Statistiques par secteur d'activité

Associations : troisième secteur le plus sanctionné

0
Amende moyenne

Il s’agit du troisième secteur d’activité le plus lourdement sanctionné après les activités de commerce et de télécommunication. Les associations ne sont donc pas protégées par leur statut particulier lié à leur absence de but lucratif. Cette statistique confirme bien que le RGPD s’applique à tous.

Sanction la plus fréquente

63%
Sanction pécuniaire

Près des deux tiers des sanctions visant les associations débouchent sur une amende administrative. Dans les autres cas il s’agit d’avertissements, publics ou non (respectivement 12% et 25% des cas).

Manquements constatés par la CNIL

Défaut de sécurité et de confidentialité62.5%
Collecte excessive de données au regard de la finalité25%
Non respect des droits d'accès, de suppression, etc.25%
Défaut d'information12.5%
Défaut de formalités préalables (obsolète)25%

Plusieurs manquements peuvent être constatés pour une même sanction

Les reproches faits aux associations se concentrent sur quatre manquements, ce qui est peu. En revanche, il s’agit de manquements particulièrement sanctionnés par la CNIL car ils font peser un risque sur les données personnelles. C’est notamment le cas du défaut de sécurité et de la collecte excessive de données (plus de 85% des sanctions).

Les 3 leçons à tirer

Le principal manquement reproché aux associations concerne un défaut de sécurité. La mise en conformité d’une association doit donc être l’occasion d’une sensibilisation de son personnel et de ses bénévoles aux bonnes pratiques, peu coûteuses, mais permettant de renforcer la sécurité du système informatique.

Les associations doivent impérativement faire le travail de déterminer en amont de tout traitement de données le but de celui-ci et les données nécessaires pour atteindre ce but. Cela permettra de s’assurer que seules sont collectées les données personnelles strictement nécessaires au traitement.

Les associations semblent être des acteurs fortement contrôlés par la CNIL. Dans ce contexte, les responsables associatifs doivent envisager de nommer un délégué à la protection des données pour les aider au quotidien sur ces questions. Il pourra ainsi décharger les employés et bénévoles de certaines tâches.