PRÉAMBULE
La présente politique décrit les règles imposées au sein de l’association La Ferme Pour Tous (ci-après : « l’Association »). Sa formalisation traduit notre volonté d’adhérer aux exigences du référentiel de gouvernance établi par la commission nationale de l’informatique et des libertés (la CNIL).
Notre politique externe de protection de la vie privée et des données à caractère personnel s’impose à chaque membre de l’Association amené à traiter ce type de données ainsi qu’à toute personne physique ou morale externe intervenant pour notre compte dans la chaîne de traitement.
La présente politique vous informe au sujet du mode de collecte et de traitement de vos données à caractère personnel ainsi que sur la manière de définir et de garantir les rôles et responsabilités de chacun des acteurs impliqués dans leur traitement.
FONDAMENTAUX
L’ensemble des définitions est fourni à l’article 4 du RGPD, les principales sont citées ci-dessous afin de faciliter la compréhension du présent document.
Données à caractère personnel
«Données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «Personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
C’est à dire que toute donnée permettant d’identifier une personne physique, au besoin en recourant à des informations complémentaires obtenues auprès d’un tiers est une donnée personnelle.
Traitement
«Traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
C’est-à-dire que toute manipulation de données personnelles est un traitement, y compris lorsqu’il s’agit de documents papier.
Fichier
«Fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
Un fichier de tableur, un répertoire papier ou bien sûr une base de données contenant les coordonnées d’individus, par exemple, constituent des fichiers de données à caractère personnel au sens du règlement.
Personne concernée
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.
Il s’agit obligatoirement d’une personne physique dont les données sont collectées et traitées. Les données propres aux personnes morales (société, entreprise, collectivité) ne rentrent pas dans le champ d’application du RGPD et par conséquent ne sont pas visées par la présente politique de gestion des données à caractère personnel.
PRINCIPES DE PROTECTION DE LA VIE PRIVÉE
Finalité du traitement
Nos finalités sont :
• Déterminées : vos données sont recueillies pour un usage précis et bien défini ;
• Légitimes : les finalités sont en adéquation avec les normes et réglementation. Nous n’allons jamais à l’encontre de vos droits ou de vos libertés fondamentales ;
• Explicites : les finalités sont énoncées de manière compréhensible pour les personnes dont les données vont être traitées.
L’Association recueille des données à caractère personnel :
Pour la finalité suivantes, nous demandons votre consentement :
– Demande d’information, de contact ;
– Demande d’adhésion ;
– Inscription à la newsletter
Pour les finalités suivantes, vos données sont nécessaires aux fins des intérêts légitimes :
– Gestion des relations donateurs ;
– Gestion des membres.
Pour la finalité suivante, vos données sont traitées dans le cadre d’une obligation légale :
– Emission des reçus fiscaux
Pertinence des données
La finalité définie permet de déterminer la pertinence des données que nous allons collecter. Seules les données adéquates, pertinentes et strictement nécessaires pour atteindre la finalité seront collectées et traitées. Nous veillons à mettre à jour les données tout au long des traitements afin de maintenir leur validité.
Dans le cadre de ces traitements, vos données collectées sont les suivantes : votre nom, prénom, adresse, code postal, numéro de téléphone, courriel.
Le caractère obligatoire ou facultatif des données vous est signalé lors de la collecte via un formulaire par un astérisque.
L’Association ne collecte pas vos données lors de votre navigation sur notre site internet.
Conservation limitée des données
La durée de conservation des données n’excède pas la durée nécessaire aux finalités que nous vous exposons et nous vous informons de la durée pendant laquelle nous conserverons vos données.
– Demande d’information, de contact: 1 an à compter de votre demande puis suppression ;
– Demande d’adhésion: durant l’examen de la demande puis suppression ;
– Pour l’inscription à la newsletter le courriel est conservé tant que la personne concernée ne se désinscrit pas (via le lien de désinscription intégré aux newsletters) ;
– Gestion des relations donateurs: 6 ans après l’année du dernier don puis suppression ;
– Gestion des membres: 6 ans après l’année de la dernière adhésion puis suppression.
Accès restreint aux données
Seuls les destinataires dûment habilités peuvent accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à leurs missions. Des règles d’accès et de confidentialité strictes sont applicables aux données personnelles traitées.
