Guide expert

RGPD pour ASBL : checklist pratique 2026

· 4 min de lecture · 869 mots · par Stéphane

Le RGPD ne fait pas exception pour les ASBL. Une association qui gère 200 adhérents, une newsletter de 1500 personnes, ou une base de bénéficiaires sociaux est soumise aux mêmes règles qu'une entreprise. Voici la checklist concrète pour vous mettre en conformité, sans perdre 3 mois en juridique.

Vous êtes-vous conformes ? 5 questions test

Si vous répondez "oui" à au moins 3 de ces questions, vous avez un problème de conformité :

  • Vous envoyez des newsletters à des contacts récupérés "comme ça" (cartes de visite, contacts pros)
  • Votre site n'a pas de bandeau cookies conforme (avec choix granulaire)
  • Vous ne savez pas exactement où sont stockées vos données adhérents
  • Vous n'avez jamais formalisé qui peut accéder à vos données
  • Un adhérent qui demande la suppression de ses données ne reçoit pas de réponse en 1 mois

Le registre des traitements — obligatoire et utile

C'est l'obligation centrale du RGPD pour les ASBL. Un document Word de 10 pages qui liste tous vos traitements de données : adhérents, bénévoles, donateurs, newsletter, événements, réseaux sociaux.

Pour chaque traitement, le registre indique :

  • Finalité (ex. "gestion des cotisations annuelles")
  • Catégories de personnes concernées
  • Catégories de données collectées
  • Base légale (consentement, intérêt légitime, obligation légale, contrat)
  • Durée de conservation
  • Destinataires (qui voit ces données ?)
  • Mesures de sécurité

Notre recommandation Téléchargez le modèle de registre de l'APD belge (autorité de protection des données) et adaptez-le. Comptez 1 à 2 journées de travail pour le remplir correctement.

Le consentement — la pierre angulaire

Pour la plupart des traitements ASBL (newsletter, photos d'événements, partenariats), il faut un consentement explicite, libre, éclairé et tracé.

"Tracé", c'est important : vous devez pouvoir prouver, 5 ans après, que cet adhérent a coché la case. Conservez les logs ou utilisez un outil qui le fait pour vous (Mailchimp, Sendinblue, Brevo).

Cas spéciaux :

  • Photos d'événements : panneau d'information à l'entrée, formulaire d'opposition disponible. Pour les mineurs : autorisation parentale écrite obligatoire.
  • Anciens adhérents : vous ne pouvez plus leur envoyer de newsletter sauf si la cotisation explicitait l'accord pour communications futures.
  • Donateurs : nom et montant peuvent être affichés s'ils ont consenti, pas par défaut.

Les durées de conservation

Vos données ne sont pas conservées "à vie". Des durées concrètes pour une ASBL :

  • Adhérents actifs : durant l'adhésion + 3 ans après le dernier renouvellement
  • Pièces comptables (dons, factures) : 7 ans (obligation fiscale belge)
  • Newsletters : tant que la personne est inscrite + 1 an après désinscription pour bouclage
  • CV de bénévoles non retenus : 6 mois maximum
  • Photos d'événements : 5 ans maximum sauf consentement spécifique

Les sous-traitants — qui voit vos données ?

Vous devez avoir un contrat de sous-traitance (DPA) avec tout outil qui héberge vos données : votre fournisseur d'emails (Google, Microsoft, Brevo), votre CRM (HubSpot, Odoo), votre hébergement web (OVH, Infomaniak).

Bonne nouvelle : ces DPA sont fournis gratuitement par les grands acteurs. Mauvaise nouvelle : il faut les signer (numériquement) et les conserver.

Site web et bandeau cookies

Le bandeau cookies a évolué. En 2026, ce qui est obligatoire :

  • Refus aussi facile que l'acceptation : un bouton "Refuser tout" aussi visible que "Accepter tout"
  • Choix granulaire : possibilité d'accepter certaines catégories (statistiques) et refuser d'autres (marketing)
  • Cookies bloqués avant consentement : Google Analytics, Facebook Pixel, etc. ne se chargent qu'après acceptation
  • Lien permanent vers les paramètres dans le footer

Outils gratuits qui font le boulot : Tarteaucitron (français, open-source), Cookiebot (gratuit jusqu'à 100 pages).

En cas de fuite de données : 72h pour notifier

Si vos données fuitent (ordinateur volé, base piratée, email envoyé en CC à 200 personnes), vous avez 72 heures pour notifier l'APD belge. Au-delà, c'est une infraction supplémentaire.

Préparez maintenant : qui est responsable ? Quelle est la procédure ? Comment évaluer la gravité ? C'est exactement comme un plan d'évacuation incendie : on ne le rédige pas pendant l'incendie.

Les sanctions sont réelles

L'APD belge a infligé en 2024-2025 plusieurs amendes à des ASBL : 5 000 € pour newsletter sans consentement, 15 000 € pour défaut de registre des traitements après contrôle, 50 000 € pour fuite non notifiée. Le mythe "les ASBL sont épargnées" est mort.

Checklist : votre conformité RGPD en 8 actions

  • Registre des traitements rédigé et à jour (revu chaque année)
  • Politique de confidentialité publiée sur le site, à jour
  • Bandeau cookies conforme (refus aussi facile qu'acceptation)
  • Consentement explicite tracé pour newsletters et communications
  • DPA signés avec tous les sous-traitants (hébergeur, emailing, CRM)
  • Procédure d'accès/suppression documentée et testée
  • Plan de notification de fuite rédigé (qui fait quoi en 72h)
  • Formation annuelle de l'équipe (1h suffit)

Le RGPD pour ASBL n'est pas un mur juridique infranchissable. C'est une discipline qui, bien intégrée, structure votre relation aux adhérents. Une fois la base posée, l'effort annuel se réduit à quelques heures.

Une question sur ce sujet ?

Cette lecture vous a donné envie d'agir mais vous avez une question spécifique à votre contexte ? On en discute 30 minutes, sans engagement.

Me contacter