RGPD et associations : protéger les données de vos donateurs

Pourquoi le RGPD concerne toutes les associations

Beaucoup d'associations pensent, à tort, que le Règlement Général sur la Protection des Données (RGPD) ne les concerne pas. « Nous ne sommes pas une entreprise », « nous sommes une petite structure », « nous n'avons que des bénévoles »... Ces arguments, bien que compréhensibles, ne vous exonèrent pas de vos obligations.

La réalité est simple : dès que votre association collecte et traite des données personnelles — noms, adresses email, coordonnées bancaires, montants de dons — elle est soumise au RGPD, quelles que soient sa taille et sa forme juridique. Et les données des donateurs sont des données particulièrement sensibles qui nécessitent une protection rigoureuse.

Ce guide pratique vous aidera à comprendre vos obligations et à mettre en place les mesures nécessaires pour protéger les données de vos donateurs tout en maintenant une relation de confiance avec eux.

Les principes fondamentaux du RGPD pour les associations

Les 7 principes à respecter

Le RGPD repose sur sept principes fondamentaux que votre association doit intégrer dans tous ses traitements de données personnelles :

• Licéité, loyauté et transparence : vous devez informer clairement vos donateurs de l'utilisation que vous faites de leurs données. Pas de collecte cachée ni d'utilisation détournée.
• Limitation des finalités : les données collectées ne doivent servir qu'aux objectifs pour lesquels elles ont été recueillies. Si vous collectez un email pour envoyer un reçu fiscal, vous ne pouvez pas l'utiliser pour du démarchage commercial sans consentement spécifique.
• Minimisation des données : ne collectez que les données strictement nécessaires. Avez-vous vraiment besoin de la date de naissance ou de la profession de vos donateurs ?
• Exactitude : les données doivent être à jour et exactes. Mettez en place des procédures de vérification et de mise à jour régulières.
• Limitation de la conservation : les données ne doivent pas être conservées au-delà de la durée nécessaire à leur finalité. Définissez des durées de conservation claires.
• Intégrité et confidentialité : les données doivent être protégées contre les accès non autorisés, la perte ou la destruction.
• Responsabilité (accountability) : votre association doit pouvoir démontrer sa conformité au RGPD à tout moment.

Les bases légales du traitement pour les associations

Pour traiter des données personnelles, votre association doit s'appuyer sur une base légale parmi les six prévues par le RGPD. Les plus courantes pour les associations sont :

• Le consentement : le donateur accepte explicitement que ses données soient traitées (par exemple, pour recevoir votre newsletter).
• L'exécution d'un contrat : le traitement est nécessaire à l'exécution d'un engagement (par exemple, la gestion d'un don et l'émission du reçu fiscal correspondant).
• L'obligation légale : le traitement est imposé par la loi (par exemple, la conservation des pièces comptables pendant 10 ans).
• L'intérêt légitime : le traitement est nécessaire aux intérêts légitimes de l'association, à condition de ne pas porter atteinte aux droits des personnes concernées.

Attention : le consentement doit être libre, spécifique, éclairé et univoque. Une case pré-cochée sur votre formulaire de don ne constitue pas un consentement valide au sens du RGPD.

Le registre des traitements : votre document de référence

Qu'est-ce que le registre des traitements ?

Le registre des traitements est un document obligatoire pour toute association qui traite régulièrement des données personnelles. Il recense l'ensemble des traitements de données effectués par votre association et constitue la preuve de votre conformité au RGPD.

Pour chaque traitement, le registre doit indiquer :

• La finalité du traitement : pourquoi collectez-vous ces données ? (gestion des dons, envoi de newsletters, gestion des adhésions, etc.)
• Les catégories de données collectées : quelles données ? (nom, prénom, email, adresse, montant du don, coordonnées bancaires, etc.)
• Les catégories de personnes concernées : qui ? (donateurs, adhérents, bénévoles, bénéficiaires, etc.)
• Les destinataires des données : qui a accès aux données ? (salariés, bénévoles, prestataires, etc.)
• La durée de conservation : combien de temps les données sont-elles conservées ?
• Les mesures de sécurité : quelles protections sont en place ? (chiffrement, contrôle d'accès, sauvegardes, etc.)

