Bon, le RGPD pour les ASBL. J'vais être direct : j'ai accompagné une grosse dizaine d'asso depuis 2019 sur le sujet, et à chaque fois c'est la même tête dans le bureau. « Ah mais nous on est pas une boite, ça nous concerne pas trop hein ? ». Si. Ça vous concerne pareil qu'une SPRL de 5 personnes. L'APD belge fait pas la différence, et franchement les ASBL sont même un peu plus exposées parce que beaucoup gèrent des données sensibles : bénéficiaires sociaux, mineurs, données médicales parfois.
Bref. J'vais pas vous refaire le cours de droit, y'a 4000 articles qui font ça mieux que moi. J'vais vous dire ce qui compte vraiment quand on a 0,3 ETP pour gérer la conformité.
Le registre des traitements, le seul truc vraiment obligatoire à écrire
Si vous devez faire UNE chose cette semaine, c'est ça. Le registre. C'est un document qui liste ce que vous faites avec les données : la liste des adhérents, la newsletter, les inscriptions aux activités, les photos d'événements, le fichier des donateurs, etc. Pour chaque truc vous expliquez pourquoi vous le faites, sur quelle base légale, combien de temps vous gardez, qui peut y toucher.
L'APD a un modèle Word à télécharger qui est franchement pas mal fait. J'le donne à toutes les asso que j'accompagne. Comptez une bonne demi-journée pour le remplir sérieusement, deux si vous voulez le finir. Tiens, en mars 2024 j'ai bossé là-dessus avec une asso d'aide aux devoirs à Wavre, on a découvert au passage qu'ils gardaient des bulletins scolaires de 2017 dans un drive partagé que personne avait nettoyé depuis. Ça arrive plus souvent qu'on croit.
Le registre c'est pas un truc à classer dans un tiroir. C'est l'outil de pilotage. Vous le ressortez chaque année à l'AG, vous mettez à jour les changements (nouveau CRM, nouveau prestataire mailing, etc.), et basta.
Consentement vs intérêt légitime, le truc que tout le monde se plante
Honnêtement c'est là que j'vois le plus d'erreurs. Les gens balancent une case « j'accepte de recevoir la newsletter » à la fin d'un formulaire d'adhésion et ils pensent que c'est bon. Bah non. Si la case est précochée, si elle est obligatoire pour adhérer, si elle est noyée dans un mur de texte, le consentement vaut zéro juridiquement.
Le bon réflexe : pour la newsletter c'est consentement explicite, case décochée par défaut, séparée du formulaire d'adhésion. Pour communiquer avec vos adhérents sur la vie de l'asso (AG, cotisation, activités) c'est intérêt légitime ou exécution du contrat d'adhésion, pas besoin de consentement séparé. Pour les photos d'événement on est entre les deux : un panneau visible à l'entrée + formulaire d'opposition disponible, et pour les mineurs c'est autorisation parentale écrite, point.
Cas concret. En janvier 2025 une asso culturelle de Namur (j'tairai le nom) s'est pris une plainte d'un ex-bénévole dont la photo était toujours sur leur site 4 ans après. L'APD a pas mis d'amende mais a obligé à retirer + à mettre une procédure. Coût pour eux : 1200 € de mon temps pour refaire la politique photo et 0 € d'amende. Si la plainte avait été plus appuyée ça aurait pu monter. Le mec voulait juste pas être visible quand il cherchait du taf.
Combien de temps on garde, ça dépend
Le piège classique c'est de tout garder « au cas où ». J'ai vu des asso avec des fichiers excel de 2009. Vraiment. Du coup quelques règles que j'applique :
Les adhérents en cours, vous gardez tant qu'ils sont membres. Quand ils partent, 3 ans de plus pour les relances de réadhésion et c'est tout. La compta c'est 7 ans, c'est l'obligation fiscale belge, ça écrase le RGPD sur ce point. Les CV de bénévoles que vous recrutez pas, 6 mois max et poubelle. Les newsletters c'est tant qu'ils sont inscrits, une fois désinscrits vous gardez juste l'email dans une liste de suppression pour pas les recontacter par erreur.
