Link Search Menu Expand Document
Boîte à outils gestion responsable de données

3.2 L'application du RGPD

20-Juin-2023 4 mins Share on social networks


TABLE DES MATIÈRES

À retenir

L’interprétation du périmètre géographique d’application du RGPD est différente au sein même des départements juridiques des ONG (populations affectées qu’elles soient localisées en union européenne ou en dehors également)

Néanmoins, il semble problématique pour des ONG de solidarité internationale de traiter différemment des populations en fonction de leur localisation, surtout quand c’est pour respecter des principes éthiques et le droit des personnes.

Il existe des outils pour vous accompagner et faciliter la mise en pratique pas à pas en termes de protection des données personnelles.

Cette section explique les critères d’application du RGPD, pour déterminer qui est concerné, ainsi que les outils pour mieux comprendre et accompagner sa mise en œuvre.

3.2.1 À qui s’applique le RGPD ?

Le RGPD est une législation issue de l’UE, mais son application est plus large qu’il n’y parait. Il est important d’analyser le statut des opérations terrain des ONG, afin de pouvoir déterminer si elles y sont - légalement parlant - soumises ou non.

Rappelons néanmoins que nous regardons ici que le prisme légal et non éthique de l’application.

LE RGPD s’applique (Source : CNIL) :

  • aux organisations établies en Union Européenne, qu’elles soient responsables de traitement ou sous-traitantes : c’est le critère de l’établissement. Dans ce cas, le lieu de traitement des données (comme le lieu de stockage des données ou de son analyse) n’est pas déterminant.
  • aux organisations établies hors UE (responsables de traitement ou sous-traitantes), qui ciblent des données de personnes résidentes de l’UE (cela concerne surtout les données RH dans le secteur, hormis pour des ONG non-européennes travaillant avec des populations européennes telles celles concernées par le conflit Ukrainien) : c’est le critère de ciblage.

ATTENTION : Ces critères de détermination sont à examiner en fonction de chaque organisation, selon son réseau interne : le lien d’indépendance ou d’interdépendance entre le siège et les bureaux par exemple, permettra de savoir si le RGPD s’applique ou non.

3.2.2 Quels soutiens pour sa prise en main ?

Comme nous l’avons vu, de nombreuses ONG (qu’elles soient européennes ou non) sont soumises au RGPD sur au moins une partie de leurs activités et disposent d’une autorité de contrôle indépendante chargée de surveiller son application. Elles ont également de nombreuses ressources pratiques qui peuvent être intéressantes pour les ONG.

Pour les ONG françaises, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle. Elle a plusieurs missions, le fait d’accompagner la société civile, d’informer, de traiter les plaintes relatives aux violations des données personnelles et de sanctionner en fonction

Elle dispose d’un panel de pouvoirs allant du simple rappel à la loi à des procédures de sanction. Par exemple, astreinte journalière de 100€ tant que la mise en conformité n’est pas effectuée ; amende administrative maximale de 20 000€, en cas de violation de la protection des données.

La CNIL met à disposition des ressources pour aider à la mise en place de pratiques en conformité avec le RGPD (qui peuvent être utiles bien plus largement que pour les ONG de droit français):

En découvrir d’autres également dans la sous-section 2.6 de la boîte à outils sur les ressources issues de la CNIL, comme par exemple l’infographie ci-dessous issue de sa page « RGPD : par où commencer ? » représentant les 4 étapes identifiées par la CNIL pour commencer sa mise en conformité.

image info

Source : la CNIL