RGPD et association : guide pratique

Votre association gère un fichier d’adhérents, une liste de bénévoles, un fichier de donateurs ? Alors le RGPD vous concerne — quelle que soit la taille de votre structure. La CNIL a d’ailleurs publié un guide spécifique pour les associations, signe que le sujet est pris au sérieux. Voici ce qu’il faut concrètement mettre en place.

Pourquoi les associations sont concernées par le RGPD

Une idée reçue tenace veut que les associations loi 1901, parce qu’elles n’ont pas de but lucratif, échappent au RGPD. C’est faux. Le RGPD s’applique à tout organisme — public ou privé, commercial ou non — qui traite des données personnelles de personnes situées dans l’Union européenne (Art. 2 et Art. 3 du RGPD).

Or, toute association traite des données personnelles : noms, adresses, emails, numéros de téléphone de ses membres, bénévoles, donateurs, participants à des événements. Même une petite association de quartier avec 30 adhérents est concernée.

Dans mon expérience de conseil, les associations sont souvent les structures les moins préparées à la conformité RGPD — non par mauvaise volonté, mais parce qu’elles manquent de ressources dédiées. Ce guide vise justement à rendre la démarche accessible.

Les données traitées par une association

Avant de parler d’obligations, il est utile de lister les traitements de données que vous réalisez probablement déjà :

Fichier des adhérents — Nom, prénom, adresse, email, téléphone, date d’adhésion, cotisation payée. C’est le traitement le plus courant et le plus évident.

Fichier des bénévoles — Coordonnées, disponibilités, compétences, parfois des données plus sensibles (permis de conduire, certificat médical pour certaines activités).

Fichier des donateurs — Identité, coordonnées, montants et dates de dons, informations bancaires pour les prélèvements automatiques, reçus fiscaux.

Communication — Listes de diffusion pour la newsletter, photos d’événements publiées sur le site web ou les réseaux sociaux, annuaire des membres.

Comptabilité — Données financières liées aux cotisations, aux subventions, aux factures de prestataires.

Certaines associations traitent également des données sensibles au sens de l’Art. 9 du RGPD : données de santé (associations sportives exigeant un certificat médical), opinions politiques (partis et associations politiques), convictions religieuses (associations cultuelles), ou données relatives à l’origine ethnique (associations communautaires). Ces traitements nécessitent des précautions renforcées.

Choisir la bonne base légale

Chaque traitement de données doit reposer sur l’une des six bases légales prévues à l’Art. 6(1) du RGPD. Pour une association, les bases les plus courantes sont :

L’exécution du contrat (Art. 6(1)(b)) — Lorsqu’un membre adhère à votre association, il conclut un contrat (le bulletin d’adhésion). Le traitement de ses données pour la gestion de son adhésion et le service associatif repose sur cette base.

L’intérêt légitime (Art. 6(1)(f)) — Pour l’envoi d’informations sur les activités de l’association aux membres, la prospection auprès d’anciens adhérents, ou la gestion des bénévoles. L’intérêt légitime de l’association doit être mis en balance avec les droits des personnes concernées.

Le consentement (Art. 6(1)(a)) — Nécessaire pour l’envoi de newsletters à des non-membres, la publication de photos identifiables sur le site web ou les réseaux sociaux, ou la transmission du fichier d’adhérents à des tiers. Le consentement doit être libre, spécifique, éclairé et univoque, conformément à l’Art. 7 du RGPD. Vous trouverez des modèles de consentement adaptés sur ce site.

L’obligation légale (Art. 6(1)©) — Pour la délivrance de reçus fiscaux aux donateurs (obligation fiscale), ou la transmission d’informations aux autorités de contrôle.

Tenir un registre des traitements

L’Art. 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Les associations de moins de 250 salariés n’en sont pas exemptées dès lors qu’elles traitent des données de manière non occasionnelle — ce qui est le cas de la quasi-totalité d’entre elles.

Concrètement, votre registre des traitements doit comporter, pour chaque activité de traitement, les informations suivantes :

• La finalité du traitement (ex. : « gestion des adhésions »)
• Les catégories de données collectées (ex. : nom, prénom, email, montant cotisation)
• Les catégories de personnes concernées (ex. : adhérents, bénévoles)
• Les destinataires des données (ex. : trésorier, secrétaire, prestataire informatique)
• Les durées de conservation prévues
• Les mesures de sécurité mises en œuvre

Pour une association typique, le registre comportera entre 5 et 15 fiches de traitement : gestion des adhésions, gestion des bénévoles, gestion des dons et reçus fiscaux, communication et newsletter, comptabilité, site web, gestion des événements, vidéosurveillance des locaux (le cas échéant).

La CNIL met à disposition un modèle simplifié de registre spécialement conçu pour les petites structures. Il est recommandé de désigner une personne au sein du bureau qui sera chargée de le maintenir à jour.

