Déclarer son fichier d'adhérents à la CNIL

Cadre juridique, Mis en ligne le 18/03/03

  Accueil | Fiches pratiques| Cadre juridique | Déclarer ses fichiers à la CNIL 

  Page précédente

Vous avez décidé d'informatiser la gestion de votre association. Vous allez donc enregistrer sur support informatique des informations nominatives concernant les adhérents, les bénévoles ou les sympathisants de l'association.

La loi dite informatique et liberté du 6 janvier 1978 (loi relative à l'informatique, aux fichiers et aux libertés) prévoit que les fichiers informatiques doivent être déclarés à la CNIL (Commission Nationale de l'Informatique et des libertés).

Les responsables associatifs n'ont pas acquis le "réflexe loi informatique et libertés" et omettent généralement d'effectuer la formalité de déclaration. Pourtant s'il est facile de se mettre gratuitement en règle, l'omission de cette déclaration constitue le délit de création de fichier clandestin passible de lourdes peines.

Quels sont les fichiers concernés ?
Quelles données peuvent être collectées ?
Comment sont collectées les données ?

Quelles règles sont à respecter dans l'exploitation du fichier ?

Comment déclarer ses fichiers à la CNIL ?

Références.

Quels sont les fichiers concernés ?

Tout fichier de traitement automatisé d'informations nominatives doit, préalablement à sa mise en oeuvre, faire l'objet d'une déclaration à la CNIL. (article 16 de la loi). 

Ceci signifie bien sûr les fichiers comportant le nom des personnes physiques, mais aussi ceux qui permettent d’identifier un individu sans que son nom y apparaisse. Ces derniers fichiers, dits " indirectement nominatifs ", sont ceux qui comportent par exemple, des numéros  de téléphone, un numéro de compte bancaire, de carte bancaire, une adresse de courrier électronique, ou qui pourraient permettre une identification par recoupement avec d’autres fichiers.

Cet aperçu montre que le champ d'application de la loi Informatique et Libertés est très vaste.

Quelles données peuvent être collectées ?

Le fichier peut comporter toutes les informations nécessaires à la gestion de l'association, à l'établissement d'états statistiques, ou de listes de membres, notamment en vue d'adresser bulletins d'information, convocations, rapport d'assemblée, établissements d'annuaires ( identité des membres, adresse, téléphone, adresse électronique, profession , le cas échéant..)

Il ne doit en principe pas comporter d'informations sensibles, c'est à dire susceptibles de faire apparaître directement ou indirectement les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les mœurs des personnes. Ces informations ne peuvent recueillies en l'absence d'accord exprès ('c'est à dire écrit ) des personnes concernées.

Il ne peut non plus contenir d'informations relatives à la santé des personnes ou aux difficultés sociales et économiques des personnes, ni le numéro de sécurité sociale des personnes concernées (article 18 de la loi).

Comment sont collectées les informations ?

Les adhérents  auprès desquels sont recueillies les données nominatives doivent être informées 

- de l'existence du fichier et de l'usage qui en sera fait,
- du caractère obligatoire ou facultatif des réponses,
- des conséquences à leur égard d'un défaut de réponse,
- des personnes physiques ou morales destinataires des informations,
- de l'existence d'un droit d'accès et de rectification.

Si lesdites informations sont recueillies au moyen de formulaires, questionnaires, etc, les documents devront porter cet avertissement.

La loi condamne la collecte déloyale, frauduleuse ou illicite d’informations nominatives. Le responsable du traitement doit en conséquence :

- recueillir l’accord exprès (c’est-à-dire écrit) des personnes avant de collecter des données relatives à leur race, opinions philosophiques ou religieuses, leur appartenance syndicale ou leurs mœurs…,

- s’interdire d’enregistrer les condamnations pénales considérées comme des données sensibles : la loi réserve en effet aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d’un avis conforme de la CNIL l’enregistrement de ces données,

- s’interdire d’utiliser comme source d’information des fichiers constitués à d’autres fins et dont l’accès est limité (« principe de finalité).

