données lors du traitement des données des membres.
Demandes fréquentes concernant la protection des données au sein de l'association
Vous avez encore des demandes concernant la protection des données au sein de l'association ? Nous répondons ici aux questions les plus fréquentes :
Qu'entend-on par LPD et en quoi est-elle pertinente pour les associations suisses ?
La LPD est la loi suisse sur la protection des données qui, à l'instar du RGPD européen, régit la protection et le traitement des données personnelles. Elle s'applique aux associations en Suisse, car celles-ci sont tenues de respecter les dispositions relatives à la protection des données de leurs membres et d'autres personnes et de mettre en œuvre les mesures de protection des données correspondantes.
Qu'entend-on par « données personnelles » ?
Sont considérées comme données personnelles toutes les informations qui concernent une personne physique identifiée ou identifiable, telles que le nom, l'adresse, l'adresse e-mail, le numéro de téléphone et les photos.
La nomination d'un délégué à la protection des données est-elle obligatoire pour les associations ?
Il n'est pas obligatoire de nommer un délégué à la protection des données. Cependant, il est recommandé de désigner une personne à qui les membres peuvent s'adresser, par exemple pour toute demande concernant leurs données ou pour demander leur suppression. Cela renforce la confiance envers votre association.
Comment obtenir le consentement des membres de l'association pour le traitement de leurs données ?
Le consentement n'est nécessaire que dans certains cas. Si le consentement est nécessaire, il doit être donné librement et le membre doit être informé au préalable de manière appropriée sur le traitement des données. Cela peut se faire, par exemple, au moyen d'un formulaire d'inscription qui renvoie à une déclaration de confidentialité et dans lequel le consentement est donné par signature ou par voie numérique en cochant une case.
Quelles mesures les associations doivent-elles prendre pour garantir la sécurité des données ?
Les associations sont tenues de prendre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données traitées. Cela comprend notamment la conservation sécurisée des données, la mise à jour régulière des logiciels et la formation des membres du comité directeur et des collaborateurs de l'association.
Quels sont les droits des membres concernant leurs données ?
Les membres ont le droit d'obtenir des informations sur leurs données personnelles enregistrées, de demander des corrections, d'exiger la suppression de leurs données et, dans certaines circonstances, de s'opposer au traitement de leurs données.
À propos de l’auteur:
Andreas Kling
Qu’il soit secrétaire ou président, Andreas a exercé pratiquement tous les rôles au sein d’associations diverses et, au cours des 35 dernières années, il s’est principalement consacré à la gestion et à la digitalisation d’entreprises et d’associations.
