RGPD pour association : conformité simple en 2026

Toutes les associations qui collectent des données personnelles (adhérents, donateurs, contacts) sont concernées par le RGPD. La bonne nouvelle : pour la grande majorité d'entre elles, la conformité tient en 5 étapes réalisables en quelques heures.

Pourquoi le RGPD vous concerne

Dès que votre association collecte :

• Coordonnées d'adhérents (nom, email, téléphone)
• Coordonnées de donateurs ou bénévoles
• Données financières (RIB pour cotisations)
• Photos de membres
• Données de santé (dans certaines associations)

vous traitez des données personnelles au sens du RGPD. Sanction maximale : 20 millions d'euros ou 4% du budget annuel.

Étape 1 — Faire l'inventaire

Listez tous les traitements de données dans votre association. Pour chacun :

• Quelle donnée (nom, mail, téléphone) ?
• Pour quelle finalité (gestion adhérents, communication) ?
• Quelle base légale (consentement, contrat, intérêt légitime) ?
• Combien de temps conservée ?
• Avec qui partagée (logiciel, prestataire, partenaire) ?

Cet inventaire devient votre registre des traitements.

Étape 2 — Tenir le registre des traitements

Le registre est obligatoire dès le premier traitement de données. Format libre (Excel, Word, logiciel dédié). Il doit contenir :

• La finalité de chaque traitement
• Les catégories de données
• Les catégories de personnes concernées
• Les destinataires des données
• La durée de conservation
• Les mesures de sécurité

À conserver et tenir à jour. La CNIL peut demander à le voir lors d'un contrôle.

Étape 3 — Informer les personnes

Lors de chaque collecte, vous devez informer la personne :

• Qui collecte (votre association)
• Pourquoi (finalité)
• Combien de temps conservé
• Quels droits (accès, rectification, suppression, portabilité, opposition)
• Comment les exercer

L'information se fait via une mention sur le formulaire d'adhésion ou sur votre site, et via une politique de confidentialité complète.

Étape 4 — Sécuriser les données

Quelques mesures simples mais essentielles :

• Mots de passe forts sur tous les comptes
• Sauvegarde régulière des bases de données
• Accès limité aux personnes concernées (pas tout le monde sur tout)
• Chiffrement pour les données sensibles
• Suppression sécurisée des données obsolètes

Si vous utilisez un logiciel SaaS, vérifiez qu'il est hébergé en France ou en UE et propose les fonctionnalités RGPD (export, suppression).

Étape 5 — Gérer les demandes des personnes

Toute personne peut demander :

• Accès à ses données
• Rectification d'erreurs
• Suppression (« droit à l'oubli »)
• Portabilité vers un autre service
• Opposition au traitement

Vous devez répondre sous 1 mois maximum (3 mois si demande complexe). Tenez un registre des demandes reçues et de vos réponses.

Faut-il un DPO ?

Le DPO (Délégué à la Protection des Données) est obligatoire si :

• Traitement à grande échelle de données sensibles
• Surveillance systématique de personnes (vidéo, géoloc)
• Activités principales centrées sur le traitement de données

Pour 95% des associations, ce n'est pas obligatoire. Mais désigner un référent interne est une bonne pratique.

Cas particuliers

Photos d'événements

Avant de publier une photo identifiant une personne, recueillez son consentement écrit. Pour les événements ouverts au public, une affichette informative au lieu d'événement peut suffire.

Newsletter et communication

Toute newsletter nécessite un opt-in (consentement explicite). Pas de cases pré-cochées. Lien de désinscription dans chaque envoi.

Vidéosurveillance

Caméras dans le local : déclaration à la CNIL + affichage informatif + délai de conservation < 30 jours.

### 💡 Comment Assokit sécurise votre association Le problème : se conformer à toutes les obligations légales (RGPD, registre, déclarations, traçabilité) sans outil dédié, c'est jouer avec le feu. Avec Assokit, registres tenus automatiquement, traçabilité complète des décisions, gestion RGPD intégrée, archivage horodaté. Votre conformité est construite par défaut, pas en patch. En savoir plus.

FAQ

Une asso de 10 membres doit-elle faire tout ça ? Le minimum : tenir un registre des traitements, informer les membres, sécuriser les données. Le DPO et certaines formalités complexes ne sont pas requis.

Que faire en cas de fuite de données ? Notifier la CNIL sous 72 heures et informer les personnes concernées si la fuite leur cause un risque élevé. Modèle de notification disponible sur cnil.fr.

Le RGPD s'applique-t-il aux fichiers papier ? Oui, dès qu'ils sont structurés (fichier d'adhérents en classeur, par exemple). Mais les obligations sont moins strictes que pour les fichiers numériques.

🌿 Avec Assokit, gagnez du temps sur ce qui compte

Assokit centralise vos adhérents, vos projets, votre facturation et vos communications dans un seul outil pensé pour les associations loi 1901 et les TPE françaises. Hébergement français, IA intégrée, support humain à Évry.

• 🔍 Découvrez toutes les fonctionnalités
• 💚 Voir les tarifs (un plan gratuit, sans engagement)
• 📞 Contactez-nous pour une démo personnalisée
• 🚀 Déjà inscrit ? Connectez-vous

📚 Articles liés à lire ensuite

• 👉 Mentions site web
• 👉 Les 7 obligations légales
• 👉 Newsletter conforme
• 👉 Site web d'association