Les droits d’accès sont accordés en adéquation avec la fonction de l’utilisateur et sont mis à jour en cas d’évolution ou de changement de fonction.
La sécurité
L’Association détermine et met en œuvre les moyens nécessaires à la protection des traitements de données à caractère personnel pour éviter les intrusions et prévenir ainsi toute perte de confidentialité, modification non désirée ou destruction de données. Nous recourons pour ce faire à des mesures d’ordre logique, physique ou organisationnel.
Notre hébergeur (OVH), notre administrateur du site (WordPress), notre partenaire pour la collecte de dons (HelloAsso), notre partenaire pour la gestion des relations donateurs et des membres (OHME) et celui pour la gestion des campagnes de communication (Brevo) ont mis en place différentes mesures de sécurité techniques pour assurer la sécurité de vos données personnelles.
Respect des droits des personnes
Suivant cette politique, chaque formulaire de collecte de données informe la personne auprès de laquelle sont recueillies des données à caractère personnel :
• de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
• de la finalité poursuivie par le traitement auquel les données sont destinées ;
• du caractère obligatoire ou facultatif de ses réponses ;
• des conséquences éventuelles, à son égard, d’un défaut de réponse ;
• des destinataires ou catégories de destinataires des données ;
• des droits des personnes à l’égard des traitements des données à caractère personnel ;
• de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.
En vertu de la législation applicable en matière de protection des données personnelles, la personne concernée dispose de plusieurs droits – ci-après listés – lui permettant d’assurer la maîtrise du traitement de données personnelles la concernant :
• Le droit d’accès : Vous pouvez demander d’obtenir la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées par nos services. Si elles le sont, vous pouvez en demander la copie.
• Le droit de rectification : vous pouvez demander la modification de vos informations inexactes, incomplètes, équivoques, périmées.
• Le droit à l’effacement : Vous pouvez demander effacement de vos données personnelles lorsque l’un des motifs suivants s’applique :
o Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
o Vous retirez le consentement sur lequel est fondé le traitement ;
o Vous vous opposez au traitement de vos données personnelles pour motif légitime ;
o Le traitement de données personnelles n’est pas conforme aux dispositions de la législation et de la réglementation applicable.
Néanmoins, l’exercice de ce droit ne sera pas possible lorsque la conservation de vos données personnelles est nécessaire au regard de la législation ou de la réglementation et notamment par exemple pour la constatation, l’exercice ou la défense de droits en justice.
• Le droit d’opposition : Vous avez le droit de vous opposer à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable du traitement.
• Le droit à la limitation du traitement : vous pouvez demander la suspension d’un traitement vous concernant le temps d’une vérification (exemple : pour l’exercice du droit d’opposition, l’Association doit vérifier si des motifs légitimes justifieraient la poursuite du traitement).
• Le droit à la portabilité : c’est le droit d’obtenir que ses données personnelles soient transmises, dans un format structuré, couramment utilisé et lisible pour l’ordinateur, à nous même ou à un autre responsable de traitement, lorsque cela est techniquement possible.
• Le droit de définir des directives relatives au sort de nos données après son décès : sans directive de votre part, après un certain délai d’inactivité, l’Association supprime vos données. Néanmoins, vos héritiers peuvent après votre décès exercer les droits sur vos données.
• Le droit d’introduire une réclamation auprès de la CNIL : vous pouvez introduire une réclamation si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation à la règlementation. Si vous souhaitez avoir des informations supplémentaires sur vos droits, et plus particulièrement sur ce dernier droit, dirigez-vous sur le site web de la Commission Nationale de l’Informatique et des Libertés: 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07 – téléphone : 01 53 73 22 22.
Contact pour l’exercice de vos droits
Pour toute question relative à la présente charte ou pour l’exercice de vos droits, vous pouvez nous envoyer conformément à la réglementation, une demande :
Soit par courrier à l’adresse suivante :
Association La Ferme pour Tous – Délégué à la Protection des Données – 1 Bis rue des Capucins – 92190 Meudon
Soit par courriel à : dpd@lafermepourtous.org
Les transferts de données
Vos données personnelles peuvent être divulguées au sein de l’Association aux fins précisées au chapitre Finalité du traitement.
