RGPD et plateformes de diaspora : le guide de conformité

Qui est responsable du traitement, qui est sous-traitant ?

La distinction est au cœur du RGPD (articles 4.7 et 4.8). Pour un réseau alumni ou une diaspora qui utilise une plateforme SaaS :

• Responsable de traitement : l'association, l'école ou la structure qui décide pourquoi et comment les données de ses membres sont collectées et utilisées. C'est elle qui porte la responsabilité légale.
• Sous-traitant : l'éditeur de la plateforme SaaS (ex. Terrilink), qui traite les données pour le compte du responsable de traitement, sans décider des finalités.

Cette répartition doit être formalisée par un Data Processing Agreement (DPA), ou Accord de traitement des données. Toute plateforme sérieuse en fournit un ; en l'absence de DPA, le responsable de traitement est en défaut.

Hébergement : France, UE, États-Unis ?

Le RGPD n'interdit pas l'hébergement hors UE, mais l'encadre strictement :

• Hébergement France/UE : aucun transfert transfrontière, situation la plus simple. Recommandé pour les communautés à membres majoritairement européens.
• Hébergement USA : depuis l'invalidation du Privacy Shield (2020), un transfert de données personnelles UE vers US requiert des clauses contractuelles types (SCC) + des mesures supplémentaires selon l'analyse d'impact. Juridiquement complexe.
• Pays tiers sans décision d'adéquation : encore plus restrictif.

Pour une diaspora ou un réseau alumni, un hébergement France/UE est le choix le plus simple et le plus robuste. Voir Terrilink for Diaspora, hébergé en France.

Les 6 droits des personnes concernées

Chaque membre de votre diaspora ou réseau alumni dispose de droits RGPD que la plateforme doit permettre d'exercer :

• Droit d'accès : connaître les données détenues sur lui
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement (oubli) : demander la suppression
• Droit à la limitation : suspendre le traitement
• Droit à la portabilité : récupérer ses données dans un format structuré
• Droit d'opposition : s'opposer à certains traitements (prospection, profilage)

En pratique, la plateforme doit proposer un moyen simple d'exercer ces droits (email DPO, formulaire, section « Mes données » dans l'espace membre).

Consentement et base légale

Le traitement doit reposer sur l'une des six bases légales de l'article 6 RGPD. Pour une plateforme alumni ou diaspora, les bases typiques sont :

• Exécution d'un contrat : adhésion à l'association, cotisation (pas besoin de consentement supplémentaire)
• Intérêt légitime : communication avec les membres sur la vie de l'association
• Consentement : pour la géolocalisation sur carte publique, la newsletter marketing, le partage avec des tiers

Le consentement doit être libre, spécifique, éclairé et univoque. Une case pré-cochée n'est pas un consentement valable.

Notification de violation : 72 heures

En cas de violation de données (accès non autorisé, fuite, perte), le responsable de traitement doit notifier la CNIL dans les 72 heures (art. 33 RGPD), et informer les personnes concernées si le risque est élevé. Le sous-traitant (la plateforme) doit signaler toute violation au responsable de traitement sans délai.

Vérifiez dans le DPA de votre plateforme le délai d'alerte et les procédures.

Cas particulier : membres hors UE

Les diasporas ont souvent des membres installés hors de l'UE. Le RGPD continue de s'appliquer si le responsable de traitement (votre association) est établi dans l'UE, quel que soit le pays de résidence du membre. Un membre installé au Canada ou au Sénégal bénéficie des mêmes droits qu'un membre à Paris.

Checklist de conformité pour votre plateforme

La position de Terrilink

Terrilink est hébergé en France (UE), fournit un DPA standard à toute structure cliente, documente sa politique de confidentialité et permet à chaque membre d'exporter ou de supprimer ses données depuis son espace. La séparation responsable de traitement / sous-traitant est explicite dans l'article 8 des CGU/CGV.