| Réponse rapide |
|---|
|
Oui, une association caritative pilote sa conformité RGPD sans DPO, sans juriste et sans budget conséquent : un logiciel dédié automatise le registre des traitements, l'information des personnes et la gestion des droits. En 2026, le Règlement (UE) 2016/679 (RGPD) et la loi Informatique et Libertés (loi n° 78-17) s'appliquent à toute structure qui traite des données personnelles. La France compte plus de 1,3 million d'associations, souvent dépourvues de ressources dédiées à la protection des données (CNIL). Une association reste contrôlable et sanctionnable jusqu'à 20 millions d'euros au titre de l'article 83 du RGPD. Cette page s'inscrit dans une démarche outillée par un logiciel RGPD de pilotage de la conformité. IZIRO transforme chaque obligation légale en gain de temps mesurable, grâce à des modèles préconfigurés qui évitent de partir d'une page blanche.
Toute association loi 1901 qui traite des données personnelles est soumise au RGPD, sans seuil de taille ni d'effectif.
Le RGPD ne prévoit aucun seuil d'exonération lié à la taille : dès qu'une association gère le moindre fichier d'adhérents ou de donateurs, même dans un tableur, elle doit respecter le règlement. La CNIL a publié en 2022 un Guide de sensibilisation au RGPD pour les associations qui le confirme et fixe un plan d'action. Le principe central est l'accountability (Art. 5.2) : l'association doit pouvoir démontrer sa conformité. Les obligations minimales sont :
Une association caritative manipule au quotidien des catégories de données variées, parfois sensibles. Chaque finalité correspond à un traitement distinct à documenter :
| Définition clé |
|---|
| Registre des traitements : document obligatoire (Art. 30 du RGPD) qui cartographie chaque traitement de données de l'association — finalité, base légale, durée de conservation, destinataires et mesures de sécurité. |
Le registre des activités de traitement recense tous vos fichiers et constitue la première preuve de conformité attendue par la CNIL.
Le registre est obligatoire pour quasiment toutes les associations actives. L'exemption prévue pour les organismes de moins de 250 personnes (Art. 30.5) ne s'applique pas dès lors que les traitements ne sont pas occasionnels ou portent sur des données sensibles : c'est le cas d'une association gérant des adhésions, des dons et des bénéficiaires. Selon le Guide CNIL associations, un registre type comporte généralement entre 5 et 15 fiches de traitement. IZIRO centralise ces fiches et génére les exports attendus pour un audit, utile pour produire un reporting de conformité avec preuves et audit trail.
La bibliothèque sectorielle d'IZIRO (+40 secteurspré-paramétrés) fournit un socle de traitements adaptable au contexte associatif : gestion des adhérents, collecte de cotisations, campagnes de dons, communication. Vous adaptez un modèle existant au lieu de rédiger un registre de zéro. Le tableau de bord affiche l'état de conformité en temps réel et les priorités. Concrètement, IZIRO couvre chaque obligation par une fonctionnalité dédiée :
| Obligation RGPD | Fonctionnalité IZIRO | Risque couvert |
|---|---|---|
| Registre (Art. 30) | Registre préconfiguré et exportable | Défaut de pilotage en cas de contrôle |
| Information (Art. 13) | Gestion documentaire des mentions | Défaut de transparence |
| Droits (Art. 12-22) | Module exercice des droits avec alerte de délai | Dépassement du délai d'un mois |
| Violations (Art. 33) | Registre des violations aligné sur le formulaire CNIL | Non-notification sous 72 heures |
| Analyse de risque (Art. 35) | Module AIPD/DPIA (méthode PIA de la CNIL) | Traitement sensible non évalué |
La protection des données des bénévoles et adhérents repose sur des finalités claires, une base légale par traitement et des accès strictement encadrés.
Chaque traitement d'adhérents ou de membres doit reposer sur une base légale qualifiée au titre de l'article 6 du RGPD. La gestion des cotisations s'appuie généralement sur l'exécution du contrat d'adhésion, tandis que d'autres finalités relevant du consentement ou de l'intérêt légitime :
IZIRO repose sur des accès par rôles (Utilisateur, Responsable RGPD, DPO) avec un workflow de validation : un bénévole saisit ou met à jour un traitement, mais rien n'entre au registre sans validation finale. Cette granularité répond aux recommandations de l'ANSSI et de la CNIL pour les associations : identifiants individuels, mots de passe robustes, accès sur canal chiffré (https) et clôture des comptes en fin de mission. Pour une structure bénévole, viser un logiciel RGPD simple à prendre en main évite les erreurs de manipulation.
Un fichier donateurs conforme suppose une base légale identifiée, une information transparente et des durées de conservation maîtrisées.
La sollicitation de dons s'appuie soit sur le consentement, soit sur l'intérêt légitime, selon le canal utilisé. Pour une première prise de contact par voie électronique (e-mail, SMS), le consentement préalable est requis. IZIRO documente la base légale retenue pour chaque traitement directement dans la fiche de registre, ce qui matérialise l'arbitrage en cas de contrôle.
| Définition clé |
|---|
| Intérêt légitime : base légale (Art. 6.1.f) permettant de traiter des données sans consentement, à condition d'informer les personnes et de leur garantir un droit d'opposition simple et gratuit. |
L'article 13 du RGPD impose d'informer le donateur au moment de la collecte. Le formulaire de don en ligne doit afficher :
Les durées de conservation se paramètrent par traitement dans le registre IZIRO. Les repères usuels sont :
| Type de données | Durée indicative | Fondement |
|---|---|---|
| Adhérents / bénévoles actifs | Durée de la relation | Exécution du contrat |
| Prospects / contacts sans don | 3 ans après le dernier contact | Recommandation CNIL |
| Pièces comptables et reçus fiscaux | 10 ans | Code de commerce (art. L123-22) |
| Données liées aux legs | Durée nécessaire au traitement | Obligation légale |
La prospection caritative peut reposer sur l'intérêt légitime avec un droit d'opposition simple et gratuit, contrairement à la prospection commerciale électronique qui exige le consentement.
