Protection des données
Les dispositions sur la protection des données s’appliquent également aux associations.
Les données personnelles des membres (adresses et autres notes individuelles) peuvent être recueillies seulement si elles servent la poursuite du but de l’association. Elles ne peuvent être transmises à des tiers qu’avec le consentement préalable des membres concernés. Chaque membre possède par ailleurs un droit d’information sur l’utilisation de ses données personnelles par l’association.
Vous trouverez ci-dessous de plus amples informations sur les aspects importants de ce sous-thème.
Question
Les associations perçoivent une augmentation des demandes d’information sur le traitement des données. À quoi faut-il veiller?
Réponse
L’obligation de fournir des informations a également fait l’objet d’une nouvelle réglementation. Les associations doivent se préparer et définir la procédure à suivre en cas de demande de renseignements. Tout d’abord, l’identité de la personne demandant des informations doit être établie (par exemple au moyen d’une carte d’identité). La personne doit ensuite être informée des données la concernant qui sont traitées et à quelles fins, de la durée de conservation de ces données et de leur origine. Le cas échéant, il convient d’indiquer quels destinataires reçoivent quelles données (p. ex. association faîtière, imprimerie, etc.). En règle générale, les renseignements devraient être fournis gratuitement par écrit dans un délai de 30 jours.
Question
La nouvelle loi sur la protection des données est entrée en vigueur. De quoi les associations doivent-elles tenir compte?
Réponse
La nouvelle loi sur la protection des données ne prévoit pas de directives spécifiques pour les associations. Elles doivent toutefois se conformer aux nombreuses nouvelles obligations et prescriptions de la loi. La principale nouveauté est l’extension de l’obligation d’information. Lors de la collecte de données personnelles, les associations doivent informer les personnes concernées de la nature des données collectées et des finalités de leur traitement. Dans la pratique, cette obligation d’information est généralement remplie par une déclaration de protection des données sur le site Internet.
Les dispositions sur la protection des données s’appliquent également aux associations. Les données personnelles des membres (adresses et autres notes individuelles) peuvent être recueillies seulement si elles servent la poursuite du but de l’association. Elles ne peuvent être transmises à des tiers qu’avec le consentement préalable des membres concernés. Chaque membre possède par ailleurs un droit d’information sur l’utilisation de ses données personnelles par l’association.
Question
Comme de nombreuses associations, nous communiquons via e-mails, outils de discussion, newsletters électroniques et classements numériques. Comment, en tant que comité, savoir quels outils numériques ne posent aucun problème en matière de protection des données?
Réponse
Le comité doit vérifier le sérieux des fournisseurs et s’assurer qu’ils garantissent la sécurité des données (si le fournisseur traite des données personnelles de l’association dans le cadre d’un mandat, par exemple dans le cas d’une solution cloud). Il se peut également que le fournisseur dispose de certains labels de qualité ou de certifications dans le domaine de la protection des données. Une association doit engager contractuellement le fournisseur, c’est-à-dire se faire garantir que les données seront traitées de manière sérieuse, sûre et confidentielle.
Question
Qui est responsable de la protection des données au sein d’une association?
Réponse
Une association dispose de nombreuses données personnelles, notamment celles de ses membres. Elle doit les gérer avec soin. Le comité de l’association est responsable de leur gestion conforme à la loi sur la protection des données. Il est notamment responsable du fait que l’association dispose d’une déclaration de protection des données et qu’elle protège systématiquement les données des membres contre toute utilisation abusive.
Question
Les associations perçoivent une augmentation des demandes d’information sur le traitement des données. À quoi faut-il veiller?
Réponse
L’obligation de fournir des informations a également fait l’objet d’une nouvelle réglementation. Les associations doivent se préparer et définir la procédure à suivre en cas de demande de renseignements. Tout d’abord, l’identité de la personne demandant des informations doit être établie (par exemple au moyen d’une carte d’identité). La personne doit ensuite être informée des données la concernant qui sont traitées et à quelles fins, de la durée de conservation de ces données et de leur origine. Le cas échéant, il convient d’indiquer quels destinataires reçoivent quelles données (p. ex. association faîtière, imprimerie, etc.). En règle générale, les renseignements devraient être fournis gratuitement par écrit dans un délai de 30 jours.
