La réponse est oui.
Normalement, pour une association le travail à faire est simple. L’association dispose forcément d’un fichier des adhérents, il faut fixer le cadre d’utilisation de ce fichier et le temps de stockage des données puis recueillir les consentements éclairés et explicites des membres et éventuellement des tiers (on veillera à bien les conserver !).
Il pourra être plus compliqué de mieux protéger les données par rapport à ce qui pouvait être fait.
À noter que lorsque les associations travaillent sur des données sensibles (avec des mineurs en particulier), l’application du RGPD est plus impactant.
Article 2 : Champ d’application matériel
1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué:
|
a) |
dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; |
|
b) |
par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne; |
|
c) |
par une personne physique dans le cadre d’une activité strictement personnelle ou domestique; |
|
d) |
par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. |
3. Le règlement (CE) no 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.
4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.