RGPD et Cannabis Social Clubs : le guide complet de la protection des données

Un Cannabis Social Club traite des données personnelles sensibles : les quantités de cannabis consommées par chaque membre sont des données relatives à la santé au sens de l'article 9 du RGPD. Cela implique des obligations renforcées par rapport à une association ordinaire. Ce guide explique concrètement ce que votre club doit faire.

Pourquoi les données d'un CSC sont des données de santé

L'article 9 RGPD interdit en principe le traitement des données concernant la santé d'une personne. La consommation de cannabis est une donnée de santé — donc les quantités distribuées, la fréquence des visites et l'appartenance elle-même à un club de cannabis peuvent relever de cette catégorie. L'exception applicable est l'article 9, §2 d) : associations à but non lucratif ayant un lien avec la santé de leurs membres. Mais cette exception vient avec des conditions strictes.

Les 6 obligations RGPD pour votre CSC

1. Base légale documentée

Pour chaque traitement de données, vous devez identifier et documenter la base légale. Pour les données membres : article 6 §1 b) (exécution du contrat d'adhésion) combiné avec l'article 9 §2 d). Cette base légale doit figurer dans votre politique de confidentialité.

2. Registre des activités de traitement

L'article 30 RGPD impose la tenue d'un registre listant tous vos traitements de données : gestion des membres, journal de distribution, communications, comptabilité. Ce registre doit être disponible sur demande de la CNIL.

3. Information des membres

Chaque membre doit recevoir une notice d'information (article 13 RGPD) au moment de son adhésion, expliquant : quelles données sont collectées, pourquoi, sur quelle base légale, combien de temps elles sont conservées, et quels sont ses droits. La remise de cette notice doit être documentée — idéalement par signature au moment de l'adhésion.

4. Droits des membres à respecter

Chaque membre a le droit d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation (art. 18), de portabilité (art. 20) et d'opposition (art. 21). Votre système doit permettre de répondre à ces demandes dans un délai d'un mois — ce qui implique d'exporter et/ou de supprimer les données d'un membre rapidement.

5. Mesures de sécurité techniques

L'article 32 RGPD impose des mesures techniques appropriées : chiffrement des données, contrôle d'accès par rôle (tout le personnel ne doit pas voir toutes les données), sauvegardes régulières et politique de conservation avec suppression automatique à l'issue des délais légaux.

6. Contrat de sous-traitance avec votre logiciel

Si vous utilisez un logiciel tiers pour gérer vos données membres, ce prestataire est un sous-traitant au sens de l'article 28 RGPD. Vous devez conclure un contrat de traitement des données (DPA). Les prestataires sérieux le fournissent systématiquement.

THC Gestión et la conformité RGPD

THC Gestión intègre nativement les mécanismes requis par le RGPD : contrôle d'accès par rôle, stockage chiffré, fonction d'export des données membre pour les demandes d'accès, et fonction de suppression pour le droit à l'effacement. Un contrat de traitement des données est disponible pour tous les clients de l'UE.