L’ accès aux données à caractère personnel est limité aux services de l’Association et à ses sous-traitants avec lesquels elles sont liées contractuellement afin de mener à bien l’objectif du traitement. Elles ne font l’objet d’aucune communication à des tiers, excepté dans les cas suivants :
– Lorsque vous avez donné votre accord préalable pour le partage et/ou la divulgation ;
– Lorsque que cela s’avère une obligation légale ou encore aux fins de préserver ses droits et intérêts.
L’Association ne transmet pas vos données personnelles à des annonceurs tiers à des fins de marketing.
Si l’Association apprenait qu’un tiers auquel elles ont communiqué des données personnelles aux fins énoncées au chapitre Finalité du traitement, utilise ou divulgue des données personnelles sans respecter la présente politique ou en violation de la législation applicable, elles prendraient toute mesure raisonnable pour prévenir ou mettre fin à une telle utilisation ou divulgation.
Vos données à caractère personnel ne sont pas transférées, dans le cadre des finalités poursuivies, vers un pays situé hors de l’Union Européenne.
En cas d’accès au site www.lafermepourtous.org depuis un pays non membre de l’Union européenne dont la législation relative à la collecte, à l’utilisation et au transfert de données diffère de celles de l’Union européenne, nous attirons votre attention sur le fait qu’en continuant d’utiliser le site www.lafermepourtous.org, qui est régi par le droit français et la présente charte, vous transférez vos données personnelles vers l’Union européenne et consentez à ce transfert.
Notre site peut contenir des liens vers d’autres sites que nous ne possédons pas ni n’exploitons. Nous ne les contrôlons donc pas et nous ne sommes pas responsables de leurs contenus, produits, services ou politiques et pratiques de confidentialité. En conséquence, l’Association décline toute responsabilité concernant le traitement par ces tiers de vos données personnelles. Il est de votre responsabilité de vous renseigner sur les politiques de protection des données personnelles de ces tiers. Néanmoins l’Association s’attache à vous proposer des partenaires de confiance.
LES ACTEURS DE LA PROTECTION DES DONNÉES
Le délégué à la protection des données (DPD)
L’Association a désigné un Délégué à la Protection des Données (DPD), rattaché au responsable de traitement. Les missions du DPD consistent à informer et conseiller le mandataire légal, assurer la conformité et la sécurité des traitements de données à caractère personnel et à être le point de contact des personnes concernées et de l’autorité de contrôle.
Le Responsable de traitement
Responsable de tout manquement au Règlement Général sur la Protection des Données qui pourrait être constaté au sein l’Association sans s’exonérer d’aucune responsabilité civile, administrative ou pénale sur ce plan, le mandataire légal de l’Association est garant du respect des politiques de protection interne et externe publiées.
En fournissant les moyens nécessaires, il veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL.
Les Sous-traitants
Les sous-traitants sont des prestataires externes auxquels l’association peut faire appel pour recueillir, utiliser et traiter de quelque manière que ce soit, les données personnelles pour notre compte.
Les sous-traitants sont contractuellement tenus d’appliquer notre politique de protection des données ainsi que tout autre mesure de mise en conformité déployée par l’Association.
MISE À JOUR DE LA POLITIQUE DE PROTECTION DES DONNÉES
La présente politique peut être mise à jour périodiquement et sans préavis, notamment en cas de mise en œuvre d’un nouveau traitement de données personnelles. Toute modification entre en vigueur immédiatement à partir de la publication de la nouvelle charte sur le site www.lafermepourtous.org. Toutefois, nous utilisons vos données personnelles conformément à la politique en vigueur au moment où vous nous soumettez lesdites données. Nous vous avertirons de tout changement important de notre politique et solliciterons votre consentement si cela est nécessaire et impacte la finalité de la collecte de vos données personnelles. Afin de toujours rester conforme à la règlementation en vigueur relative à la protection des données personnelles, la présente politique est revue annuellement.
LOI ET JURIDICTION APPLICABLE
La présente politique est régie par la loi française et tout litige à son sujet relèvera de la compétence exclusive des tribunaux français.
Dernière mise à jour : 28 octobre 2022