Exemple de traitements courants dans une association

Voici les traitements de données les plus fréquents dans une association collectant des dons :

• Gestion des dons : collecte et conservation des informations des donateurs (identité, coordonnées, montants, dates, mode de paiement). Durée de conservation recommandée : 6 ans après le dernier don (obligation comptable).
• Émission des reçus fiscaux : génération et envoi des Cerfa. Conservation : 6 ans minimum (obligation fiscale).
• Communication par email : envoi de newsletters, appels aux dons, invitations. Base légale : consentement obligatoire.
• Gestion des adhésions : suivi des adhérents et cotisations. Conservation : durée de l'adhésion + 1 an.
• Gestion des bénévoles : coordination et communication. Conservation : durée de l'engagement + 1 an.

Le consentement : les règles à respecter

Comment recueillir un consentement valide

Le consentement est la base légale la plus utilisée par les associations pour la communication marketing (newsletters, appels aux dons par email). Pour être valide, il doit respecter quatre conditions cumulatives :

• Libre : le donateur ne doit pas être contraint. Le consentement ne doit pas être une condition obligatoire pour faire un don.
• Spécifique : chaque finalité doit faire l'objet d'un consentement distinct. Ne regroupez pas « recevoir le reçu fiscal » et « recevoir la newsletter » dans une seule case.
• Éclairé : le donateur doit comprendre clairement à quoi il consent. Utilisez un langage simple et précis.
• Univoque : le consentement doit résulter d'un acte positif clair (cocher une case, cliquer sur un bouton). Les cases pré-cochées sont interdites.

Gérer le retrait du consentement

Le RGPD prévoit que le donateur peut retirer son consentement à tout moment, aussi facilement qu'il l'a donné. Concrètement, votre association doit :

• Inclure un lien de désinscription dans chaque email marketing envoyé.
• Traiter les demandes de retrait de consentement dans un délai raisonnable (maximum un mois).
• Cesser immédiatement tout traitement fondé sur le consentement retiré.
• Conserver la preuve du retrait de consentement pour justifier l'arrêt du traitement.

Les droits des donateurs : comment y répondre

Les 8 droits des personnes concernées

Le RGPD confère aux donateurs huit droits fondamentaux que votre association doit être en mesure de respecter :

• Droit d'accès : le donateur peut demander à connaître l'ensemble des données que vous détenez sur lui. Vous devez répondre dans un délai d'un mois.
• Droit de rectification : le donateur peut demander la correction de données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : le donateur peut demander la suppression de ses données, sauf si une obligation légale impose leur conservation.
• Droit à la limitation du traitement : le donateur peut demander le gel temporaire du traitement de ses données dans certaines situations.
• Droit à la portabilité : le donateur peut récupérer ses données dans un format structuré et couramment utilisé.
• Droit d'opposition : le donateur peut s'opposer au traitement de ses données pour des motifs légitimes, notamment en matière de prospection.
• Droit de ne pas faire l'objet d'une décision automatisée : le donateur peut refuser qu'une décision le concernant soit prise uniquement sur la base d'un traitement automatisé.
• Droit d'être informé : le donateur doit être informé de manière claire et complète sur le traitement de ses données.

Mettre en place une procédure de gestion des demandes

Pour répondre efficacement aux demandes d'exercice de droits, votre association doit mettre en place une procédure claire et documentée :

• Désignez un référent chargé de recevoir et traiter les demandes (le DPO si vous en avez un, ou un responsable désigné).
• Créez une adresse email dédiée (par exemple : donnees@votre-association.org) facilement accessible.
• Définissez un processus de vérification d'identité pour vous assurer que la demande émane bien de la personne concernée.
• Respectez le délai d'un mois pour répondre à toute demande (prolongeable de deux mois en cas de demande complexe).
• Documentez chaque demande et la réponse apportée dans un registre de suivi.

