Quelles sont les actions à mettre en œuvre par les associations et fondations ?

Les règles à suivre par une association ou une fondation diffèrent selon le but de la prospection à laquelle se livrera l’organisme destinataire des données.

Que retenir ?

La transmission de données à caractère personnel à des tiers constitue un traitement au sens du règlement général sur la protection des données (RGPD, article 4). En conséquence, les associations et fondations qui procèdent à la transmission desdites données doivent se conformer aux exigences du RGPD.

Ainsi, à l’instar des actions mises en place pour d’autres traitements, ces entités doivent veiller à la base légale de la transmission des données (intérêt légitime ou consentement) et en tirer les conséquences. L’information des personnes concernées est également requise quel que soit la finalité de la transmission. Une attention particulière doit aussi être portée à la minimisation des données afin que l’entité qui transmet les données se limite à celles strictement nécessaires à des actions de prospection. La sécurité des flux de données est enfin à prendre en compte.

En dernier lieu, il convient de souligner que l’organisme destinataire des données, qu’il s’agisse d’une société commerciale ou d’une autre association ou fondation, est soumis au RGPD. En particulier, il lui appartient d’informer les personnes concernées dans les conditions requises par l’article 14 du RGPD, applicable en cas de collecte indirecte de données. Cette information devra être délivrée au plus tard au moment de la première communication avec les personnes concernées. En outre, les règles exposées ci-dessus s’appliqueront également si l’organisme destinataires des données souhaite à son tour procéder à leur transmission.