Informer les membres et les donateurs

L’Art. 13 du RGPD impose d’informer les personnes au moment de la collecte de leurs données. Pour une association, cela signifie concrètement :

Sur le bulletin d’adhésion — Ajoutez une mention d’information précisant : l’identité du responsable de traitement (le nom de l’association), les finalités du traitement, la base légale, les destinataires, la durée de conservation, et les droits des personnes (accès, rectification, effacement, etc.).

Sur le formulaire de don — Même obligation, en précisant notamment la conservation des données pour l’émission des reçus fiscaux.

Sur le site web — Une politique de confidentialité complète doit être accessible, détaillant l’ensemble des traitements réalisés via le site (formulaire de contact, newsletter, cookies, etc.).

Sur les formulaires d’inscription aux événements — Une mention d’information adaptée à chaque formulaire de collecte.

Voici un exemple de mention pour un bulletin d’adhésion :

Les données collectées dans ce formulaire sont traitées par [Nom de l’association] pour la gestion de votre adhésion et l’envoi d’informations sur nos activités. Elles sont conservées pendant la durée de votre adhésion et 3 ans après sa fin. Vous pouvez exercer vos droits d’accès, de rectification et d’effacement en écrivant à [email]. Pour plus d’informations, consultez notre politique de confidentialité sur [URL].

Respecter les droits des personnes

Vos adhérents, bénévoles et donateurs disposent de droits que vous devez être en mesure de satisfaire :

Droit d’accès (Art. 15) — Tout membre peut demander quelles données vous détenez sur lui. Vous devez répondre dans un délai d’un mois. Consultez notre guide pratique sur le droit d’accès pour la procédure à suivre.

Droit de rectification (Art. 16) — Un membre qui change d’adresse ou d’email peut demander la mise à jour de ses données.

Droit d’effacement (Art. 17) — Un ancien membre peut demander la suppression de ses données, sous réserve des obligations légales de conservation (notamment fiscales pour les donateurs). Le droit à l’effacement connaît des limites qu’il faut connaître.

Droit d’opposition (Art. 21) — Un membre peut s’opposer à l’envoi de communications non liées à l’objet de l’association, ou à la transmission de ses données à d’autres structures.

En pratique, il est recommandé de prévoir un email dédié (par exemple, donnees@votre-association.fr) et de désigner au sein du bureau une personne référente pour traiter ces demandes.

Sécuriser les données

L’Art. 32 du RGPD impose des mesures de sécurité « appropriées au regard des risques ». Pour une association, les mesures essentielles sont :

Accès restreint — Les fichiers d’adhérents et de donateurs ne doivent pas être accessibles à tous les membres de l’association. Seules les personnes ayant besoin d’y accéder dans le cadre de leur mission (président, trésorier, secrétaire) doivent y avoir accès.

Mots de passe robustes — Tous les comptes donnant accès aux données doivent être protégés par des mots de passe solides. Évitez le mot de passe unique partagé par tout le bureau.

Sauvegardes régulières — Le fichier d’adhérents est un actif critique de l’association. Prévoyez des sauvegardes régulières sur un support séparé.

Chiffrement — Si vous transportez des données sur une clé USB ou un ordinateur portable (par exemple pour un événement), chiffrez le support.

Fichiers Excel partagés — De nombreuses associations gèrent leurs adhérents dans un fichier Excel stocké sur Google Drive ou Dropbox. Vérifiez que les droits de partage sont correctement configurés et que le fichier n’est pas accessible à « toute personne disposant du lien ».

Définir les durées de conservation

Les données ne doivent pas être conservées indéfiniment. L’association doit définir des durées de conservation pour chaque catégorie de données :

Données des adhérents actifs — Conservées pendant toute la durée de l’adhésion.

Données des anciens adhérents — La CNIL recommande une suppression ou un archivage 3 ans après le dernier contact. Si vous souhaitez relancer d’anciens adhérents, l’intérêt légitime peut justifier une conservation limitée à des fins de prospection, mais il est recommandé de ne pas dépasser 3 ans.

Données des donateurs — Conservation des données nécessaires à l’émission des reçus fiscaux pendant 6 ans (prescription fiscale, Art. L102 B du Livre des procédures fiscales). Les coordonnées bancaires doivent être supprimées dès que le prélèvement est effectué, sauf si le donateur a opté pour un prélèvement récurrent.

Photos et vidéos d’événements — Pas de durée réglementaire, mais il est recommandé de ne pas les conserver au-delà de la durée nécessaire à la communication sur l’événement, sauf archivage historique de l’association.

Faut-il désigner un DPO ?

La désignation d’un DPO (délégué à la protection des données) est obligatoire dans trois cas (Art. 37 du RGPD) : organismes publics, traitements à grande échelle de données sensibles, ou suivi régulier et systématique de personnes à grande échelle.

La plupart des petites et moyennes associations ne rentrent pas dans ces cas. Toutefois, la CNIL recommande fortement de désigner un « référent RGPD » au sein du bureau — une personne qui sera le point de contact pour les questions de protection des données, sans avoir formellement le statut de DPO.