La politique de confidentialité : un document incontournable

Que doit contenir votre politique de confidentialité

Votre association doit mettre à disposition de ses donateurs une politique de confidentialité complète et accessible. Ce document doit contenir :

• L'identité du responsable de traitement : nom de l'association, adresse du siège, coordonnées du référent données personnelles.
• Les finalités de chaque traitement et la base légale correspondante.
• Les catégories de données collectées et leur caractère obligatoire ou facultatif.
• Les destinataires des données (y compris les sous-traitants comme les prestataires de paiement).
• Les durées de conservation pour chaque catégorie de données.
• Les droits des personnes et les modalités pour les exercer.
• Les transferts de données hors UE, le cas échéant.
• La possibilité de déposer une plainte auprès de la CNIL.

Où rendre la politique de confidentialité accessible

La politique de confidentialité doit être facilement accessible à tout moment :

• Sur votre site web : un lien permanent dans le pied de page de toutes les pages.
• Sur votre page de don : un lien visible avant la validation du don.
• Dans vos formulaires : une mention et un lien au moment de la collecte des données.
• Dans vos emails : un lien dans le pied de page de chaque communication.

Le Délégué à la Protection des Données (DPO)

Quand la désignation d'un DPO est-elle obligatoire ?

La désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour toutes les associations. Elle l'est dans les cas suivants :

• Votre association est un organisme public (cas rare pour les associations loi 1901).
• Vos activités de base exigent un suivi régulier et systématique des personnes à grande échelle.
• Vous traitez à grande échelle des données sensibles (santé, opinions politiques, convictions religieuses, etc.).

Même si la désignation n'est pas obligatoire pour votre association, elle est fortement recommandée. Un référent données personnelles, même bénévole, peut assurer ce rôle.

Les missions du DPO associatif

Le DPO (ou référent données personnelles) a pour missions principales :

• Informer et conseiller les dirigeants et bénévoles sur les obligations RGPD.
• Vérifier le respect du RGPD dans l'ensemble des activités de l'association.
• Être le point de contact pour les donateurs qui souhaitent exercer leurs droits.
• Coopérer avec la CNIL en cas de contrôle.
• Tenir à jour le registre des traitements et la documentation de conformité.
• Gérer les violations de données (notification à la CNIL dans les 72 heures si nécessaire).

Les sanctions de la CNIL : un risque réel pour les associations

Les pouvoirs de contrôle de la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle étendus, y compris à l'égard des associations. Les contrôles peuvent prendre plusieurs formes :

• Contrôle en ligne : la CNIL vérifie la conformité de votre site web et de vos formulaires en ligne à distance.
• Contrôle sur place : des agents de la CNIL se rendent dans vos locaux pour vérifier vos pratiques.
• Contrôle sur pièces : la CNIL vous demande de transmettre des documents justifiant de votre conformité.
• Contrôle suite à plainte : un donateur mécontent peut saisir la CNIL, déclenchant un contrôle.

Les sanctions encourues

En cas de non-conformité, les sanctions peuvent être lourdes, même pour une association :

• Avertissement : la CNIL met en demeure l'association de se mettre en conformité dans un délai fixé.
• Injonction de cesser le traitement : la CNIL peut ordonner l'arrêt immédiat d'un traitement non conforme.
• Amende administrative : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (pour les organisations ayant un chiffre d'affaires). Pour les associations, les amendes sont généralement adaptées à la taille et aux moyens de la structure.
• Publication de la sanction : la CNIL peut rendre publique la sanction, ce qui représente un risque réputationnel majeur pour une association qui dépend de la confiance de ses donateurs.

En 2023, la CNIL a adressé plusieurs mises en demeure à des associations pour des manquements au RGPD, notamment liés à l'absence de politique de confidentialité ou au non-respect du droit d'opposition. La conformité RGPD n'est pas un luxe, c'est une nécessité.