Exploitation du fichier, les règles à respecter

La conservation des données 

La durée de conservation des données n’est pas prévue par les textes, le principe étant que la conservation doit être en cohérence avec la finalité poursuivie. Pour les traitements les plus courants, les normes simplifiées prévoient, selon la nature et la finalité des traitements, une durée de conservation plus ou moins longue. Par exemple, les renseignements concernant les adhérents d'une association ne peuvent  être conservés après la démission ou la radiation sauf accord exprès de l'intéressé (norme simplifiée n°23- délibération n ° 99-026 du 22 avril 1999).

 L'obligation de sécurité

La personne responsable d'un fichier informatique nominatif doit prendre toutes précautions utiles pour préserver la sécurité des informations et notamment empêcher qu'elles ne soient divulguées à des tiers non autorisés.

La finalité du traitement doit être respectée

Il s'agit d'un principe important. Chaque fichier est créé dans un but particulier : annuaire des adhérents, gestion du personnel, etc...  Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins. Par exemple, vous ne pouvez pas céder votre fichier adhérents à un partenaire si les adhérents n'ont pas été préalablement informés et mis en mesure de s'y opposer.

 Droit d'accès et de rectification

Toute personne a le droit de demander au détenteur d'un fichier de lui communiquer toutes les informations la concernant. Ainsi, en cas d'inexactitude, elle peut exiger que ces informations soient rectifiées, complétées, clarifiées, mises à jour ou effacées (art. 36 de la loi).
Le non-respect du droit de rectification est sanctionné pénalement (Décret 81-1142 ).

En cas de problème pour exercer ce droit d'accès et de rectification, la personne fichée peut saisir la CNIL.

Enfin, il n'est pas inutile de rappeler que la loi "Informatique et Libertés" a prévu en cas de non-respect de ses dispositions, différentes sanctions pénales. Certes, bien souvent, la CNIL préfèrera inviter le détenteur du fichier à régulariser sa situation, mais il lui arrive aussi de transmettre certaines affaires aux tribunaux.

Déclarer ses fichiers à la CNIL

La CNIL a édité un formulaire type (CERFA n° 99001) de déclaration d'un traitement automatisé d'informations nominatives qu'il suffit de remplir en suivant les instructions données dans la notice explicative accompagnant le formulaire.

On peut se procurer ce formulaire auprès des préfectures, des chambres de commerce et d'industrie et de la CNIL ( téléchargeable depuis le site www.cnil.fr)

Pour les fichiers les plus courants et qui ne comportent pas de risque d'atteinte à la vie privée ou aux libertés, la CNIL a établi une procédure dite de déclaration simplifiée : en pratique, seul les renseignements de la première page du formulaire sont à fournir. Des normes simplifiées existent par exemple pour les fichiers d'adhérents, de paie des personnel, d'abonnés à un bulletin périodique..... 
- Fichier adhérent et/ou annuaire , la CNIL a adoptée la norme simplifiée n° 23;
- Fichier de paie des personnel , la CNIL a adopté la norme simplifiée n° 28;

Tout autre fichier mis en oeuvre au sein de l'association doit faire l'objet d'une déclaration ordinaire : outre le formulaire cerfa 99001, vous devez retourner les annexes demandées.

Les trois exemplaires remplis et signés (par le président de l'association) avec les annexes éventuelles sont à transmettre , en trois exemplaires par lettre recommandée avec accusé de réception à la CNIL. dès réception du récépissé de déclaration vous pourrez constituer et utiliser votre fichier. 

Pour en savoir plus

Commission National de l’Informatique et des Libertés :
21, rue Saint-Guillaume.
75340 Paris Cedex 07.
Tél : 01 45 44 40 65.
Fax : 01 45 49 04 55.
Minitel : 3615 code CNIL.