Données personnelles

RGPD pour les associations : registre, cas concrets et risques CNIL (guide 2026)

RGPD association : registre des traitements, données sensibles de l'article 9, dons et prospection, durées de conservation, procédure simplifiée CNIL. Guide pratique 2026.

Aussi disponible en :Polski·Italiano·Nederlands·Español

En une phrase. Une association loi 1901 est un responsable de traitement comme un autre : le RGPD s’applique intégralement dès le premier adhérent, avec une difficulté propre au monde associatif — les données traitées (opinions politiques, convictions religieuses, santé, vie associative elle-même) relèvent souvent des données sensibles de l’article 9, dont le traitement n’est permis aux organismes à but non lucratif que dans le cadre strict de l’exception de l’article 9(2)(d) ; la CNIL peut sanctionner une association, y compris par sa procédure simplifiée (amendes jusqu’à 20 000 €), et les manquements les plus courants portent sur le registre, les durées de conservation et la prospection des donateurs.

Sur 1,5 million d’associations actives en France, une infime minorité a structuré sa conformité. Le malentendu est répandu : « pas de but lucratif, donc pas de RGPD ». C’est faux — le règlement ne connaît pas le critère lucratif. Ce guide est le mode d’emploi opérationnel : quelles obligations, comment tenir le registre, les cas concrets (adhérents, donateurs, bénévoles, mineurs), et ce que risque réellement une association. Pour le panorama général des obligations, voir aussi notre article RGPD et associations : les obligations.

Points clés

  • Le RGPD s’applique sans seuil : ni le budget, ni le bénévolat, ni le but non lucratif n’exonèrent.
  • Le registre des traitements est en pratique obligatoire : l’exemption des organisations de moins de 250 salariés tombe dès que le traitement est non occasionnel (fichier d’adhérents = permanent) ou porte sur des données sensibles.
  • Article 9(2)(d) : une association politique, philosophique, religieuse ou syndicale peut traiter les données sensibles de ses membres et contacts réguliers, sans les communiquer à des tiers sans consentement.
  • Prospection et dons : régime de la prospection par courriel — consentement préalable, sauf sollicitations pour des causes similaires auprès de donateurs existants, et droit d’opposition systématique.
  • Sanctions : tous les pouvoirs CNIL s’appliquent, y compris la procédure de sanction simplifiée (jusqu’à 20 000 €) calibrée pour les petites structures.

1. Pourquoi les associations sont particulièrement exposées

Paradoxe du secteur : des moyens faibles, mais des données parmi les plus protégées du droit européen.

  • L’adhésion à une association cultuelle, politique, syndicale ou de patients révèle par elle-même une donnée sensible (article 9 : catégories particulières) : le simple fichier des membres est un traitement de données sensibles.
  • Le tissu associatif gère des publics vulnérables : mineurs (sport, éducation populaire et périscolaire), personnes malades, personnes en précarité.
  • Les pratiques historiques — échanges de fichiers de donateurs entre associations, listings Excel circulant par mail, absence de purge — sont exactement ce que le RGPD interdit ou encadre.

L’exception de l’article 9(2)(d) du RGPD est le pivot : elle autorise les fondations, associations et organismes à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale à traiter les données sensibles de leurs membres, anciens membres et personnes en contact régulier avec eux, dans le cadre de leurs activités légitimes et avec des garanties appropriées — mais interdit toute communication à des tiers sans consentement. La location ou l’échange de fichiers de membres est donc hors jeu sans consentement explicite.

2. Le socle obligatoire, poste par poste

Le registre des traitements

L’article 30(5) n’exonère les structures de moins de 250 salariés que si le traitement est occasionnel, sans risque et sans données sensibles : un fichier d’adhérents tenu à l’année ne remplit jamais ces conditions. Traitements types à inscrire : gestion des adhésions, dons et reçus fiscaux, bénévoles, newsletter, événements, photos et publications, comptabilité, subventions. Notre modèle de registre s’applique tel quel ; une association moyenne tient en 8 à 15 fiches.

Bases légales

  • Gestion des adhérents : exécution du contrat d’adhésion (statuts) ;
  • Reçus fiscaux, comptabilité : obligation légale ;
  • Newsletter aux non-membres, photos, communication : consentement ;
  • Prospection de donateurs, sécurité des locaux : intérêt légitime, sous réserve du triple test.

Documentez le choix par traitement — c’est la première question en cas de contrôle (choisir sa base légale).

Information et droits

Mentions d’information sur les bulletins d’adhésion et formulaires de don (droit à l’information), procédure pour répondre aux demandes d’accès, de rectification et d’effacement dans le délai d’un mois.

Durées de conservation

Le classique des contrôles : des fichiers de donateurs jamais purgés depuis quinze ans. Repères pratiques issus de la doctrine CNIL : données d’adhérents pendant l’adhésion puis archivage limité ; contacts et prospects 3 ans après le dernier contact ; reçus fiscaux 6 ans (obligation fiscale) ; comptabilité 10 ans. Voir notre guide des durées de conservation.

