Publications de Fiches Pratiques Fédérales 3716 et 3717 – RGPD

La Fédération vient de publier les Fiches Pratiques Fédérales 3716 et 3717 directement dans les espaces dirigeants (pas encore dans les espaces licenciés). Ces fiches sont d’importances pour les clubs car elles établissent la responsabilité des traitements de données et des personnes y ayant accès.
En synthèse, la FFTA est le responsable des traitements (RT) et nous sommes sous-traitant de traitement (STT) pour le compte de la FFTA au sens de la CNIL.
Dans ces documents, plutôt corrects sur de nombreux points, est attaché la responsabilité des données mis à la disposition des comités et des clubs : notamment Fiche 3716 page 8.

• Les clubs, les comités, d’une manière générale tous les utilisateurs de l’extranet sont soumis à la charte sur le traitement des données à caractère personnel et ils engagent leur responsabilité en cas de manquement à leurs obligations. 

Il est donc essentiel d’informer vos adhérents sur le volet de la protection de données sans tarder comme certains clubs l’on déjà fait. Il est à noter également que ces fiches ne sont pas accessibles depuis l’espace licencié ce qui est un manquement d’information.

Il parait nécessaire que l’information prévoie, afin de limiter la responsabilité des comités et clubs, la précision des situations non conformes au RGPD du responsable de traitement. Un bulletin d’adhésion limité aux champs nécessaires au traitement devrait être utilisé par les clubs pour être conforme aux obligations des ces documents.

Analyse RGPD dans leur version actuelle

Les documents ne sont pas exempts d’imprécisions ou de manquements de la part de la FFTA et quelques questions ont dors et déjà été posées. La FFTA annonce des changements à venir.

Il est à relever principalement que :

  • La charte est imposée (3717) alors qu’elle devrait être signée par le club ou le comité pour signifier et s’assurer de la bonne information, de la bonne compréhension des instructions du RT et de la mise en oeuvre en interne du club ou comité de l’engagement de confidentialité des personnes autorisées. Enfin, cela permet de respecter le principe RGPD du contrôle mutuel (RGPD (#97, 98 et 99)), les comités et club ne signant qu’un document conforme aux règles y compris celles applicables au responsable de traitement (FFTA)

  • Les documents donnent à croire qu’un délégué à la protection des données est en poste à la FFTA, ce qui n’est pas encore le cas et ce malgré notamment l’article 9 de la charte (3717)

  • L’exercice des droits est limité par l’absence de DPO et pour des raisons techniques aux outils fédéraux dont personne ne peut se satisfaire.

  • la durée de conservation fédérale n’est pas précisée alors qu’elle est fixée à 5 ans pour les clubs. En pratique, la durée fédérale est illimitée, ce qui n’est pas conforme.

  • L’accès à l’intranet Fédéral n’est pas limité conformément à leur document 3716 : la géolocalisation et  l’onglet « traces » empêche le droit de rectification, de limitation et de suppression, par exemple car cet accès est ouvert au delà du responsable de traitement seul autorisé à les manipuler. Les applications fédérales manquent de sécurisation ; la base fédérale peut être aisément exportée et utilisée à d’autres fins. La responsabilité de ce manque de sécurisation est basculée vers les comités, clubs et adhérents par ces documents.

  • Le bulletin d’adhésion fédéral contient plus de champs que ce qu’il est nécessaire et met en situation de collecter trop d’information contrevenant avec les engagements des documents 3716 et 3717 pris par la FFTA et ne respecte ainsi pas le principe de limitation. Par rebond, il engage la responsabilité des clubs qui se trouvent à manipuler plus d’informations que nécessaire, à avoir la responsabilité de les protéger et à les conserver alors qu’elles ne devraient pas être collectées. Il convient de ne pas utiliser ce document dans sa version actuellement, encore moins la version jaune envoyée par courrier. Selon la fiche 3615, les informations personnelles minimales obligatoires pour tous les licenciés sont : nom, prénom, date de naissance, adresse postale et adresse mail. Pour rappel, la nationalité précise ne peut pas être habituellement collectée. Si cette notion est réellement utile pour le traitement et est préalablement justifiée, elle doit être limité à « France », « Europe » et « reste du monde ».