Article 91 du RGPD : Règles existantes des églises et associations religieuses

L’Article 91 du RGPD reconnaît aux églises et associations religieuses la possibilité de conserver leurs propres règles internes de protection des données, à condition qu’elles soient conformes au RGPD et qu’elles soient appliquées systématiquement.

L’Article 91 du RGPD expliqué

Plus précisément :

Les églises et organismes religieux peuvent continuer à appliquer leurs règles internes de traitement des données, si celles-ci existaient avant mai 2018 ;
Ces règles doivent être compatibles avec le RGPD, notamment en termes de droits des personnes, de sécurité et de gouvernance ;
Chaque autorité religieuse peut désigner sa propre autorité de contrôle interne, à condition qu’elle respecte les exigences du RGPD en matière d’indépendance et d’efficacité.

Pourquoi cet article est-il important pour votre conformité RGPD ?

Il permet une reconnaissance du droit canonique ou des règles religieuses préexistantes, tout en assurant un alignement avec le RGPD. Les organisations concernées doivent donc faire coexister leurs pratiques historiques avec les obligations modernes de conformité.

Comment se mettre en conformité avec l’Article 91 du RGPD ?

Vérifiez si votre organisation relève d’un cadre religieux reconnu avant 2018 ;
Documentez vos règles internes de protection des données personnelles ;
Mettez en place une autorité de contrôle autonome et indépendante, ou collaborez avec la CNIL si besoin ;
Formez les responsables de traitement aux obligations issues du RGPD.

Exemples d’application de l’Article 91 du RGPD

Une Église catholique applique ses règles de confidentialité dans le traitement des registres paroissiaux ;
Une communauté religieuse conserve un fichier de membres avec des restrictions d’accès très strictes ;
Un diocèse met en place une autorité de contrôle ecclésiastique pour superviser les traitements locaux.