La CNIL distingue clairement la prospection caritative de la prospection commerciale. Une association faisant appel à la générosité du public peut, dans certains cas, fonder ses sollicitations sur l'intérêt légitime, à condition d'informer les personnes et de leur permettre de s'opposer simplement (logique d'opt-out). Les règles à respecter pour vos campagnes de mailing :
Le module exercice des droits d'IZIRO centralise les demandes (accès, rectification, opposition, effacement) et un système d'alerte garantit le respect du délai légal de réponse d'un mois (Art. 12). Pour industrialiser la collecte des demandes, IZIRO permet de centraliser les demandes d'exercice des droits via un formulaire web. Chaque désinscription est ainsi tracée et horodatée, ce qui constitue une preuve en cas de réclamation.
Une association qui traite à grande échelle des données sensibles de bénéficiaires vulnérables doit réaliser une AIPD au titre de l'article 35 du RGPD.
Les associations caritatives accompagnant des publics vulnérables traitent souvent des données sensibles (santé, précarité, convictions) relevant de l'article 9 du RGPD, ce qui déclenche fréquemment une analyse d'impact. Le module AIPD/DPIA d'IZIRO, conforme à la méthode PIA de la CNIL, vérifie automatiquement les critères de déclenchement et relie l'analyse à la fiche de traitement. En cas d'incident, le registre des violations vous aide à configurer une alerte de violation de données sous 72 heures et à préparer la déclaration à la CNIL.
| Définition clé |
|---|
| AIPD (Analyse d'Impact relative à la Protection des Données) : étude obligatoire (Art. 35) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes, notamment en cas de données sensibles à grande échelle. |
IZIRO rend la conformité accessible à une petite association avec un tarif unique tout compris à partir de 28 € HT/mois, sans module à la carte.
IZIRO propose un tarif unique à partir de 28 € HT/mois incluant le registre illimité, le module AIPD/DPIA, l'exercice des droits et la bibliothèque sectorielle, sans frais caché. L'essai est gratuit 15 jours, sans carte bancaire et sans engagement ; le support répond sous 48 heures ouvrées ; vos données sont hébergées en France sur des serveurs certifiés ISO 27001 ; et la réversibilité est garantie (récupération des données au format standard sous 30 jours). Plus de 150 organisations pilotent déjà leur conformité avec IZIRO. À noter : IZIRO pilote la conformité, il ne gère pas l'opérationnel des adhésions ou des dons — il complète votre outil de gestion associative en le cartographiant comme sous-traitant.
| Critère | Logiciel de gestion associative | Logiciel RGPD dédié (IZIRO) |
|---|---|---|
| Rôle | Traite les données (adhésions, dons) | Pilote la conformité (registre, droits) |
| Registre Art. 30 | Absent ou partiel | Préconfiguré et exportable |
| AIPD (Art. 35) | Non couvert | Module natif méthode PIA |
| Preuves d'accountability | Limitées | Exports horodatés pour audit |
Pour comparer les options du marché, deux ressources complémentaires : les limites d'un logiciel RGPD gratuit et l'arbitrage entre une solution open source et un logiciel RGPD en SaaS.
Oui. IZIRO applique un tarif unique tout compris à partir de 28 € HT/mois : registre illimité, module AIPD/DPIA, exercice des droits et bibliothèque sectorielle (+40 secteurs) sont inclus, sans module à la carte ni frais caché. Une association ne paie donc jamais de supplément, même en utilisant un périmètre réduit. Essai gratuit 15 jours, sans carte bancaire, sans engagement.
Oui, dès qu'elle traite à grande échelle des données sensibles (santé, précarité, convictions) de publics vulnérables. L'article 35 du RGPD impose alors une AIPD/DPIA. Le module AIPD natif d'IZIRO, conforme à la méthode PIA de la CNIL, vérifie automatiquement les critères de déclenchement et relie l'analyse à la fiche de traitement concernée.
IZIRO repose sur des accès par rôles (Utilisateur, Responsable RGPD, DPO) avec workflow de validation : un bénévole saisit ou met à jour un traitement, mais rien n'entre au registre sans validation finale. La passation reste fluide : l'historique, les preuves et la documentation demeurent centralisés malgré le renouvellement des équipes.
Ils sont complémentaires, pas concurrents. Votre outil associatif traite les données ; IZIRO pilote la conformité : registre Art. 30, AIPD, registre des violations, exercice des droits. IZIRO cartographie même ces outils comme sous-traitants (Art. 28), centralise leurs DPA et matérialise l'accountability (Art. 5.2) exigée par la CNIL.
Pas systématiquement. L'article 37 du RGPD rend le DPO obligatoire surtout en cas de suivi régulier à grande échelle ou de traitement à grande échelle de données sensibles, fréquent dans l'action sociale. Hors de ces cas, la désignation est facultative mais l'accountability demeure. IZIRO outille la fonction, que le DPO soit interne, mutualisé ou externe.
Vos données restent votre propriété. IZIRO garantit la réversibilité : en fin de contrat, vous récupérez registres, AIPD et historique dans un format standard exploitable, sous 30 jours, sans verrouillage propriétaire. Une garantie déterminante pour une structure qui change régulièrement de responsables et doit conserver ses preuves de conformité.
Mettez votre association caritative en conformité RGPD.
IZIRO centralise votre registre, vos dons, vos bénévoles et vos AIPD dans un outil unique, dès 28 € HT/mois, tout compris.