Données personnelles

RGPD et associations : obligations simplifiées

Les associations sont concernées par le RGPD : données des adhérents, donateurs, bénévoles, registre simplifié, consentement newsletter, DPO. Guide pratique.

TD
Dr. Thiébaut Devergranne
12 avril 20268 min read

Les associations, quelle que soit leur taille, sont pleinement soumises au RGPD dès lors qu’elles traitent des données personnelles – et elles le font toutes. Gestion des adhérents, fichier de donateurs, communication par newsletter, publication de photos sur les réseaux sociaux : chaque activité implique des obligations. La CNIL a mis en demeure plusieurs associations en 2023-2024 pour des manquements à la sécurité et à l’information des personnes. Ce guide détaille les obligations RGPD associations avec une approche simplifiée adaptée aux petites structures.

Points Clés

  • Toute association traitant des données personnelles est soumise au RGPD, sans seuil de taille ou de budget.
  • Un registre des traitements simplifié est suffisant pour les associations de moins de 250 salariés, limité aux traitements non occasionnels.
  • Le consentement est requis pour l’envoi de newsletters et la publication de photos, mais pas pour la gestion courante des adhésions.
  • Le DPO n’est pas obligatoire pour la plupart des associations, sauf celles traitant des données sensibles à grande échelle.

Pourquoi les associations sont concernées

Le RGPD s’applique à tout organisme, public ou privé, qui traite des données personnelles (Art. 2 RGPD). Une association loi 1901 qui collecte les noms, prénoms, adresses email et cotisations de ses adhérents effectue un traitement de données personnelles au sens de l’Art. 4(1) RGPD.

Le statut juridique (association, fondation, fonds de dotation) n’exonère pas des obligations. La CNIL a explicitement rappelé dans sa fiche pratique “Associations” (mise à jour 2024) que les obligations du RGPD s’appliquent au secteur associatif sans allègement de principe.

Les traitements courants d’une association incluent :

  • Gestion des adhérents : nom, adresse, email, montant et date de cotisation.
  • Fichier de donateurs : identité, montant des dons, coordonnées bancaires pour prélèvements.
  • Gestion des bénévoles : coordonnées, disponibilités, compétences, parfois données de santé (allergies pour des activités sportives).
  • Communication : newsletter, réseaux sociaux, site web, photos et vidéos d’événements.
  • Comptabilité : données financières des membres, fournisseurs, prestataires.

Registre des traitements simplifié

L’Art. 30(5) RGPD prévoit une exception partielle pour les organisations de moins de 250 salariés : le registre n’est obligatoire que pour les traitements non occasionnels, les traitements susceptibles de comporter un risque pour les droits des personnes, ou les traitements portant sur des données sensibles.

En pratique, la gestion des adhérents, des donateurs et la communication par newsletter sont des traitements non occasionnels (ils sont récurrents). Le registre reste donc nécessaire pour ces activités, même pour une petite association.

La CNIL propose un modèle de registre simplifié adapté aux associations. Pour chaque traitement, documentez :

  • Finalité : pourquoi vous collectez ces données (gestion des adhésions, envoi de newsletter).
  • Base légale : exécution du contrat d’adhésion (Art. 6(1)(b) RGPD), consentement (Art. 6(1)(a) RGPD) pour la newsletter, intérêt légitime (Art. 6(1)(f) RGPD) pour la communication institutionnelle.
  • Catégories de données : nom, email, adresse, cotisation.
  • Destinataires : bureau de l’association, prestataire emailing, expert-comptable.
  • Durée de conservation : durée de l’adhésion + 3 ans pour la prospection.
  • Mesures de sécurité : mot de passe, sauvegarde, limitation des accès.

Un registre conforme est la première étape de mise en conformité et le document que la CNIL demandera en priorité en cas de contrôle.

Bases légales pour les traitements associatifs

Chaque traitement de données doit reposer sur une base juridique valide. Pour les associations, trois bases légales sont principalement mobilisées.

Exécution du contrat (Art. 6(1)(b) RGPD). L’adhésion à une association constitue un contrat. Le traitement des données nécessaires à la gestion de l’adhésion (identité, cotisation, communication liée à l’activité) repose sur cette base. Aucun consentement n’est requis pour ces traitements.

Consentement (Art. 6(1)(a) RGPD). Le consentement est la base légale appropriée pour :

  • L’envoi de newsletters et communications non directement liées à l’objet de l’adhésion.
  • La publication de photos et vidéos de membres sur le site web ou les réseaux sociaux.
  • La transmission de données à des partenaires (autres associations, sponsors).

Le consentement doit être libre, spécifique, éclairé et univoque (Art. 7 RGPD). Une case à cocher sur le formulaire d’adhésion, distincte de l’adhésion elle-même, constitue un mécanisme conforme.

Intérêt légitime (Art. 6(1)(f) RGPD). L’intérêt légitime peut fonder la communication institutionnelle aux adhérents (convocations AG, informations sur les activités), la gestion interne et la prévention des impayés de cotisation.

Consentement pour la newsletter et les communications

L’envoi d’une newsletter associative par email est soumis aux mêmes règles que la prospection commerciale au titre de l’Art. L.34-5 du CPCE.

Newsletter aux adhérents. L’envoi d’informations directement liées à l’objet de l’adhésion (convocations, comptes rendus, activités) peut reposer sur l’exécution du contrat d’adhésion. En revanche, une newsletter de contenu éditorial plus large (actualités du secteur, appels aux dons, promotions de partenaires) nécessite le consentement.