Pour les grandes associations (fédérations sportives nationales, grandes ONG, associations gérant des données de santé), la désignation d’un DPO est souvent nécessaire, voire obligatoire.

Cas particuliers fréquents

Photos d’événements et droit à l’image

La publication de photos sur le site web ou les réseaux sociaux de l’association nécessite une base légale au titre du RGPD (le consentement est la base la plus sûre) et le respect du droit à l’image (Art. 9 du Code civil). En pratique, il est recommandé de recueillir le consentement des personnes identifiables sur les photos avant publication, et de prévoir un moyen simple de demander le retrait d’une photo.

Pour les événements avec un grand nombre de participants, une information préalable (affichage à l’entrée, mention sur l’invitation) combinée à la possibilité de s’opposer peut suffire pour les photos de groupe où les personnes ne sont pas individuellement identifiables.

Transmission de fichiers entre associations

La CNIL a publié des recommandations spécifiques sur la transmission de fichiers de donateurs ou de contacts entre associations. Cette pratique est encadrée : les personnes doivent en être informées et pouvoir s’y opposer. La location ou la vente de fichiers d’adhérents à des tiers commerciaux est particulièrement risquée et nécessite le consentement explicite des personnes concernées.

Sous-traitants informatiques

Si votre association utilise un logiciel de gestion d’adhérents (type AssoConnect, HelloAsso, etc.), un service de newsletter (Brevo, Mailchimp), ou un hébergeur web, ces prestataires sont des sous-traitants au sens de l’Art. 28 du RGPD. Vous devez vérifier qu’un contrat de sous-traitance conforme est en place et que les données sont hébergées dans des conditions conformes au RGPD — en particulier pour les services américains qui impliquent un transfert de données hors de l’UE.

Plan d’action en 6 étapes

Pour mettre votre association en conformité, voici une démarche pragmatique :

1. Désigner un référent — Identifiez au sein du bureau la personne qui portera le sujet RGPD.

2. Recenser vos traitements — Listez tous les fichiers et bases de données contenant des données personnelles. C’est la base de votre registre.

3. Trier les données — Ne conservez que les données strictement nécessaires. Supprimez les anciens fichiers inutiles, purgez les données d’adhérents ayant quitté l’association depuis plus de 3 ans.

4. Informer — Mettez à jour vos formulaires d’adhésion, de don et votre site web avec les mentions d’information requises.

5. Sécuriser — Vérifiez les accès aux fichiers, mettez en place des mots de passe, configurez correctement vos outils cloud.

6. Documenter — Formalisez votre registre des traitements et conservez la trace des actions réalisées (c’est le principe d’accountability de l’Art. 5(2) du RGPD).

Ce qu’il faut retenir

• Toutes les associations sont concernées par le RGPD, quelle que soit leur taille ou leur objet. Il n’existe aucune exemption pour les structures sans but lucratif.
• Le registre des traitements est la première étape concrète : listez vos fichiers, leurs finalités, leurs durées de conservation et les mesures de sécurité.
• Les mentions d’information doivent figurer sur chaque formulaire de collecte (adhésion, don, événement, site web).
• Les données des adhérents et bénévoles doivent être accessibles uniquement aux personnes qui en ont besoin, et conservées pour une durée limitée.
• La CNIL met à disposition un guide gratuit spécialement conçu pour les associations, qui constitue un excellent point de départ.

FAQ

Une petite association de moins de 10 membres est-elle soumise au RGPD ?

Oui. Le RGPD ne prévoit aucun seuil de taille. Dès qu’une association traite des données personnelles — même celles de 10 adhérents dans un fichier Excel — elle est soumise aux obligations du règlement. En pratique, la conformité est plus simple à mettre en œuvre pour une petite structure, mais elle reste obligatoire.

Peut-on envoyer une newsletter aux adhérents sans leur consentement ?

Pour les adhérents actuels, l’envoi d’informations directement liées à l’objet de l’association peut reposer sur l’intérêt légitime (Art. 6(1)(f)), à condition de prévoir un lien de désinscription dans chaque envoi. En revanche, pour les non-membres ou pour des communications sans rapport avec l’objet associatif, le consentement préalable est nécessaire.

Que risque une association en cas de non-conformité RGPD ?

Les sanctions RGPD s’appliquent aux associations comme à toute autre structure. La CNIL peut prononcer un rappel à l’ordre, une mise en demeure, ou une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel (Art. 83 du RGPD). En pratique, pour une association, les montants seront proportionnés à ses moyens, mais la CNIL n’hésite pas à intervenir lorsque les manquements sont manifestes.

Faut-il réaliser une analyse d’impact (AIPD) pour le fichier d’adhérents ?

Pour un fichier d’adhérents classique, une AIPD n’est généralement pas nécessaire. Elle devient obligatoire lorsque le traitement présente un risque élevé pour les droits et libertés des personnes : par exemple, si l’association traite des données de santé à grande échelle (fédération sportive nationale) ou effectue un profilage systématique de ses membres.