Règlement de la SRAMA concernant la protection de la vie privée
Application du « Règlement général de la protection des données (RGPD) »
Texte coordonné après modifications aux articles 3.a.; 4.a., 4.b., 4.c.; 6.d. et 6.g approuvées par l’Assemblée générale du 18 mars 2023
La SRAMA se doit de respecter la législation sur la protection de la vie privée selon le RGPD européen, en vigueur à la date du 25 mai 2018.
L’application de ce règlement impose à la SRAMA :
– un devoir d’information de nos membres quant à la collecte, le traitement et son but, la conservation et la sécurité des données personnelles, et au sujet des droits des membres concernant leurs propres données ;
– la prise de mesures spéciales, imposées par le RGPD.
Ces différents aspects sont traités sous la forme de questions-réponses dans les paragraphes suivants.
1. A quel moment des données personnelles sont-elles collectées et quelles sont-elles?
a. Lors de la demande d’adhésion d’un nouveau membre : données obligatoires : nom de famille, prénom, adresse postale, type de membre (junior, membre en Belgique ou à l’étranger) régime linguistique : F ou N ; données non-obligatoires : adresse e-mail, numéro de téléphone fixe ou GSM.
b. Lors de l’inscription à une activité : nom et prénom du membre ; éventuellement, nom d’un accompagnant ; en outre, pour avoir accès à certains sites d’activités : numéro du registre national, marque de voiture et numéro de plaque d’immatriculation.
c. Lors de paiements effectués par un membre : les renseignements repris sur l’extrait de compte de la banque de la SRAMA : nom, code de la banque et numéro de compte du membre qui paie, montant payé.
2. Quels sont les traitements effectués et dans quel but ?
a. Les données collectées lors de l’adhésion d’un membre sont enregistrées dans le fichier général des membres, établi par le secrétariat de la SRAMA. Ce fichier est tenu à jour afin de déterminer les membres en ordre de cotisation. Il permet la création d’étiquettes ou de listes d’adresses pour l’envoi des cartes de membre annuelles ou de rappels de cotisations non payées et, éventuellement, l’envoi par la poste ou par e-mail, de toute autre communication relative à l’administration ou l’organisation d’activités de la SRAMA ou du War Heritage Institute (WHI). Lors de l’envoi d’un e-mail collectif par la SRAMA, les adresses e-mail des membres sont mises en Cci. En vue de l’envoi par la poste de nos revues périodiques, des listes d’adresses postales de nos membres sont transmises par voie électronique à l’imprimeur de ces revues. Le fichier général des membres permet aussi l’établissement de listes statistiques globales, donnant l’évolution du nombre de membres par année.
Conformément à la loi relative aux ASBL, la SRAMA doit respecter la législation concernant les assemblées générales et les conseils d’administration ; ainsi, les noms et prénoms des administrateurs et leurs numéros de registre national sont transmis au greffe chaque année et sont publiés dans le Moniteur belge.
b. Les données collectées lors de l’inscription à une activité permettent l’établissement de listes de présences confiées aux organisateurs de l’activité, ainsi que, si nécessaire, aux services de sécurité des sites où l’activité a lieu pour donner accès aux personnes inscrites.
c. Les données figurant sur les extraits de compte lors de paiements par les membres sont traitées à des fins comptables :
– pour la vérification du paiement et /ou de l’inscription à une activité,
– pour l’établissement des données comptables relatives à une activité.
Les données bancaires (Numéro de compte et BIC) ne sont enregistrées ni dans le fichier général des membres, ni dans tout autre fichier.
3. Comment la SRAMA conserve-t-elle les données personnelles ?
a. Le fichier général des membres de la SRAMA est un fichier informatique qui se trouve sur le disque dur de deux PC au sein du secrétariat de la SRAMA et d’un PC au domicile du gestionnaire des membres. Il existe deux disques durs externes amovibles pour l’exécution de back-up de ce fichier. Il s’agit d’un fichier permanent dont les données personnelles d’un membre sont archivées lorsque ce membre donne sa démission ou, comme le prévoit l’article 8 de nos statuts, s’il n’a pas payé sa cotisation avant la fin du premier semestre de l’année en cours. Les listes de membres, clôturées au 31 décembre d’une année, sont archivées sur les mêmes disques durs et conservées 10 ans avant d’être effacées.
b. Les listes de présences à une activité sont constituées sur un PC du secrétariat de la SRAMA, selon un tableau EXCEL, au fur et à mesure des inscriptions. Ces listes sont conservées jusqu’à la fin de l’année suivante et ensuite effacées.
c. Les extraits de compte des paiements effectués par les membres sont conservés au secrétariat de la SRAMA dans les armoires fermées à clef, pour être utilisés à des fins de comptabilité et de vérification des comptes. Ces documents sont conservés pendant 10 ans avant d’être détruits.
d. En aucun cas, la SRAMA ne communique les données d’un de ses membres à son insu ou sans en avoir reçu l’autorisation du membre concerné.