Newsletter aux non-adhérents. Le consentement opt-in est systématiquement requis. Le formulaire d’inscription doit informer sur l’identité de l’association, la fréquence d’envoi et le droit de désinscription.

Désinscription. Chaque email doit contenir un lien de désinscription fonctionnel et gratuit. Le droit d’opposition (Art. 21 RGPD) impose de traiter la demande sans délai.

Photos et vidéos. La publication de photos de membres identifiables nécessite leur consentement, sauf si la photo est prise dans un lieu public lors d’un événement et ne met pas en avant une personne spécifique. Pour les mineurs, le consentement des deux parents est requis.

Sous-traitants des associations

Même une petite association fait appel à des sous-traitants au sens du RGPD.

Hébergement du site web (OVH, Ionos, o2switch). Le prestataire d’hébergement est sous-traitant pour les données transitant par le site (formulaires de contact, inscriptions en ligne).

Plateforme d’emailing (Mailchimp, Brevo, MailerLite). Le prestataire traite les adresses email et les données d’engagement (ouvertures, clics) pour le compte de l’association.

Logiciel de gestion (AssoConnect, HelloAsso, Ohme). Ces outils centralisent les adhésions, cotisations et dons. Ils sont sous-traitants et doivent fournir un DPA conforme à l’Art. 28 RGPD.

Expert-comptable. Il reçoit des données personnelles (identité des donateurs, salariés) et doit être identifié comme destinataire dans le registre.

Pour chaque sous-traitant, vérifiez l’existence d’un DPA, la localisation des données (attention aux prestataires américains) et les mesures de sécurité appliquées.

DPO : quand est-il obligatoire pour une association ?

La désignation d’un DPO est obligatoire dans trois cas (Art. 37 RGPD) :

  1. L’association est un organisme public (cas rare, certaines associations chargées de missions de service public).
  2. L’activité de base implique un suivi régulier et systématique des personnes à grande échelle (association gérant un fichier de plusieurs centaines de milliers de contacts avec profilage).
  3. L’activité de base implique le traitement à grande échelle de données sensibles (association médicale, syndicat, association religieuse gérant un fichier important de membres).

Pour la majorité des associations (club sportif local, association culturelle, association de parents d’élèves), le DPO n’est pas obligatoire. La CNIL recommande toutefois de désigner un “référent RGPD” au sein du bureau pour piloter la conformité.

Droits des adhérents et donateurs

Les adhérents et donateurs disposent de l’ensemble des droits RGPD sur leurs données.

Droit d’accès (Art. 15 RGPD). Tout adhérent peut demander l’accès à l’ensemble des données le concernant. L’association dispose d’un mois pour répondre.

Droit de rectification (Art. 16 RGPD). Les membres peuvent demander la correction de données inexactes (changement d’adresse, erreur sur le montant de cotisation).

Droit à l’effacement (Art. 17 RGPD). Un ancien adhérent peut demander la suppression de ses données. L’association peut conserver les données nécessaires au respect d’obligations légales (reçus fiscaux pendant 6 ans) ou à la constatation de droits (preuve d’adhésion).

Droit d’opposition (Art. 21 RGPD). Un adhérent peut s’opposer à l’utilisation de ses données à des fins de communication non liée à l’adhésion, notamment l’envoi de newsletters ou la publication de photos.

L’association doit mettre en place un processus simple pour recevoir et traiter ces demandes. Un formulaire dédié ou une adresse email spécifique (rgpd@association.fr) sont recommandés.

FAQ

Une petite association de quartier est-elle vraiment concernée par le RGPD ?

Oui, sans exception. Dès lors qu’une association collecte des données personnelles (nom, email, cotisation de ses membres), le RGPD s’applique. La CNIL adapte néanmoins son approche : elle privilégie l’accompagnement pour les petites structures et réserve les sanctions aux manquements graves ou persistants. Un registre simplifié, une information claire des membres et des mesures de sécurité basiques (mots de passe, sauvegardes) suffisent dans la plupart des cas.

Peut-on transmettre la liste des adhérents à la mairie ou à une fédération ?

La transmission de données personnelles à un tiers constitue un traitement soumis au RGPD. La transmission à une fédération peut être fondée sur l’intérêt légitime ou le contrat d’affiliation, sous réserve que les adhérents en soient informés. La transmission à la mairie n’est justifiée que s’il existe une obligation légale (demande de subvention justifiant le nombre d’adhérents) ou un intérêt légitime documenté. Dans tous les cas, les adhérents doivent être informés des destinataires de leurs données.

Combien de temps peut-on conserver les données d’un ancien donateur ?

La CNIL recommande une durée maximale de 3 ans après le dernier don pour les données de prospection (sollicitation de nouveaux dons). Les reçus fiscaux doivent être conservés 6 ans (obligation fiscale). Les données comptables sont conservées 10 ans (obligation comptable). Au-delà de ces durées, les données doivent être supprimées ou anonymisées.

HelloAsso ou AssoConnect sont-ils conformes au RGPD ?

Les grandes plateformes de gestion associative (HelloAsso, AssoConnect, Ohme) proposent généralement des DPA conformes et hébergent les données en France ou en UE. L’association reste néanmoins responsable de traitement et doit vérifier les conditions de traitement, la localisation des données et les mesures de sécurité. Le DPA doit être lu et conservé. L’association doit mentionner ces sous-traitants dans son registre et dans ses mentions d’information.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →