Bonjour,
Je suis longuement intéressé au RGPD en automne dernier et je vous propose mon interprétation pour tenter de répondre partiellement à vos questions. Si ce projet doit être une sources de revenues pour vous, il serait souhaitable de consulter un avocat spécialisé.
Question 1: je pense qu'il faut revenir à la définition proposé par le RGPD dans l'Article 4. Il n'est question que de personne physique. Constituer un annuaire d'entités morales ne me semble pas poser de problème particulier. Informer les "membres" de leur inscription dans l'annuaire est alors la moindre des courtoisies.(et permet à chacun, le cas échéant de signifier son refus)
Question 2: il s'agit là effectivement de personnes physiques, vous devez obtenir leur consentement formel. Je ne connais pas la structure juridique de votre club (je n'ai pas trouvé les mentions légales sur votre site, ce n'est pas bien !) mais si les membres paient une cotisation vous pouvez demander leur accord lors du renouvellement.
Question 3: Je ne connais pas cette notion d'association de presse mais il me semble que même les journalistes ont des contraintes et doivent respecter certains consentement (ne serait ce que le droit à l'image ou de faire figurer comme sur tout site professionnel des mentions légales nommant un directeur de la publication et un moyen de le contacter)
A propos de votre conclusion, je ne partage pas votre inquiétude. D'abord le rôle des GAFA n'est pas d'informé (et heureusement). Avec le RGPD nous allons peut être (j'ai le droit de rêver) avoir la possibilité d'avoir une meilleure maitrise des données personnelles tant au niveaux des entreprises que des individus.
Au niveau des entreprises, cela va les amener à se poser les bonnes questions sur leur collectes et traitements des données personnelles. ce sera, je le souhaite, la fin des "entrepreneurs de web 2.0" qui considèrent que tous ce qui est en ligne est public et libre de droit. Ce sont au mieux des pilleurs du travail des autres au pire des escrocs. Cela va aussi les sensibiliser sur les impacts indirects de la cyber sécurité et améliorer (c'est la volonté du législateur) les relations de confiance en ligne.
Au niveau de l'individu, c'est plus fort encore. Aujourd'hui, plus personne ne sait qui détient des données sur lui ou pas! Qui sait ce que sont devenues ses données personnelles liés à ses comptes Orkut, MultiMania, M6net,.... Quand on se désabonne d'une publication reçue de façon "spontanée", l'annonceur comme le routeur du mail conservent nos données personnelles à notre corps défendant sans limitation de temps avec simplement un flag "unsubscribed". Plus de la moitié des mails que nous recevons chaque jour, ne sont pas solliciter, sont sans valeur de contenu pour nous, viennent d'expéditeurs inconnues.... cela induit une perte de temps qui empêche souvent de répondre, par exemple, à vos demandes de consentement. Je ne vais pas vous exposer l'impact économique et écologique du spam....
Ma conclusion est que le RGPD cherche à mettre les différentes parties prenantes face à leurs responsabilités dans un monde où il est devenu impossible d'avoir la maitrise de ses propres données personnelles face à l'agressivité entrepreneuriale de certains "startupeurs" qui ne respectent rien. J'ai entendu une pépinière de startups prétendre que leur statut leur permettait de transgresser les lois; l'expression "il y a des délits tous les jours, on ne peut s'arrêter à cela" résonne encore dans ma tête...
Jeter la pierre aux seules GAFA, c'est se voiler la face et j'estime que la réussite du RGPD va dépendre de la capacité de l'organisme de contrôle à sanctionner les abus sans se limiter aux gros acteurs du web national.