RGPD et données d’assemblée : ce que chaque ancien doit savoir

Chaque proclamateur fait confiance à l’assemblée avec des informations sensibles — son nom, numéro de téléphone, date de baptême, heures de service. Où se trouvent ces données aujourd’hui ? Pour la plupart des assemblées, la réponse implique des groupes WhatsApp, des ordinateurs personnels et des Google Sheets partagés sans accord de traitement des données. Le RGPD est en vigueur depuis 2018, et cet article vous aidera à prendre soin de cette confiance comme elle le mérite.

Qu’est-ce qui constitue une donnée personnelle dans une assemblée

Au sens du RGPD, une donnée personnelle est toute information identifiant une personne vivante. Pour une assemblée : nom et téléphone du proclamateur, date de baptême, heures de service mensuelles, statut de pionnier, adresse sur une carte de territoire.

Certaines informations relèvent des « catégories particulières » — l’article 9 cite les convictions religieuses. Cela signifie un niveau de soin plus élevé, une base juridique explicite et un accès restreint.

Qui est responsable

L’assemblée est le responsable du traitement. Un logiciel ou hébergeur est un sous-traitant. L’article 28 du RGPD exige un accord de traitement des données (DPA) écrit avant tout traitement. Sans cela, c’est une lacune de conformité.

Pour les déploiements auto-hébergés, l’assemblée est à la fois responsable et sous-traitant. La configuration technique fait partie de la responsabilité de conformité.

Les risques d’Excel, WhatsApp et Google Sheets

WhatsApp appartient à Meta et achemine les données via des serveurs américains. Aucun DPA au niveau de l’assemblée n’est disponible. Chaque nom de proclamateur partagé dans un groupe WhatsApp est traité selon les conditions standard de Meta.

Google Sheets nécessite un compte Workspace avec un DPA actif. La plupart des assemblées utilisant un compte gratuit n’ont pas un tel accord. Un fichier Excel local est défendable, mais si le portable est perdu sans chiffrement, la base de données est exposée.

Ce que le RGPD exige réellement

L’article 9(2)(d) autorise le traitement par un organisme religieux « dans le cadre de ses activités légitimes » à condition que les données concernent exclusivement des membres. C’est une base juridique praticable — mais elle ne couvre pas automatiquement le partage avec des plateformes tierces.

La minimisation des données signifie ne conserver que le nécessaire. Les limites de conservation signifient que les données inactives ne doivent pas être conservées indéfiniment. Chaque outil doit avoir un DPA en place.

Comment combler les lacunes

Commencez par un audit : listez chaque outil contenant des données de proclamateurs. Pour chacun : y a-t-il un DPA ? Les données sont-elles limitées au nécessaire ? L’hébergement géré Unitae inclut un DPA sans frais supplémentaires, avec des données hébergées en France.

Documentez votre base juridique. Une note interne indiquant le traitement en vertu de l’article 9(2)(d) est suffisante. Désignez un ancien comme contact informel pour les données.

Les bons outils rendent la conformité naturelle

La conformité RGPD n’est pas bureaucratique — c’est une expression pratique du respect pour vos membres. Les proclamateurs font confiance à l’assemblée avec des informations sensibles. Ils méritent de savoir qu’elles sont traitées avec soin et non partagées avec des plateformes qui en tirent profit. Quand les données vivent dans un système avec un DPA en place, des contrôles d’accès adaptés et une politique de conservation claire, l’assemblée peut se concentrer sur ce qui compte vraiment.