🔍 L’article en bref
- Pas de seuil : toute association qui traite des données personnelles est soumise au RGPD, même avec 10 adhérents.
- Le registre des traitements est le premier document à produire — modèle simplifié gratuit fourni par la CNIL au format ODS.
- Le consentement doit être libre, spécifique, éclairé et univoque : bulletin d’adhésion à revoir, cases pré-cochées interdites.
- Les prestataires (Mailchimp, Google, HelloAsso…) exigent un DPA signé et une vérification des transferts hors UE.
- Violation de données : 72 heures pour notifier la CNIL via notifications.cnil.fr.
- Sanctions réelles sur les associations : 20 000 € en procédure simplifiée, jusqu’à 75 000 € pour défaut de sécurité grave (cas ADEF).
- Plan d’action 90 jours suffit pour se mettre en conformité avec les outils gratuits CNIL + un référent RGPD interne.
Cinquante adhérents, trois bénévoles actifs, un fichier Excel partagé par mail. Voilà à quoi ressemble l’infrastructure « données » de la plupart des associations loi 1901 en France. Et pourtant, la CNIL applique les mêmes règles à cette association de quartier qu’à une multinationale. Le Règlement général sur la protection des données ne prévoit aucun seuil de taille, aucune exemption pour les structures sans but lucratif.
Résultat : des milliers de présidents et trésoriers bénévoles se retrouvent à gérer un sujet juridique pointu, sans budget, sans juriste, souvent sans même savoir par où commencer. La bonne nouvelle, c’est que la mise en conformité d’une petite association tient sur quelques documents bien cadrés, quelques réflexes simples, et des outils gratuits fournis par la CNIL elle-même.
Ce guide vous donne la méthode exacte pour transformer vos obligations RGPD en un chantier maîtrisable — et refermer ce dossier sereinement avant votre prochaine AG.
Pourquoi le RGPD concerne absolument votre association (oui, même la vôtre)
La première erreur consiste à se dire « nous sommes trop petits ». C’est faux — et juridiquement dangereux.
Le mythe de la petite association exemptée
Le RGPD association s’applique dès qu’une structure traite des données personnelles, peu importe sa taille, son budget ou son statut fiscal. Une association loi 1901 qui tient un fichier de dix adhérents dans un tableur est déjà « responsable de traitement » au sens du règlement. Il n’existe aucun seuil, aucun nombre minimal d’adhérents, aucun plafond de budget qui vous mettrait hors du champ.
Cette règle vaut également pour les fondations, les fonds de dotation, les associations sportives, culturelles, cultuelles et les organismes reconnus d’utilité publique. Ce qui déclenche l’obligation, c’est le traitement de données — pas la structure qui le réalise.
⚠️ Point de vigilance
Le raisonnement « nous ne sommes pas une entreprise, donc le RGPD ne nous concerne pas » est la cause numéro un des contrôles CNIL mal vécus. L’autorité ne distingue pas les responsables de traitement par leur forme juridique.
Ce que la loi retient comme « donnée personnelle »
Le périmètre est très large. Sont considérées comme des données personnelles toutes les informations qui permettent d’identifier, directement ou indirectement, une personne physique. Dans le quotidien d’une association, cela englobe bien plus que le fichier des adhérents.
| Catégorie | Exemples concrets |
|---|---|
| Identité | Nom, prénom, date de naissance, adresse, téléphone, e-mail |
| Données bancaires | RIB des donateurs, historique de cotisations, reçus fiscaux |
| Données sensibles | Certificat médical (sport), appartenance religieuse (aumôneries), orientation politique (associations militantes) |
| Données techniques | Adresse IP, cookies du site associatif, traces de connexion |
| Photos et vidéos | Clichés d’événements, captations de spectacles, albums partagés |
| Échanges | Historique d’e-mails, messages Facebook, commentaires postés |
La collecte d’un bulletin d’adhésion, l’envoi d’une newsletter, la diffusion d’une photo de l’AG sur Facebook, la gestion d’un site de billetterie : chacune de ces actions constitue un traitement de données personnelles soumis au règlement.
Le cadre 2026 : ce que vous devez retenir
Le RGPD est applicable depuis le 25 mai 2018 et son cadre général n’a pas bougé. Ce qui évolue en 2026, c’est l’intensité des contrôles et la maturité de la jurisprudence. La CNIL a structuré depuis 2024 une procédure de sanction simplifiée qui lui permet de prononcer des amendes jusqu’à 20 000 € pour des dossiers « peu complexes » — typiquement le profil des petites structures défaillantes. L’autorité a également publié un agenda 2026 orientant ses contrôles vers les pratiques de prospection (dons), la sécurité des sites et la protection des mineurs — trois thèmes centraux pour le monde associatif.
💡 Le savoir-clé
Le statut non lucratif n’offre aucune protection face à la CNIL. Mais il offre un avantage précieux : les associations qui se mettent spontanément en conformité et qui réagissent rapidement aux alertes voient généralement leurs sanctions divisées par deux, voire plus.
Besoin d’un accompagnement pour cadrer la conformité de votre association ? Échangez avec un expert Extencia.
