Quelques notions de bases
Le Règlement Européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et remplace la loi belge relative à la protection de la vie privée.
Il définit au niveau européen les nouvelles règles relatives à la protection des données personnelles des citoyens européens.
Par donnée personnelle, il faut comprendre toute information susceptible d’identifier une personne physique directement ou indirectement.
Il s’agit notamment du nom de la personne, de sa photo, de son numéro de sécurité sociale, de son adresse postale, de son numéro de téléphone, de son numéro de registre national…etc.
Si vous souhaitez plus d’information sur le RGPD, voici quelques liens à votre disposition
- Présentation de la RGPD faite par la PRIVACYCOMMISSION.be (Version FR – sous-titré en ndls)
- Le Règlement européen dans son intégralité NL – FR – DE
- Article par article NL – FR – DE
Que devez-vous faire ?
L’EPUB invite chaque structure à nommer un (1) responsable de traitement des données soit une personne en son sein qui formalisera les données en sa possession.
Le rôle de secrétaire du consistoire ou du CA semble être la personne la plus adéquate pour remplir ce travail mais cela peut être une autre personne clairement identifiée.
Ce/cette dernier(e) devra tenir à la disposition de toute personne qui en fait la demande un registre des activités de traitement (voir Modèle 1 – Registre des activités de traitement – église locale) qui reprend :
- La dénomination du traitement
- La finalité ou les objectifs
- Les catégories de données traitées
- Les bases légales ou réglementaires
- Les destinataires à qui les données peuvent être fournies
- Les garanties entourant la communication de données à des tiers
- Les moyens d’information aux personnes dont les données sont traitées
- Les coordonnées d’un responsable auprès duquel les personnes concernées pourront exercer leurs droits
- Les catégories de données transmises à l’étranger, le pays de destination et les raisons permettant le transfert
- La période de validité des données
- Les mesures organisationnelles et techniques de sécurité
Nous invitons toutes les églises qui ont un site internet à adapter/copier/coller la politique de confidentialité (voir Modèle 2 – Privacy Policy – église locale) sur leur site internet.
En fonction de votre site Internet, des informations supplémentaires devront également être communiquées.
Question concernant le consentement
Les grands principes :
Le traitement de données à caractère personnel n’est possible que si les personnes concernées ont donné leur consentement.
Ce consentement doit être explicite, clair et positif (art. 6, point 1, a).
Néanmoins, dans certains cas, le consentement est présumé. Ce qui est notre cas de figure
Il en est notamment ainsi lorsque
- le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (art. 6, point 1, b) ;
- le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (art. 6, point 1, c). Ainsi, le consentement est présumé dans le cas d’un contrat de travail, d’un statut, de l’adhésion à une ASBL, par exemple.
- De même, si on veut ‘entrer’ dans une ASBL comme administrateur ou comme membre, on doit communiquer les données à caractère personnel exigées par la loi du 27 juin 1921.
A noter que même dans les cas où le consentement est présumé, les personnes concernées doivent être informées
– des coordonnées du responsable du traitement
– des coordonnées du délégué à la protection des données
– de l’Autorité de protection des données
– de la finalité
– des droits de la personne concernée (art. 13 du RGPD)
(voir Modèle 3 – Lettre d’information – église locale)
Toute personne future qui rejoindrait votre base de données et qui n’est pas en lien avec l’église devrait dès lors compléter un « document de consentement ». (voirModèle 4 – Consentement – église locale )
Protection des données
En lien avec l’article 32, une politique de protection des données devrait être mise en place par chaque structure. Il faut tout simplement s’assurer que des mesures techniques et organisationnelles soient mises en place et soient suffisantes pour garantir la sécurité des données.
