En 2025, la CNIL a prononcé 87 sanctions pour un total de 487 millions d’euros d’amendes (source : CNIL, bilan 2025). Parmi les manquements les plus fréquemment relevés : l’absence ou l’obsolescence du registre des traitements. Ce document, prévu par l’article 30 du RGPD, reste le pilier de la conformité. Et les associations loi 1901, malgré leur statut non lucratif, ne font pas exception.
Votre fichier d’adhérents, votre liste de diffusion, vos dossiers de subventions : chaque traitement de données personnelles doit figurer dans un registre. Mais concrètement, par où commencer ?
Qui est obligé de tenir un registre des traitements ?
La règle générale
L’article 30 du RGPD impose la tenue d’un registre des activités de traitement à tout organisme, public ou privé, quelle que soit sa taille (source : CNIL). Les associations loi 1901 sont donc concernées au même titre que les entreprises.
L’exception qui ne s’applique (presque) jamais
Le RGPD prévoit une dérogation pour les organismes de moins de 250 salariés. Mais cette dérogation ne s’applique que si les traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent pas de risque pour les droits et libertés des personnes.
En pratique, dès que votre association :
- gère un fichier d’adhérents mis à jour régulièrement (traitement non occasionnel),
- envoie des newsletters ou des emails de communication,
- collecte des certificats médicaux (données de santé),
- publie des photos d’adhérents ou de bénévoles,
…l’exception tombe. Vous devez tenir un registre des traitements.
Autrement dit : la quasi-totalité des associations actives est concernée, y compris celles qui n’ont aucun salarié.
Que contient le registre des traitements ?
Le registre documente, pour chaque traitement de données personnelles, les informations suivantes :
Les éléments obligatoires
| Élément | Description | Exemple pour une association |
|---|---|---|
| Nom du traitement | Intitulé clair et descriptif | Gestion des adhésions annuelles |
| Finalité | Pourquoi vous traitez ces données | Suivi des cotisations et communication interne |
| Base légale | Justification juridique | Exécution du contrat d’adhésion |
| Catégories de données | Types de données collectées | Nom, prénom, email, téléphone, date de naissance |
| Catégories de personnes | Qui est concerné | Adhérents, bénévoles, donateurs |
| Destinataires | Qui accède aux données | Bureau de l’association, trésorier, hébergeur web |
| Durée de conservation | Combien de temps vous gardez les données | Durée de l’adhésion + 3 ans |
| Mesures de sécurité | Comment vous protégez les données | Accès par mot de passe, chiffrement, sauvegardes |
Les transferts hors UE
Si vos données transitent par des services hébergés hors de l’Union européenne (certains outils de mailing, par exemple), vous devez le mentionner dans le registre et indiquer les garanties mises en place.
Les traitements typiques d’une association
Chaque association a des besoins différents, mais certains traitements reviennent systématiquement. Voici les plus courants.
Gestion des adhésions
C’est le traitement principal. Vous collectez nom, prénom, coordonnées, date de naissance, montant de cotisation. La base légale est l’exécution du contrat d’adhésion. Durée de conservation recommandée : durée de l’adhésion plus 3 ans après le dernier renouvellement (source : CNIL, Guide associations).
Communication par email et notifications
Newsletters, convocations aux assemblées générales, informations sur les événements : ces envois constituent un traitement distinct. La base légale est l’intérêt légitime de l’association (informer ses membres de ses activités). Chaque email doit contenir un lien de désinscription.
Avec une application comme Asso en Direct, les notifications push remplacent avantageusement les emails : le consentement est natif (l’adhérent a téléchargé l’appli et autorisé les notifications) et la désinscription se fait directement depuis les réglages du téléphone.
Publication de photos et vidéos
Photos d’événements, vidéos de compétitions, galeries sur les réseaux sociaux : la base légale est le consentement. Vous devez obtenir une autorisation de droit à l’image distincte du formulaire d’adhésion, et permettre le retrait de ce consentement à tout moment.
Gestion des dons et reçus fiscaux
Si votre association délivre des reçus fiscaux, vous traitez des données nominatives et financières. La base légale est l’obligation légale (délivrance du reçu fiscal). Durée de conservation : 6 ans (durée de prescription fiscale, article L102 B du Livre des procédures fiscales).
Inscriptions aux événements
Sorties, tournois, assemblées générales : chaque inscription génère un traitement de données. La finalité est la gestion logistique de l’événement. Les données doivent être supprimées une fois l’événement passé, sauf nécessité de conservation (assurance, par exemple).
Cas pratique : association sportive
Prenons le cas d’un club de football amateur affilié à la FFF, avec 250 licenciés, 40 bénévoles et un salarié (éducateur sportif).
Les traitements à inscrire au registre
-
Gestion des licences : nom, prénom, date de naissance, certificat médical, photo d’identité. Base légale : exécution du contrat (licence sportive). Destinataires : bureau, commission médicale, fédération.
-
Fichier des bénévoles : coordonnées, disponibilités, habilitations (BAFA, PSC1). Base légale : intérêt légitime. Durée : durée de l’engagement + 1 an.
-
Gestion de la paie : données de l’éducateur salarié. Base légale : obligation légale (Code du travail). Durée : 5 ans après le départ.
-
Photos de matchs et entraînements : images publiées sur l’appli et les réseaux sociaux. Base légale : consentement (clause de droit à l’image). Attention particulière pour les mineurs : autorisation des deux parents obligatoire.