Toutes les notes, les adresses, les fichiers, les données informatiques et les dossiers, photos incluses, relatifs aux membres et qui contiennent des informations les concernant, sont des données. Elles sont protégées et ne peuvent pas être transmises à des tiers sans l’autorisation des personnes concernées (protection des données).
Question
Un membre souhaite convoquer une assemblée générale extraordinaire et nous a demandé de lui fournir les coordonnées de tous les membres. Sommes-nous autorisés les lui transmettre?
Réponse
Si un cinquième (ou moins selon les statuts) des membres demande une assemblée générale extraordinaire, le comité directeur doit la convoquer. Dans la pratique, cela signifie que la transmission des données des membres au sein de l’association est autorisée dans ce cas, car elles sont nécessaires à l’exercice des droits des membres, à savoir la convocation d’une assemblée générale extraordinaire (art. 64, al. 3, CC). Mais dans ce cas, seules les données nécessaires à l’exercice des droits devraient être transmises (p. ex. noms et adresses). Les données transmises ne peuvent être utilisées par le membre qu’à cette fin et doivent ensuite être détruites, ce dont le membre concerné doit être expressément informé. Comme alternative à la publication des données, le comité peut proposer d’envoyer les informations aux autres membres au nom du membre.
L’association établit une liste ou un fichier de ses membres où elle note les informations les plus importantes sur chacun de ses membres (fichier des membres).
Question
La nouvelle loi sur la protection des données est entrée en vigueur. De quoi les associations doivent-elles tenir compte?
Réponse
La nouvelle loi sur la protection des données ne prévoit pas de directives spécifiques pour les associations. Elles doivent toutefois se conformer aux nombreuses nouvelles obligations et prescriptions de la loi. La principale nouveauté est l’extension de l’obligation d’information. Lors de la collecte de données personnelles, les associations doivent informer les personnes concernées de la nature des données collectées et des finalités de leur traitement. Dans la pratique, cette obligation d’information est généralement remplie par une déclaration de protection des données sur le site Internet.
Question
Que faut-il savoir sur l’obligation de conserver les données des membres? Devons-nous, par exemple, anonymiser les factures relatives aux cotisations annuelles?
Réponse
Les données doivent être effacées dès qu’elles ne sont plus nécessaires au traitement prévu, sauf si elles sont soumises à une obligation de conservation légale. Tant qu’il existe des créances impayées ou, par exemple, un litige, les données doivent être conservées. En outre, dans le domaine de la comptabilité, il existe une obligation de conserver pendant 10 ans les rapports annuels, les comptes annuels, les pièces comptables et les rapports de révision (cf. art. 958f CO). Si ces documents contiennent des données personnelles, ils ne peuvent être supprimés qu’après l’expiration du délai. Depuis peu, les associations devant s’inscrire au registre du commerce doivent tenir un registre de leurs membres. Elles doivent conserver les informations relatives à chaque membre pendant cinq ans, si cette personne quitte l’association (cf. art. 61a du CC).
Les dispositions sur la protection des données s’appliquent également aux associations. Les données personnelles des membres (adresses et autres notes individuelles) peuvent être recueillies seulement si elles servent la poursuite du but de l’association. Elles ne peuvent être transmises à des tiers qu’avec le consentement préalable des membres concernés. Chaque membre possède par ailleurs un droit d’information sur l’utilisation de ses données personnelles par l’association.
Question
La nouvelle loi sur la protection des données nécessite-t-elle une adaptation des statuts?
Réponse
Nous recommandons aux associations d’inclure un article sur la protection des données lors de la prochaine révision statutaire. Celui-ci précise comment l’association traite les données et comment, ou dans quels cas, la transmission appropriée de données de membres aux autres membres est par exemple autorisée. Pour vous aider, les statuts-types de vitamine B contiennent désormais l’article 13 sur la protection des données, avec des exemples de formulations et des commentaires: vitamineb.ch/savoir/fiches-pratiques
Question
Lors d’une votation par écrit, peut-on exiger que les membres indiquent leurs prénom, nom et apposent leur signature?
