Aller au contenu principal
Conformité · 12 min de lecture

RGPD pour association :
ce qu'il faut vraiment faire.

Votre asso collecte des données personnelles dès qu'elle a un adhérent, un fichier contact ou un formulaire. La CNIL le sait. Voici ce qui est obligatoire, ce qui est recommandé, et ce qu'on peut se dispenser de faire.

Dernière mise à jour : avril 2026Cadre : RGPD + loi Informatique et LibertésTon : vulgarisé

Le RGPD, qu'est-ce que c'est en 3 phrases?

Le RGPD est un règlement européen entré en application en 2018. Il impose que toute structure qui collecte des données personnelles (nom, email, téléphone, photo, date de naissance…) sache pourquoi elle les collecte, les protègeet permette aux personnes concernées de les consulter, corriger ou supprimer.

Une asso loi 1901 est une structure. Elle est donc concernée, sans exception — même si elle compte 12 adhérents.

Les 5 choses obligatoires pour une asso classique

1 · Tenir un registre des traitements

C'est un simple tableau qui liste ce que vous collectez, pourquoi, combien de temps vous le gardez. Il n'est pas à publier, il doit juste exister dans vos classeurs. Modèle minimal :

  • Traitement : ex. «Gestion des adhérents».
  • Données collectées : nom, prénom, email, téléphone, date de naissance (pour les assurances).
  • Finalité : gérer les cotisations, envoyer les convocations à l'AG.
  • Base légale : contrat d'adhésion.
  • Durée de conservation : 3 ans après la dernière cotisation.
  • Qui a accès : bureau + trésorier·e.

Un registre avec 3 à 5 lignes couvre la grande majorité des assos.

2 · Informer les personnes dont vous collectez les données

À chaque fois que quelqu'un remplit un formulaire (adhésion, contact, inscription), il doit pouvoir savoir :

  • Qui collecte ses données (votre asso, avec son siège).
  • Pourquoi (gestion d'adhésion, envoi de la lettre d'info…).
  • Combien de temps vous les gardez.
  • Comment les modifier ou les supprimer (un email suffit en général).

En pratique : une petite phrase sous le formulairevos données sont utilisées par l'association XYZ pour gérer votre adhésion, conservées 3 ans, pour toute question : contact@asso.fr») et un lien vers la politique de confidentialité complète.

3 · Publier une politique de confidentialité

Page accessible depuis toutes les pages du site (en général dans le footer). Elle détaille ce que le registre des traitements dit, en version lisible par un humain. Un bon prestataire web la livre d'office.

4 · Gérer le consentement pour les cookies

Si votre site utilise Google Analytics, Meta Pixel, un lecteur YouTube embarqué, ou toute solution de tracking, un bandeau doit demander le consentement avant de déclencher le traceur. Les services exemptés (mesure d'audience anonyme type Matomo bien configuré, fonctionnement technique du site) ne nécessitent pas de bandeau.

Si votre site est purement vitrine, statique, sans tracker, vous n'avez pas besoin de bandeau. Beaucoup de sites en affichent un par réflexe.

5 · Sécuriser le fichier adhérents

  • Mot de passe fort sur le compte email qui reçoit les demandes d'adhésion.
  • Tableur partagé (Google Sheets, Excel Online) en accès restreint, pas lien public.
  • Sauvegarde au moins une fois par trimestre, dans un deuxième endroit.
  • Pas d'envoi en clair du fichier complet par email (c'est le piège classique).
Important

Publier sur votre site un annuaire des adhérents avec nom et téléphone est une source fréquente de plainte CNIL. Si vous le faites, chaque adhérent doit avoir signé un consentement explicite — et pouvoir se retirer à tout moment.

Photos, droit à l'image, événements publics

Prendre une photo d'un événement associatif et la publier sur le site est un traitement de données personnelles (une photo reconnaissable, c'est une donnée personnelle). Les règles pratiques :

  • Événement public ouvert à tous : pas de consentement individuel obligatoire, mais affichez un panneau «des photos sont prises, si vous ne souhaitez pas apparaître, signalez-le à l'organisation».
  • Événement réservé aux adhérents : le bulletin d'adhésion doit inclure une case «j'accepte que des photos de moi soient utilisées à des fins de communication» (à cocher librement).
  • Mineurs : consentement des deux parents systématiquement, même pour un enfant de 17 ans.
  • Gros plan identifiable : consentement individuel (signature) si la personne est clairement le sujet de la photo.

Faut-il un délégué à la protection des données (DPO)?

Non, sauf cas rare. Un DPO est obligatoire uniquement si votre asso :

  • traite des données «à grande échelle» (des milliers de personnes),
  • ou traite des données sensibles (santé, opinions, religion) comme cœur de mission,
  • ou surveille les personnes (caméras intelligentes, pistage).

Une asso culturelle, sportive, d'entraide classique n'en a pas besoin. Un référent RGPD interne au bureau (le·la secrétaire par exemple) suffit.

Newsletter, emails, prospection

  • Envoi vers les adhérents : consentement implicite par l'adhésion. OK.
  • Envoi vers des non-adhérents (sympathisants, anciens adhérents) : consentement explicite requis (case à cocher, pas pré-cochée).
  • Désabonnement obligatoire dans chaque email : un lien visible en bas.
  • Fichier prospect acheté ou récupéré : interdit sans le consentement des personnes concernées.

Que faire en cas de fuite de données?

Exemple : le fichier adhérents est envoyé par erreur à toute la liste, ou un bénévole perd son ordinateur avec la base dedans. Vous devez :

  1. Qualifier ce qui a fuité (quelles données, combien de personnes).
  2. Si le risque est «faible» (pas de donnée sensible) : noter l'incident dans un cahier, pas d'obligation CNIL.
  3. Si le risque est «élevé» (données bancaires, santé, mineurs) : déclarer à la CNIL sous 72 h via notifications.cnil.fr.
  4. Informer les personnes concernées si elles risquent quelque chose.

Checklist RGPD minimale pour une asso

  • Un registre des traitements existe (même en 5 lignes).
  • Une politique de confidentialité est publiée sur le site.
  • Tous les formulaires mentionnent brièvement quelles données sont collectées et pourquoi.
  • Le bandeau cookies demande le consentement avant tout tracker tiers.
  • Le fichier adhérents n'est pas en accès public par erreur (Google Drive partagé au monde entier).
  • Un membre du bureau est identifié comme «référent RGPD».
  • Les photos d'événements réservés aux adhérents ne sortent qu'avec consentement coché.

Et sur la partie site web, que livre un prestataire sérieux?

  • Mentions légales à jour avec l'hébergeur.
  • Politique de confidentialité adaptée à votre asso.
  • Bandeau cookies conforme si nécessaire (ou pas de bandeau si pas de tracker).
  • Formulaires avec phrase d'information RGPD.
  • Hébergement dans l'UE (c'est très important — évitez les offres «serveur aux États-Unis à 3 €/mois»).