4. Comment la SRAMA peut-elle garantir la sécurité de conservation des données personnelles ?
a. En ce qui concerne le fichier général des membres, seul le secrétaire gestionnaire des membres a le droit de modifier ce fichier. Il a accès aux trois PC qui contiennent ce fichier avec accès au fichier par un mot de passe unique. Cependant, en cas d’absence prolongée du secrétaire gestionnaire des membres, l’autre secrétaire permanent est autorisé à apporter des modifications à ce fichier (en mettant le gestionnaire principal au courant des modifications dès son retour).
b. Les fichiers EXCEL de présences à une activité se trouvent sur le PC du secrétaire permanent qui enregistre les présences ; la modification de ces fichiers n’est permise qu’aux deux secrétaires permanents. Les fichiers de présences à une activité peuvent être transmis sous forme numérique ou imprimée aux organisateurs de cette activité.
c. Seuls les secrétaires permanents, les administrateurs de la SRAMA ou des volontaires du secrétariat dans le cadre d’activités prévues par le conseil d’administration, ainsi que le délégué à la protection des données (voir paragraphe 6.g) ont un droit de consultation (sans pouvoir de modifications), du fichier général des membres et des fichiers de présence à une activité dont les accès sont protégés par un mot de passe. Cependant, comme le prévoit l’article 9:3 §1 du nouveau CSA, tous les membres ont le droit de venir consulter, sans pouvoir de modifications, le registre des membres au siège de l’association, c’est-à-dire au secrétariat de la SRAMA. Pour ce faire, ils doivent par écrit demander un rendez-vous avec le secrétaire gestionnaire du fichier des membres pour venir consulter le registre aux jours et heures d’ouverture du secrétariat. En aucun cas, ce registre ne peut être déplacé sous quelque forme que ce soit. Le secrétaire permanent fera mention de la visite de ce membre, avec son nom et prénom et date-heure de cette consultation, dans le registre ad hoc (voir § 6.d).
d. Les adresses postales de membres peuvent être connues des volontaires du secrétariat SRAMA dans le cadre de l’expédition du courrier vers ces membres ou de l’envoi des revues périodiques. Ces volontaires sont tenus au secret professionnel et ne peuvent divulguer ces adresses.
5. Quelles sont les droits des membres concernant leurs données personnelles ?
a. Les membres ont le droit en s’adressant au secrétariat de la SRAMA de :
– connaître, endéans les 30 jours après la demande et sans frais pour eux, les données les concernant reprises dans le fichier général des membres ou sur une liste d’inscription à une activité ;
– faire modifier, compléter ou supprimer certaines données les concernant dans le fichier des membres (changement d’adresse, de numéro de téléphone, etc.) ;
– donner l’autorisation de communiquer à un autre membre de la SRAMA certaines données personnelles reprises dans le fichier des membres.
b. Les membres qui trouvent que leurs données n’ont pas été correctement traitées peuvent porter plainte auprès de la Commission de la protection de la vie privée.
6. Quelles sont les mesures spéciales, imposées par le RGPD, prises par la SRAMA?
a. Etablissement d’un règlement interne relatif à la protection des données personnelles (en l’occurrence, ce texte-ci).
b. Communication à tous les membres du texte de ce règlement par le site web de la SRAMA, par e-mail ou par la poste et au moyen du trimestriel MBInfo, avec une demande explicite d’approbation de ce règlement et de consentement pour le traitement des données personnelles, par les membres actuels.
c. Demande explicite d’approbation de ce règlement et de consentement pour le traitement des données personnelles, par tout nouveau membre lors de sa demande d’adhésion, que cela soit par voie postale ou par voie électronique.
d. Tenue à jour d’un « Registre de protection des données personnelles », sous la forme d’un fichier EXCEL énumérant, par date, les différentes actions prises ou incidents constatés dans le cadre du RGPD. Ce fichier sera tenu par le secrétaire général ou son adjoint, aidé par les secrétaires permanents (voir § 4 c).
e. La mise au point au sein du secrétariat SRAMA de mesures permettant autant que possible d’augmenter la sécurisation des données personnelles. Cela va de pair avec le développement d’une politique interne de formation et d’information des différents collaborateurs.
f. Information, par le secrétariat SRAMA, des membres concernés ainsi que de la Commission de la protection de la vie privée, lorsqu’il a été constaté que des données à caractère personnel ont été piratées, volées ou divulguées en dehors des mesures et traitements prévues dans ce règlement.
g. Désignation d’un « Délégué à la protection des données (Data Protection Officer, DPO)», chargé de vérifier si ce règlement-ci est correctement appliqué au sein de la SRAMA. Le Conseil d’Administration de la SRAMA a désigné le Baron Jean ROTSART de HERTAING pour l’exécution de cette tâche à partir du 18 mars 2023.