Réponse
Vous devez garantir que seules les personnes autorisées participent à la votation ou à l’élection. Il est donc important de pouvoir identifier les votant-es. Lors du décompte des voix, il est possible de demander à une personne indépendante de se charger du décompte et les résultats sont saisis sans indiquer les noms. Pour garantir l’anonymat des voix, il faudrait joindre au courrier une carte de vote à renvoyer avec le bulletin de vote ou d’élection (comme lors de votations politiques). Je ne vous conseille toutefois cette solution est qu’en cas de votation très controversée.
Question
Qui est responsable de la protection des données au sein d’une association?
Réponse
Une association dispose de nombreuses données personnelles, notamment celles de ses membres. Elle doit les gérer avec soin. Le comité de l’association est responsable de leur gestion conforme à la loi sur la protection des données. Il est notamment responsable du fait que l’association dispose d’une déclaration de protection des données et qu’elle protège systématiquement les données des membres contre toute utilisation abusive.
Question
Quand est-ce qu’une association est autorisée à transmettre des données en interne?
Réponse
En général, il faut également dans ce cas, l’autorisation de chaque membre ou une information préalable sur le but de la transmission des données avec la possibilité de refus. La transmission appropriée de données de membres à d’autres membres peut être réglée dans les statuts. Cela concerne p. ex. l’information sur la transmission de listes contenant des données de membres à des associations faîtières ou la remarque que la liste des membres est mise à disposition de tous les membres dans la partie réservée aux membres du site Internet. Les membres peuvent révoquer à tout moment le consentement qu’ils ont donné.
L’assemblée générale ainsi que chacun de ses membres justifiant d’un intérêt légitime (par exemple pour déterminer si une requête doit être soumise à l’assemblée générale ou pour avoir accès à la liste des membres pour l’éventuelle convocation à une assemblée générale extraordinaire) ont un droit opposable sur la conduite de l’association. L’association a elle aussi un intérêt à préserver la confidentialité et doit respecter les conditions de protection des données, ce qui peut avoir comme conséquence que le membre n’a accès que partiellement ou pas du tout à l’information.
Les dispositions sur la protection des données s’appliquent également aux associations. Les données personnelles des membres (adresses et autres notes individuelles) peuvent être recueillies seulement si elles servent la poursuite du but de l’association. Elles ne peuvent être transmises à des tiers qu’avec le consentement préalable des membres concernés. Chaque membre possède par ailleurs un droit d’information sur l’utilisation de ses données personnelles par l’association.
Le droit d’auteur entre en vigueur automatiquement à la création de l’œuvre, p. ex. au moment où quelque chose est photographié, peint, rédigé ou composé. Il n’existe pas de registre. La protection est également garantie sans l’apposition du symbole ©. L’autrice ou l’auteur est la personne (physique) qui a créé l’œuvre («principe du créateur»). Pour être considérée comme une «œuvre» au sens de l’art. 2 de la LDA et bénéficier ainsi de la protection du droit d’auteur, l’œuvre doit: 1. être une création de l’esprit; 2. avoir un caractère individuel; 3. appartenir au domaine de la littérature, de l’art ou des programmes d’ordinateur (logiciels). Le site Internet d’une association peut également être protégé par le droit d’auteur (graphisme, code, textes, photos). La révision du droit d’auteur apporte un complément important à l’art. 2 al. 3bis: les productions photographiques sont considérées comme des œuvres même si elles sont dépourvues de caractère individuel. Cela signifie que depuis le 1er avril 2020, toutes les images sont protégées, même celles qui ne satisfont pas aux exigences d’une œuvre selon l’art. 2 al. 1 de la LDA. c.-à-d. les images de photographes amateurs!
Le droit à l’image permet à toute personne de décider si une image la représentant peut être publiée et si oui, où et sous quelles conditions elle peut être publiée en version imprimée ou en ligne. Le consentement de la personne représentée est donc nécessaire, p. ex. via une déclaration de renonciation au droit à l’image. D’où l’importance d’un règlement complémentaire relatif au contenu des images, et plus précisément au droit à l’image des personnes représentées, et de l’utilisation de ce matériel par l’association.
