SimpliAsso SimpliAsso
Obligations & conformité

RGPD : ce qu'une association doit faire pour être en règle

Dès qu'elle gère des fichiers d'adhérents, une association traite des données personnelles et doit respecter le RGPD. Pas de panique : pour la plupart des associations, la mise en conformité est accessible. Voici les obligations concrètes et par quoi commencer.

L'association est responsable de traitement

En collectant des noms, e-mails, dates de naissance ou données de santé (certificats médicaux), l'association devient responsable de traitement. Elle doit pouvoir justifier pourquoi et comment elle utilise ces données.

Tenir un registre des traitements

Le registre des activités de traitement est la pièce maîtresse : il liste chaque usage des données (adhésions, dons, communication, billetterie…), la finalité, la base légale, les catégories de données, les destinataires et la durée de conservation.

Choisir la bonne base légale

Chaque traitement repose sur une base : exécution du contrat (gérer l'adhésion), obligation légale (comptabilité), intérêt légitime, ou consentement (newsletter, photos). Le consentement doit être libre, explicite et révocable.

Informer et respecter les droits

Informez clairement les personnes (mention RGPD sur les formulaires) et permettez l'exercice de leurs droits : accès, rectification, effacement, opposition, portabilité. Désignez un référent et répondez aux demandes dans le délai d'un mois.

Sécurité et données sensibles

Protégez les fichiers (mots de passe, accès limités, sauvegardes), limitez la collecte au strict nécessaire (minimisation), et fixez des durées de conservation (ex. archiver puis supprimer les anciens adhérents). En cas de fuite de données, une notification à la CNIL sous 72 h peut être requise. Un DPO n'est obligatoire que dans des cas limités.

Avec SimpliAsso

SimpliAsso vous aide à respecter le RGPD : export complet des données d'un membre en un clic, anonymisation, gestion des consentements et hébergement en France. La conformité devient un réflexe, pas une corvée.

Demander une démo → Voir les fonctionnalités

Questions fréquentes

Le RGPD s'applique-t-il aux petites associations ?

Oui. Le RGPD s'applique dès qu'une association traite des données personnelles, quelle que soit sa taille. Les obligations sont proportionnées au risque.

Une association doit-elle nommer un DPO ?

Pas dans la majorité des cas. La désignation d'un délégué à la protection des données n'est obligatoire que pour certains traitements (suivi à grande échelle, données sensibles à grande échelle). Désigner un référent reste une bonne pratique.

Combien de temps conserver les données des adhérents ?

Le temps nécessaire à la finalité : généralement la durée d'adhésion, puis un archivage limité pour les obligations comptables et légales, avant suppression. Définissez des durées dans votre registre.

À lire aussi

Reçu fiscal et réduction d'impôt : ce que votre association doit savoir Gérer les cotisations d'association : montant, encaissement et relances Assurance d'association : quand est-ce obligatoire, quoi assurer
← Tous les guides pour les associations