Qui est concerné ?
Toute association qui :
- Tient un registre de membres (nom, adresse, email, cotisations)
- Organise des événements avec inscription
- Utilise un site web avec formulaire de contact ou newsletter
- Envoie des emails à ses membres
En pratique : toutes les associations actives.
Obligation 1 — Désigner un responsable du traitement
L'association doit désigner formellement un responsable du traitement des données. En pratique, c'est généralement le/la président/e ou le/la secrétaire. Cette désignation peut figurer dans le règlement interne ou le procès-verbal de l'assemblée générale.
Obligation 2 — Établir un registre des activités de traitement
L'art. 12 LPD impose aux organisations de tenir un registre listant tous leurs traitements de données. Pour une petite association, ce registre peut être simple :
| Traitement | Données | Finalité | Durée | Destinataires |
|---|---|---|---|---|
| Gestion des membres | Nom, email, cotisation | Administration | 10 ans | Comité |
| Newsletter | Communication | Jusqu'au désabonnement | Prestataire email | |
| Site web | IP, cookies | Statistiques | 13 mois | Hébergeur |
Obligation 3 — Informer les membres
Lors de l'adhésion, les membres doivent être informés :
- Des données collectées et de leur finalité
- De la durée de conservation
- De leurs droits (accès, rectification, effacement)
Un formulaire d'adhésion conforme LPD inclut une section protection des données avec une case de consentement explicite.
Obligation 4 — Respecter les droits des membres
Tout membre peut à tout moment demander :
- L'accès à ses données (délai de réponse : 30 jours)
- La rectification de données inexactes
- L'effacement de ses données (dans les limites légales)
- La portabilité de ses données
L'association doit être en mesure de répondre à ces demandes.
Obligation 5 — Notifier les violations de données
En cas de violation de la sécurité des données (piratage, perte d'un ordinateur contenant des données, etc.) présentant un risque élevé, l'association doit notifier le Préposé fédéral à la protection des données (PFPDT) dans les meilleurs délais.
Ce qui n'est pas obligatoire pour une petite association
- Désigner un délégué à la protection des données (DPD) — obligatoire seulement pour les organisations qui traitent massivement des données sensibles
- Réaliser une analyse d'impact (AIPD) — seulement pour les traitements à risque élevé
Ressources officielles
- PFPDT : www.edoeb.admin.ch
- Guide LPD pour les PME et associations : disponible sur le site du PFPDT
- Registre IDE : www.uid.admin.ch
Checklist association
| Obligation | Statut à vérifier |
|---|---|
| Responsable du traitement désigné | ☐ |
| Registre des activités de traitement établi | ☐ |
| Formulaire d'adhésion conforme LPD | ☐ |
| Site web conforme (mentions légales, politique de confidentialité) | ☐ |
| Procédure de réponse aux droits des membres | ☐ |
| Procédure de notification des violations | ☐ |