Sécurité et sous-traitants

L’article 32 s’applique à l’association comme à une entreprise (mesures de sécurité) : comptes individuels, mots de passe robustes, sauvegardes, limitation des accès aux seuls bénévoles habilités. Les outils utilisés (HelloAsso, AssoConnect, Google Workspace, Mailchimp…) sont des sous-traitants : vérifiez l’existence d’un contrat conforme à l’article 28 et la localisation des données.

DPO : rarement obligatoire, parfois indispensable

La désignation n’est obligatoire que dans les cas de l’article 37 — suivi régulier et systématique à grande échelle, ou données sensibles à grande échelle : une grande fédération ou une association de patients d’envergure nationale peut y être tenue, pas le club de quartier. Un DPO mutualisé entre associations d’une même fédération est une solution efficace (missions du DPO).

3. Cas concrets

Photos des adhérents. La publication (site, réseaux sociaux) requiert le consentement — distinct pour les mineurs (accord des titulaires de l’autorité parentale, et l’enfant de plus de 15 ans consent lui-même pour les services en ligne en France).

Fichier des donateurs et relances. Solliciter par courriel ses propres donateurs pour des causes analogues relève de la logique « clients existants » ; prospecter des personnes n’ayant jamais donné exige un consentement préalable. Dans tous les cas : opposition simple et gratuite à chaque message (droit d’opposition).

Association sportive et santé. Certificats médicaux et données de blessures = données de santé : accès restreint, conservation limitée, pas de diffusion aux entraîneurs au-delà du nécessaire.

Subventions et partenaires publics. Ne transmettez que les données exigées par le financeur, anonymisez les bilans d’activité (techniques d’anonymisation).

Boutique ou billetterie en ligne. Le volet e-commerce suit les règles communes, cookies compris (conformité des bannières).

4. Que risque réellement une association ?

Tous les pouvoirs de la CNIL s’appliquent : contrôle sur place ou sur pièces, mise en demeure (éventuellement publique), injonction sous astreinte, amende jusqu’aux plafonds du RGPD. Surtout, la procédure de sanction simplifiée (créée par la loi du 24 janvier 2022) permet de sanctionner rapidement les dossiers simples jusqu’à 20 000 € — un format exactement calibré pour les manquements ordinaires des petites structures : registre absent, durées illimitées, non-réponse aux droits. Le bilan des sanctions CNIL montre la montée en volume de ces sanctions contre TPE, professions libérales et structures associatives.

Le risque le plus destructeur reste réputationnel : pour une organisation dont l’actif est la confiance des donateurs, une violation de données mal gérée — et non notifiée sous 72 h (procédure de notification) — coûte plus cher que l’amende.

Bonne nouvelle : la conformité associative est standardisable. La CNIL publie des contenus dédiés au secteur sur cnil.fr, et l’essentiel du travail — registre, mentions, durées, contrats sous-traitants — se génère et se maintient automatiquement avec un outil comme Legiscope, ce qui met une conformité sérieuse à la portée d’une équipe bénévole.

FAQ

Une petite association de bénévoles est-elle vraiment soumise au RGPD ?

Oui, intégralement, dès le premier fichier d’adhérents. Ni la taille, ni l’absence de salarié, ni le but non lucratif ne sont des critères d’exemption. Ce qui change avec la taille, c’est la proportionnalité des mesures — pas le principe.

Une association doit-elle tenir un registre des traitements ?

En pratique oui : l’exemption « moins de 250 salariés » ne joue que pour des traitements occasionnels sans données sensibles. Un fichier d’adhérents est permanent, et souvent sensible par nature (article 9). Le registre est de toute façon le document que la CNIL demande en premier.

Peut-on échanger ou louer son fichier de donateurs à une autre association ?

Pas sans consentement des personnes. Pour les associations relevant de l’article 9(2)(d) (politiques, religieuses, syndicales, philosophiques), la communication à des tiers sans consentement est expressément exclue ; pour les autres, la transmission à des fins de prospection exige une information préalable et une base légale propre — en pratique le consentement.

Faut-il un DPO dans une association ?

Rarement à titre obligatoire (critères de l’article 37 : grande échelle, données sensibles). Mais désigner un référent RGPD — ou mutualiser un DPO au niveau d’une fédération — est la façon la plus économique de faire vivre la conformité dans une structure bénévole.

Conclusion

Le RGPD associatif tient en une phrase : les mêmes règles que tout le monde, appliquées à des données souvent plus sensibles, avec des moyens moindres — donc une prime à la standardisation. Registre en 10 fiches, mentions sur les bulletins, durées de conservation appliquées, contrats vérifiés avec les outils SaaS, procédure violation : une journée de travail bien outillée couvre 90 % du risque. La confiance des adhérents et des donateurs est l’actif principal d’une association ; sa protection juridique s’appelle conformité.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →