RGPD et associations : checklist de conformité
Pour être conforme RGPD, une association doit tenir un registre des traitements, définir des durées de conservation, informer ses adhérents et donateurs, gérer les droits d’accès et de suppression, choisir des sous-traitants conformes (hébergeur français, RGPD-compliant), et désigner un référent (DPO si plus de 250 adhérents traités automatiquement).
Le RGPD s’applique à toutes les associations qui traitent des données personnelles, soit la quasi-totalité d’entre elles. Les contrôles CNIL augmentent et les sanctions sont possibles (jusqu’à 4% du budget). Voici la checklist concrète pour être en conformité en 2026.
1. Tenir un registre des traitements
Le registre liste tous les traitements de données : adhésions, dons, mailing, photos d’événements, badges salariés, etc. Pour chaque traitement : finalité, base légale, données collectées, durée de conservation, destinataires, transferts.
Format libre (Excel, document Word) mais doit être accessible à la demande de la CNIL. Modèle officiel disponible sur cnil.fr.
2. Définir des durées de conservation
Pas de conservation indéfinie. Durées indicatives :
- Adhérents actifs : durée d’adhésion + 3 ans après désinscription
- Donateurs : 6 ans (obligation comptable) puis archivage anonymisé
- Reçus fiscaux : 6 ans (obligation fiscale)
- Bénévoles inactifs : 3 ans après dernière mission
- Photos événements : durée de l’événement + droit à l’oubli sur demande
3. Informer les personnes
À chaque collecte de données (adhésion, don, inscription bénévole), afficher une mention RGPD : finalité du traitement, base légale, durée de conservation, droits des personnes, contact DPO/référent.
Bandeau cookies sur le site web, mention en bas du formulaire papier ou électronique. Modèle disponible CNIL.
4. Gérer les droits des personnes
Toute personne peut demander : accès à ses données, rectification, effacement (droit à l’oubli), portabilité, opposition au traitement. Vous devez répondre dans 1 mois maximum.
Procédure interne à formaliser : qui reçoit la demande, qui valide, comment exécute, quel mail de réponse type.
5. Choisir des sous-traitants conformes
Hébergeur du logiciel association : France ou UE, pas de transfert hors UE non encadré. Vérifier que le contrat avec le sous-traitant inclut une clause RGPD (DPA).
eBrigade : hébergement OVH France, DPA signé avec chaque client, conformité RGPD stricte. Option HDS pour les données santé.
6. Référent ou DPO
Si plus de 250 personnes traitées automatiquement OU traitement à grande échelle de données sensibles (santé, opinions politiques) : DPO obligatoire.
Sinon, désigner un référent RGPD interne (souvent un membre du bureau) responsable du registre, des demandes et de la mise à jour.
7. Sécurité technique minimale
Mots de passe robustes pour les outils internes, double authentification pour le compte admin du logiciel, chiffrement des sauvegardes, journaux d’accès.
En cas de violation de données (perte, vol, hacking), notification CNIL sous 72h obligatoire et information des personnes concernées.
Questions fréquentes
Une petite association doit-elle vraiment respecter le RGPD ?
Oui, dès qu’elle traite des données personnelles (ce qui est universel). Mais les obligations sont allégées en pratique : registre simple, pas de DPO obligatoire en dessous de 250 traitements automatiques.
Que faire si on n’est pas conforme ?
Mettre en conformité progressivement : commencer par le registre et l’information des personnes, puis durées de conservation, puis sécurité. Sanctions CNIL généralement après mise en demeure non suivie d’effet.
Un logiciel association garantit-il la conformité ?
Le logiciel facilite mais ne dispense pas de la responsabilité juridique de l’association. eBrigade fournit les outils techniques (registres, DPA, exports DSAR) ; vous gardez la responsabilité éditoriale du paramétrage.
Y a-t-il un essai gratuit eBrigade ?
Oui, 30 jours sans CB. Démarrer l’essai gratuit.