Pour les photos j'conseille 5 ans, sauf consentement écrit pour plus long. Au-delà de 5 ans franchement vous savez plus qui est sur la photo.
Les sous-traitants, le DPA c'est pas optionnel
Tous les outils que vous utilisez et qui touchent aux données des gens, faut un contrat. Mailchimp, Brevo, Google Workspace, Microsoft 365, votre hébergeur, votre CRM. Le contrat ça s'appelle un DPA (Data Processing Agreement). La bonne nouvelle c'est que les gros prestataires le fournissent gratos, faut juste le signer (souvent c'est une case dans les paramètres du compte) et le ranger dans un dossier.
Mauvaise nouvelle : si vous utilisez un truc américain genre HubSpot, Salesforce, Mailchimp, vous transférez des données hors UE. Depuis le Data Privacy Framework de juillet 2023 c'est techniquement OK pour les boîtes certifiées DPF, mais c'est instable juridiquement, j'ai des clients qui sont passés à Brevo (français) ou Listmonk (auto-hébergé) pour s'épargner le sujet. Pour une asso c'est souvent plus simple ouais.
Droit d'accès et droit à l'oubli, la procédure à avoir prête
Quelqu'un vous écrit « je veux savoir ce que vous avez sur moi » ou « supprimez-moi de partout », vous avez 1 mois pour répondre. Si vous attendez le mail pour découvrir ce qu'il faut faire, c'est mort, vous serez en retard.
Donc préparez maintenant : qui reçoit la demande (souvent le secrétaire ou le trésorier), comment on extrait les données (export CSV depuis le CRM, extraction du mailing tool, vérif du Drive), comment on confirme l'identité du demandeur (c'est important, faut pas envoyer les données à n'importe qui qui prétend être Marie Dupont). Une fiche A4, ça suffit. Vous la mettez dans le drive de l'asso, le jour J vous la déroulez.
La fuite de données, 72h chrono
Si quelque chose merde – ordi volé, fichier envoyé en CC à 300 personnes au lieu de CCI, base piratée – vous avez 72 heures pour notifier l'APD via leur formulaire en ligne. C'est court. Et c'est pas négociable.
J'connais une asso socio-culturelle qui s'est fait ransomware en septembre 2024, ils ont mis 5 jours à notifier parce qu'ils ont d'abord essayé de tout réparer en interne. L'APD a pas bronché sur la fuite elle-même (c'est pas une faute en soi, ça arrive), mais le retard de notification a coûté 8000 €. Moralité : vous notifiez d'abord, vous gérez ensuite.
Le bandeau cookies, vite fait
Si votre site a Google Analytics ou un pixel Meta, vous devez avoir un bandeau qui propose vraiment le refus. Pas un bouton « Accepter » bien gros et un lien « paramètres » planqué en gris. Refuser doit être aussi facile qu'accepter, c'est ça la règle. Tarteaucitron (open-source, français) fait le job pour 0 €. Cookiebot aussi gratuit jusqu'à 100 pages.
Et tant qu'on a pas cliqué, les trackers se chargent pas. Si vous voyez Analytics se déclencher avant le clic, c'est foutu, faut corriger.
Ce que ça donne en vrai
Une asso qui fait le boulot sérieusement, c'est 2 jours initiaux pour poser la base (registre + politique de conf + bandeau + DPA + procédures), puis 3-4 heures par an pour mettre à jour. Pas de quoi en faire une crise existentielle. Le seul vrai piège c'est de pas commencer du tout, parce que le jour où une plainte tombe ou qu'un contrôle APD démarre, vous avez 0 papiers à montrer et là ça pique.
Si vous voulez un coup de main pour démarrer le registre ou auditer ce qui existe déjà, j'fais ça en 1 ou 2 sessions de travail avec vous. C'est pas mon métier de juriste, j'fais le côté pratique : on remplit le registre ensemble, on configure le bandeau cookies, on rédige les procédures, et vous repartez avec un dossier qui tient debout.
Une question sur ce sujet ?
Cette lecture vous a donné envie d'agir mais vous avez une question spécifique à votre contexte ? On en discute 30 minutes, sans engagement.
Me contacter