Bonnes pratiques et checklist de conformité

Les bonnes pratiques au quotidien

Au-delà des obligations formelles, adoptez ces bonnes pratiques au quotidien pour protéger les données de vos donateurs :

• Limitez les accès : seules les personnes qui en ont besoin doivent accéder aux données des donateurs. Un bénévole en charge de la logistique n'a pas besoin d'accéder au fichier des donateurs.
• Utilisez des mots de passe robustes : imposez des mots de passe complexes et uniques pour chaque compte ayant accès aux données.
• Chiffrez les données sensibles : les coordonnées bancaires et les montants de dons doivent être chiffrés, tant en transit qu'au repos.
• Faites des sauvegardes régulières : sauvegardez vos données régulièrement et testez la restauration.
• Formez vos équipes : sensibilisez bénévoles et salariés aux enjeux de la protection des données. Un simple phishing peut compromettre l'ensemble de votre base de donateurs.
• Vérifiez vos sous-traitants : assurez-vous que vos prestataires (hébergeur web, outil emailing, solution de paiement) respectent le RGPD et signez des contrats de sous-traitance conformes.

Checklist de conformité RGPD pour votre association

Utilisez cette checklist pour vérifier votre niveau de conformité et identifier les actions prioritaires :

• Registre des traitements : avez-vous recensé et documenté l'ensemble de vos traitements de données personnelles ?
• Base légale : chaque traitement repose-t-il sur une base légale identifiée et documentée ?
• Information des personnes : vos donateurs sont-ils clairement informés de l'utilisation de leurs données au moment de la collecte ?
• Politique de confidentialité : disposez-vous d'une politique de confidentialité complète et accessible ?
• Consentement : le consentement est-il recueilli de manière conforme (case non pré-cochée, consentements distincts) ?
• Droits des personnes : avez-vous mis en place une procédure pour répondre aux demandes d'exercice de droits ?
• Sécurité : les mesures de sécurité techniques et organisationnelles sont-elles en place ?
• Sous-traitants : avez-vous vérifié la conformité RGPD de vos prestataires et signé des contrats de sous-traitance ?
• Durées de conservation : avez-vous défini et appliqué des durées de conservation pour chaque catégorie de données ?
• Violation de données : avez-vous prévu une procédure de notification en cas de violation (72 heures pour notifier la CNIL) ?

Comment Donoor vous aide à respecter le RGPD

Une plateforme conçue pour la conformité

Donoor a été conçu dès l'origine avec le respect du RGPD au cœur de son architecture. En utilisant Donoor pour votre collecte de dons, vous bénéficiez de :

• Hébergement en Europe : toutes les données sont hébergées sur des serveurs situés en Union européenne, garantissant le respect de la réglementation.
• Chiffrement des données : les données sensibles (coordonnées bancaires, informations personnelles) sont chiffrées en transit et au repos.
• Gestion des consentements : les formulaires de don intègrent nativement la gestion des consentements conformément au RGPD.
• Gestion des droits : les donateurs peuvent exercer facilement leurs droits (accès, rectification, suppression) directement depuis leur espace.
• Contrat de sous-traitance : Donoor met à votre disposition un contrat de sous-traitance RGPD prêt à l'emploi.

Conclusion : la conformité RGPD, un investissement pour la confiance

La conformité RGPD ne doit pas être perçue comme une contrainte bureaucratique, mais comme un investissement dans la confiance de vos donateurs. Dans un contexte où les scandales liés aux données personnelles font régulièrement la une, une association qui protège rigoureusement les données de ses soutiens se distingue positivement.

La mise en conformité peut sembler intimidante, mais elle est tout à fait accessible, même pour une petite association. Commencez par les fondamentaux : rédigez votre registre des traitements, mettez à jour votre politique de confidentialité, vérifiez vos formulaires de consentement. Et utilisez des outils comme Donoor, conçus pour la conformité, pour sécuriser vos traitements les plus sensibles.

Vos donateurs vous font confiance en vous confiant leurs données personnelles et financières. Honorez cette confiance en protégeant leurs informations avec le plus grand soin.