Conformité RGPD pour les associations et l'économie sociale et solidaire
Associations loi 1901, fondations, fonds de dotation, structures de l'ESS : dès que vous gérez des adhérents, des bénévoles, des donateurs ou des bénéficiaires, vous traitez des données personnelles et vous êtes soumis au RGPD. Voici vos obligations, à votre échelle, et les forfaits adaptés.
Cette page constitue une information juridique au sens de la loi n°71-1130 du 31 décembre 1971 et ne constitue pas une consultation juridique personnalisée. Le RGPD (UE 2016/679) et la loi Informatique et Libertés s'appliquent ; la CNIL est l'autorité de contrôle.
Oui, votre association est concernée
Le RGPD ne prévoit aucun seuil d'adhérents, de budget ou de salariés en deçà duquel il ne s'appliquerait pas. Une association de quartier qui tient un fichier de dix adhérents dans un tableur est déjà responsable de traitement, au même titre qu'une grande structure. Cette règle vaut pour les associations loi 1901, les fondations, les fonds de dotation, les associations sportives, culturelles et cultuelles, et les organismes reconnus d'utilité publique.
Ce qui déclenche les obligations, c'est le traitement de données personnelles, pas la nature de la structure. Les exigences sont toutefois proportionnées : pour une association dont le cœur d'activité n'est pas le traitement de données, l'analyse d'impact et la désignation d'un DPO restent rares.
Vos obligations concrètes
Quatre piliers à mettre en place, puis à tenir à jour.
Registre des traitements
Recenser chaque traitement : adhérents, bénévoles, donateurs, bénéficiaires, liste de diffusion, dossiers de subvention. Document obligatoire (article 30 RGPD) et premier attendu en cas de contrôle.
Information des personnes
Mentions d'information sur le bulletin d'adhésion et les formulaires : finalités, base légale, durées de conservation, droits. Recueil du consentement pour la newsletter et l'usage de l'image.
Sécurité des fichiers
Accès restreint au fichier des adhérents, mots de passe robustes, pas de tableur partagé en libre accès. Les données sensibles (santé, convictions) appellent des précautions renforcées.
Bases légales et durées
Identifier la bonne base pour chaque fichier (mission d'intérêt public, consentement, obligation légale, intérêt légitime) et limiter la conservation à la durée nécessaire.
Le cas particulier des opérateurs de politiques publiques
De nombreuses associations et structures de l'ESS mettent en œuvre une mission confiée par une autorité publique (action sociale, insertion, hébergement, accompagnement). Pour ces traitements, la base légale adaptée est souvent la mission d'intérêt public, prévue à l'article 6.1.e du RGPD. Les autres traitements relèvent du consentement (newsletter, image), de l'obligation légale (comptabilité, reçus fiscaux) ou de l'intérêt légitime (gestion courante).
Une association à but politique, philosophique, religieux ou syndical peut par ailleurs traiter certaines données sensibles de ses seuls membres, dans le cadre de son activité, sans les communiquer à des tiers sans leur consentement. Le suivi durable de nombreux bénéficiaires peut, lui, faire entrer la structure dans les cas où un DPO doit être désigné.
Quel diagnostic pour votre structure ?
Une petite association de moins de cinq traitements peut commencer par le Diagnostic Essentiel à 350 €. Une association établie ou employeuse relève plutôt du Diagnostic Standard à 900 €. Une structure de l'ESS plus complexe, traitant des données sensibles ou opératrice d'une politique publique de grande ampleur, relève du Diagnostic Approfondi, sur devis.
Vous hésitez ? Commencez par l'Audit RGPD Express offert, restitué sous 72 heures, qui oriente vers le forfait adapté.
Questions fréquentes
Une association loi 1901 est-elle concernée par le RGPD ?
Oui. Le RGPD s'applique à toute structure qui traite des données personnelles, sans condition de taille, de budget ni de statut fiscal. Une association qui tient un simple fichier d'adhérents est responsable de traitement, qu'elle ait des salariés ou non. Le statut non lucratif ne change rien à cette obligation.
Faut-il tenir un registre des activités de traitement dans une association ?
Oui dans la quasi-totalité des cas. L'article 30 du RGPD impose ce registre à tout organisme. Pour une association, il recense par exemple le fichier des adhérents, la liste de diffusion, la gestion des bénévoles, les dossiers de subvention et les dons. Une dérogation existe pour les structures de moins de 250 salariés, mais elle ne joue que pour les traitements occasionnels, sans données sensibles et sans risque, ce qui ne concerne presque aucune association active.
Quelle base légale pour une association opératrice d'une politique publique ?
La base la plus adaptée est souvent la mission d'intérêt public (article 6.1.e du RGPD), lorsque l'association met en œuvre une mission confiée par une autorité publique. Selon les traitements, d'autres bases s'appliquent : le consentement pour une newsletter ou l'usage de l'image, l'obligation légale pour la comptabilité et les reçus fiscaux, l'intérêt légitime pour la gestion courante de la vie associative.
Une association peut-elle traiter des données sensibles de ses adhérents ?
Oui, mais de façon encadrée. Une association à but politique, philosophique, religieux ou syndical peut traiter certaines données sensibles de ses seuls membres, dans le cadre de son activité, sans les communiquer à des tiers sans le consentement des personnes. En dehors de ce cadre, le traitement de données sensibles suppose en principe le consentement explicite des personnes ou une autre exception prévue à l'article 9 du RGPD.
Notre association doit-elle désigner un délégué à la protection des données ?
Pas dans la plupart des cas. La désignation d'un DPO est obligatoire pour les organismes publics, en cas de suivi régulier et systématique de personnes à grande échelle, ou de traitement à grande échelle de données sensibles. Une association opératrice d'une politique publique qui suit durablement de nombreux bénéficiaires peut se trouver concernée. Même sans obligation, désigner un référent interne est recommandé.
Quelles obligations pour les données des donateurs et les reçus fiscaux ?
Les données des donateurs sont des données personnelles : elles doivent figurer au registre, être conservées le temps nécessaire et sécurisées. L'émission des reçus fiscaux et la comptabilité reposent sur une obligation légale, qui justifie la conservation des informations correspondantes pendant les durées prévues par la réglementation comptable et fiscale.
Quel forfait de diagnostic choisir pour une association ?
Une petite association de moins de cinq traitements peut commencer par le Diagnostic Essentiel. Une association établie, employeuse ou gérant plusieurs fichiers relève plutôt du Diagnostic Standard. Une structure de l'ESS plus complexe, traitant des données sensibles ou opératrice d'une politique publique de grande ampleur, relève du Diagnostic Approfondi, sur devis. L'Audit RGPD Express offert vous aide à situer votre besoin.
Évaluez la conformité de votre association
Commencez par l'Audit RGPD Express offert, ou commandez directement le diagnostic adapté à votre structure.