-
Communication via l’appli : envoi de notifications push et d’actualités via Asso en Direct. Base légale : intérêt légitime. Durée : tant que l’appli est installée.
Les pièges à éviter
- Le certificat médical est une donnée de santé (donnée sensible). Son accès doit être strictement limité au responsable médical.
- La transmission du fichier des licenciés à un sponsor ou un partenaire commercial est interdite sans consentement explicite de chaque adhérent.
- Les photos de mineurs lors de compétitions ne doivent pas être publiées sans autorisation parentale, même si les parents étaient présents au bord du terrain.
Cas pratique : association culturelle
Une troupe de théâtre amateur de 80 membres gère des inscriptions, des spectacles et un site web.
Les traitements spécifiques
-
Inscriptions aux ateliers : nom, prénom, niveau, préférences horaires. Base légale : exécution du contrat d’adhésion.
-
Billetterie des spectacles : nom de l’acheteur, email, historique d’achats. Base légale : exécution du contrat de vente. Durée : 3 ans (prescription civile).
-
Captation vidéo des spectacles : images des comédiens et du public. Base légale : consentement pour les comédiens (clause dans le règlement intérieur), intérêt légitime pour les plans larges du public sans identification possible.
-
Site web et cookies : l’association utilise Google Analytics sur son site. Ce traitement doit figurer au registre, avec mention du transfert de données vers les États-Unis et des garanties associées.
Outils pour tenir votre registre
Le tableur : simple et efficace
Pour la majorité des associations, un tableur (Excel, Google Sheets, LibreOffice Calc) suffit. La CNIL propose un modèle de registre simplifié téléchargeable gratuitement (source : CNIL, modèle de registre simplifié). Ce modèle contient les colonnes obligatoires et des exemples pré-remplis.
Avantages : gratuit, modifiable, partageable au sein du bureau. Limites : pas de rappels automatiques, pas de suivi des modifications, risque de fichier obsolète.
Les logiciels de conformité RGPD
Pour les associations de plus grande taille (fédérations, unions sportives), des outils dédiés existent : Leto, Dastra, Witik. Ils offrent des modèles pré-remplis, des alertes de mise à jour et un suivi d’audit.
Avantages : automatisation, historique des modifications, export pour contrôle CNIL. Limites : coût mensuel (de 30 à 200 euros par mois selon la solution).
Notre recommandation
Pour une association de moins de 500 adhérents, le modèle CNIL sur tableur est largement suffisant. Désignez un responsable (le secrétaire ou le DPO si vous en avez un) qui mettra le registre à jour à chaque nouveau traitement ou modification. Planifiez une revue annuelle, par exemple lors de la préparation de l’assemblée générale.
Sanctions : ce que risque une association
L’approche de la CNIL
La CNIL adopte une approche graduée. Pour les petites structures de bonne foi, elle privilégie l’accompagnement : rappel à l’ordre, mise en demeure avec délai de mise en conformité. Les amendes visent les organismes récalcitrants ou ceux qui traitent des données sensibles sans précaution.
Les montants
Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En pratique, la procédure simplifiée de la CNIL permet de sanctionner rapidement avec des amendes jusqu’à 20 000 euros (source : CNIL, bilan sanctions 2025). Pour une association, ce montant peut être fatal.
Le risque réputationnel
Au-delà de l’amende, une plainte CNIL d’un adhérent mécontent ou une fuite de données entame durablement la confiance de vos membres. Le registre des traitements est votre meilleure assurance : il prouve votre sérieux et votre transparence.
Comment démarrer en 1 heure
Voici un plan d’action réaliste pour mettre en place votre registre dès cette semaine :
1. Téléchargez le modèle CNIL (5 minutes) Rendez-vous sur le site de la CNIL et téléchargez le modèle de registre simplifié.
2. Listez vos traitements (20 minutes) Faites le tour de vos outils : tableur d’adhérents, outil de mailing, appli mobile, réseaux sociaux, comptabilité. Chaque outil qui contient des données personnelles correspond à un ou plusieurs traitements.
3. Remplissez une ligne par traitement (30 minutes) Pour chaque traitement, indiquez la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité.
4. Faites valider par le bureau (5 minutes) Présentez le registre lors de la prochaine réunion de bureau. Chaque membre doit comprendre quels traitements relèvent de sa responsabilité.
5. Planifiez la revue annuelle Ajoutez un point “registre des traitements” à l’ordre du jour de votre assemblée générale ou de votre premier bureau de rentrée.
Le registre, socle de votre conformité
Le registre des traitements n’est pas un document administratif de plus. C’est la colonne vertébrale de votre conformité RGPD. Il vous oblige à réfléchir à chaque donnée collectée, à justifier sa nécessité, et à organiser sa protection. Pour une association, c’est aussi un gage de sérieux vis-à-vis de vos adhérents, de vos partenaires et des collectivités qui vous subventionnent.
Asso en Direct vous accompagne dans cette démarche : les données de vos adhérents sont hébergées de manière sécurisée, les accès sont gérés par rôle, et les fonctionnalités de l’application respectent les principes de minimisation et de sécurité par défaut.
Vous souhaitez structurer la communication de votre association tout en respectant le RGPD ? Réservez votre démo et découvrez comment Asso en Direct simplifie la conformité.
Cet article fait partie de notre Guide pour associations.