La déclaration de renonciation au droit à l’image est une cession écrite, généralement signée par la personne représentée sur l’image, qui autorise la/le photographe ou l’association à publier l’image en question.
Question
Sur notre site Internet, nous avons publié des photos que nous avons trouvées sur Google. Nous avons reçu un avertissement de la part d’un cabinet d’avocats en Allemagne. Devons-nous le prendre au sérieux?
Réponse
En raison de l’utilisation non autorisée d’images, les sites Internet suisses sont souvent accusés de violation présumée du droit d’auteur. Il résulte de nombreux avertissements suite à l’utilisation de ce type d’images sur des sites Internet suisses. Ils viennent notamment d’Allemagne où s’est mise en place une véritable «industrie de l’avertissement». Des cas typiques sont le «vol d’images» sur Google ou Wikipédia, les infractions touchant aux conditions de licence lors d’images «gratuites» ou «sans licence» ainsi que la publication sur Internet de présentations ou de brochures de l’association contenant des photos.
Il est souvent discutable si les images faisant l’objet d’un avertissement sont protégées par le droit d’auteur en Suisse. L’absence de protection en Suisse ne signifie toutefois pas qu’il n’est pas possible de recevoir des avertissements venant d’Allemagne. En cas de doute, un tribunal devrait trancher. C’est pourquoi il convient de vérifier minutieusement la façon de réagir correctement à un tel avertissement.
En réagissant de façon erronée, on risque d’aggraver sa situation. Dans (presque) tous les cas, placer ces avertissements sur la pile de papier à recycler n’est pas une réaction adéquate. Ces avertissements ne se laissent généralement pas régler par une lettre d’excuses adressée à l’avocat de la partie adverse et l’injurier ne constitue évidemment pas une meilleure option.
Recommandations de Me Martin Steiger en matière de réaction appropriée face à un avertissement.
Question
Notre association a désormais sa propre page Facebook. Pour rendre la page plus attrayante, nous désirons placer en ligne des photos de nos activités. Il arrive que certaines personnes y soient aisément reconnaissables. Faut-il leur demander leur autorisation? Les photos sur notre page Facebook ne sont visibles que par nos «amis».
Réponse
Les photos comptent parmi les données personnelles les plus sensibles et ne peuvent être publiées qu’avec l’accord des personnes concernées. Même s’il y est possible de limiter l’accès à certains contenus, Facebook reste un média public dont l’un des principaux attraits consiste à montrer toujours plus de contenu à toujours plus de monde. Une association a par ailleurs intérêt à avoir autant «d’amis» que possible.
C’est pourquoi je recommande de ne pas publier de photos sans l’accord des personnes représentées. La demande de consentement aux membres constitue par ailleurs l’occasion de les contacter.
En général, il est recommandé d’utiliser des prises de vue sur lesquelles les personnes ne sont reconnaissables que partiellement ou au milieu d’une foule. Le nom des personnes figurant sur les photos ne doit être mentionné nulle part. Les photos ne doivent pas porter atteinte à la personnalité, ni permettre de tirer des conclusions quant aux croyances religieuses, sympathies politiques, consommation de drogues ni montrer des actions criminelles, documenter le recours à l’aide sociale, etc.
Les images doivent par ailleurs être retirées immédiatement à la demande des personnes qui y sont représentées.
Il est conseillé de définir dans deux règlements distincts d’une part les droits d’utilisation de l’association liés au matériel soumis au droit d’auteur et, d’autre part, le droit à l’image des membres. L’élaboration de ce type de règlement est en général du ressort du comité, à condition que ceci soit prévu par les statuts. Un règlement relatif aux personnes représentées règle l’utilisation d’images sur lesquelles des membres de l’association sont visibles ainsi que l’utilisation de ce matériel par l’association.
Il est conseillé de définir dans deux règlements distincts d’une part les droits d’utilisation de l’association liés au matériel soumis au droit d’auteur et, d’autre part, le droit à l’image des membres. L’élaboration de ce type de règlement est en général du ressort du comité, à condition que ceci soit prévu par les statuts. Le règlement pour les photographes règle les droits d’utilisation, par l’association, du matériel protégé par le droit d’auteur et produit par les membres (p. ex. photos, clips vidéo, illustrations, etc.).
