RGPD en association : les règles essentielles à connaître

Dans la vie quotidienne de votre association, vous manipulez nécessairement des données personnelles : liste d’adhérents, fichiers de bénévoles, inscriptions à un événement, formulaire de contact, newsletter, gestion des dons…

Le RGPD (Règlement général sur la protection des données), en vigueur depuis 2018, encadre l’utilisation de ces informations. Les associations doivent le respecter, au même titre que les entreprises.

Découvrons quelles sont vos obligations et ce qu’il faut mettre en place pour rester conforme.

---

• Mettre en place des outils simples (registre, mentions d’information, gestion des accès…) permet d’assurer une conformité durable et adaptée à votre structure.
• Le RGPD concerne toutes les associations, dès lors que vous collectez des données personnelles.
• Vous devez respecter des principes clés : minimisation des données, information des personnes, limitation de la conservation, sécurité et responsabilité.
• Chaque personne dispose de droits : droit d’accès, de rectification, de suppression de ses données…

---

Le RGPD est un règlement européen qui vise à protéger les données personnelles des individus. Il repose sur plusieurs principes fondamentaux que toute association doit respecter :

1. Collecter uniquement les données nécessaires pour atteindre votre objectif
2. Informer les personnes concernées (soyez transparent)
3. Permettre l’exercice de leurs droits
4. Limiter la durée de conservation des données
5. Garantir la sécurité des informations collectées
6. Être en mesure de démontrer sa conformité (principe de responsabilité)

Une donnée personnelle correspond à toute information permettant d’identifier une personne, directement ou indirectement.

Par exemple :

• nom et prénom
• adresse mail
• numéro de téléphone
• adresse postale
• photo
• date de naissance
• coordonnées bancaires

Dès que votre association collecte ce type d’informations, elle doit respecter le RGPD.

Le fichier des membres est souvent le premier document auquel on pense. Mais le RGPD s’applique à toutes les personnes dont vous traitez les données :

• bénévoles
• donateurs
• participants à un événement
• intervenants
• salariés
• abonnés à une newsletter
• partenaires
• prestataires

Avant de créer ou modifier un formulaire, posez-vous une question simple : Cette information est-elle utile à l’objectif poursuivi ?

Exemples :

• Pour l’envoi d’une newsletter : l’adresse mail suffit
• Pour une adhésion : nom et prénom sont indispensables. Selon votre association et votre mode de fonctionnement, d’autres informations peuvent être nécessaires (adresse postale, téléphone…).

Attention : Collecter des informations « au cas où » n’est pas conforme au RGPD.

Toute collecte de données doit reposer sur une base légale. Selon la situation, il peut s’agir :

• de l’exécution du contrat d’adhésion
• d’une obligation légale (gestion comptable, paie…)
• de l’intérêt légitime de l’association
• du consentement

Vous devez obtenir le consentement des non‑adhérents avant de leur envoyer des communications.

Lorsqu’il est nécessaire, il doit être :

• libre
• spécifique
• éclairé
• univoque

Il doit notamment être donné par une action positive (pas de case pré-cochée).

Chaque personne doit savoir :

• pourquoi ses données sont collectées
• comment elles seront utilisées
• combien de temps elles seront conservées
• comment exercer ses droits

Cette information peut figurer dans une mention intégrée à vos formulaires, ou dans une politique de confidentialité accessible facilement.

La transparence renforce la confiance de vos membres et partenaires.

Les données ne doivent pas être conservées indéfiniment.

En pratique :

• les données d’anciens membres peuvent être conservées pendant quelques années après la fin de l’adhésion (souvent 3 ans, sauf obligation particulière)
• les données utilisées à des fins de prospection sans réponse doivent être supprimées ou anonymisées après un délai raisonnable
• les documents soumis à des obligations légales doivent être conservés selon les durées prévues par la réglementation (comptabilité, paie, etc.)

Un tri régulier des fichiers est recommandé (par exemple, une fois par an).

La sécurité des données est une responsabilité essentielle des dirigeants associatifs.

Quelques mesures simples mais efficaces :

• limiter l’accès aux seules personnes concernées
• utiliser des mots de passe robustes et individuels
• sécuriser les outils en ligne utilisés par l’association
• supprimer ou modifier les accès lors d’un changement d’équipe

Toute personne dispose notamment

• d’un droit d’accès à ses données
• d’un droit de rectification
• d’un droit à l’effacement dans certains cas
• d’un droit d’opposition à certaines utilisations

Votre association doit répondre dans un délai d’un mois.

Comme les entreprises, vous pouvez nommer un « DPO » (pour « Data Protection Officer », soit « Délégué à la protection des données »).

Sa mission sera d’organiser et de superviser la conformité au RGPD.

Cette désignation n’est pas obligatoire, sauf si vous traitez un volume très important de données dites « sensibles » (santé, opinions politiques, convictions religieuses…).

Dans les autres cas, la CNIL encourage de désigner un DPO. Cela permet dans tous les cas de structurer votre démarche.

Le RGPD prévoit la tenue d’un registre des traitements dans certains cas, notamment si l’association compte 250 salariés ou plus.

En pratique, même lorsqu’il n’est pas strictement obligatoire, il constitue un outil de gestion utile.

Ce document permet de recenser :

• les catégories de données collectées
• la finalité des traitements
• les personnes ayant accès aux données
• les durées de conservation
• les mesures de sécurité mises en place

En cas d’incident impliquant des données personnelles, comme une fuite de données, il convient :

1. de sécuriser la situation
2. d’évaluer le risque pour les personnes concernées
3. si nécessaire, de notifier la CNIL dans un délai de 72 heures

La CNIL peut prononcer un avertissement, une mise en demeure ou une sanction financière. Les amendes peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global (le montant le plus élevé est retenu).

En pratique, la CNIL adopte une approche proportionnée, notamment pour les petites structures.

Au-delà des sanctions financières, le principal risque est souvent celui de la réputation : une association qui ne protège pas correctement les données peut perdre la confiance de ses membres, bénévoles et donateurs.

• Recenser tous vos fichiers
• Identifier qui y a accès
• Vérifier que chaque formulaire comporte une mention d’information claire
• Mettre en place un registre des traitements, même simplifié
• Planifier un tri annuel des données
• Organiser la gestion des accès lors des changements d’équipes

Commencer par ces étapes permet déjà de sécuriser significativement votre fonctionnement.

La protection des données personnelles fait partie des responsabilités d’un dirigeant associatif. Comme la comptabilité, elle nécessite :

• une organisation structurée
• des règles formalisées
• un suivi régulier

Intégrer ces principes dans votre fonctionnement permet non seulement de respecter la réglementation, mais aussi de préserver la confiance des personnes engagées à vos côtés !