Le registre des activités de traitement : votre premier chantier
Si un seul document devait être produit ce mois-ci, ce serait celui-là. Le registre de traitement association est la pièce maîtresse de votre conformité — et la première que la CNIL demande en cas de contrôle.
À quoi sert ce document et qui peut l’exiger
Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il recense, de manière organisée, tous les traitements de données personnelles que votre association met en œuvre. Ce n’est pas un gadget administratif : c’est à la fois votre cartographie interne, votre pièce justificative lors d’un contrôle, et la base sur laquelle vous construisez toutes les autres obligations.
Trois personnes peuvent vous le réclamer à tout moment :
- La CNIL, en cas de plainte d’un adhérent, d’un donateur ou d’un ancien bénévole
- Un tiers (partenaire, financeur public, sponsor) qui souhaite vérifier votre conformité avant de contracter
- Un adhérent exerçant ses droits — même si la remise du registre lui-même n’est pas automatique, vous devrez tirer de lui les informations qu’il demande
Le modèle simplifié CNIL : comment le remplir en 1h
La CNIL met à disposition un modèle de registre simplifié pensé spécifiquement pour les petites structures, téléchargeable gratuitement au format tableur (ODS, compatible Excel). Ce modèle se structure en fiches : une fiche par finalité de traitement.
Pour une association typique, prévoyez entre 5 et 8 fiches — pas plus. Chaque fiche doit contenir :
| Champ | Contenu attendu |
|---|---|
| Finalité | L’objectif poursuivi (ex : gestion des adhésions, envoi de la newsletter) |
| Base légale | Consentement, contrat, intérêt légitime, obligation légale |
| Catégories de personnes | Adhérents, bénévoles, donateurs, salariés, prospects |
| Catégories de données | Identité, coordonnées, données bancaires, santé, etc. |
| Destinataires | Qui a accès en interne + prestataires externes (hébergeur, logiciel…) |
| Durée de conservation | Actif + archivage intermédiaire (ex : 3 ans après la dernière cotisation) |
| Transferts hors UE | Oui/non — crucial si vous utilisez Mailchimp, Google, Zoom… |
| Mesures de sécurité | Mot de passe, chiffrement, sauvegarde, contrôle des accès |
Les traitements à ne surtout pas oublier
En pratique, la majorité des associations oublient des pans entiers de leur activité. Voici la checklist des traitements que l’on retrouve systématiquement :
- Gestion des adhésions : fichier des adhérents, cotisations, reçus fiscaux
- Gestion des bénévoles : annuaire interne, planning, frais remboursés
- Paie et contrats des salariés éventuels
- Collecte de dons et édition des reçus fiscaux (art. 200 CGI)
- Newsletter et communications de masse
- Site internet : formulaires de contact, cookies, comptes utilisateurs
- Réseaux sociaux : pages gérées, interactions, messages privés
- Billetterie et gestion d’événements
- Vidéosurveillance des locaux (si applicable)
- Gestion administrative interne (AG, CA, registre des délibérations)
✅ Bonne pratique
Bloquez une demi-journée collective au bureau associatif pour remplir le registre. Chaque administrateur décrit ses traitements de son périmètre. En trois heures à cinq personnes, le document est bouclé — et tout le bureau est formé en même temps.
Le consentement des adhérents, donateurs et bénévoles
Le consentement RGPD association est le pivot juridique de vos relations avec vos membres. Mal recueilli, il invalide l’ensemble de vos communications — y compris vos appels aux dons.
Les 4 critères du consentement valable
Le consentement au sens du RGPD ne se présume jamais. Il doit répondre à quatre critères cumulatifs :
📊 Les 4 critères d’un consentement valide
- Libre : aucune contrainte, pas de conditionnement à l’adhésion
- Spécifique : un consentement par finalité (adhésion ≠ newsletter ≠ partage avec partenaires)
- Éclairé : la personne comprend précisément ce qu’elle autorise
- Univoque : une action positive — jamais une case pré-cochée
Concrètement, une phrase comme « En adhérant, j’accepte de recevoir toute communication de l’association » est invalide. Elle mélange l’adhésion et la prospection, ne précise pas les finalités, et repose sur un consentement présumé.
Le bulletin d’adhésion : les mentions obligatoires
Votre bulletin d’adhésion — papier ou numérique — doit intégrer une mention d’information claire et des cases à cocher distinctes. Voici la structure type :
□ J'adhère à l'association [Nom]
[Nom, prénom, adresse, téléphone, e-mail, cotisation]
Les informations recueillies sont nécessaires à la gestion de votre adhésion.
Elles font l'objet d'un traitement informatique et sont destinées au secrétariat
de l'association. Vos données sont conservées pendant [X ans] après votre
dernière cotisation. Conformément au RGPD, vous disposez d'un droit d'accès,
de rectification, d'effacement, d'opposition, de limitation et de portabilité
de vos données. Pour exercer ces droits ou toute question :
contact@[association].fr — ou en écrivant à [adresse postale].
□ J'accepte de recevoir la newsletter mensuelle de l'association
□ J'accepte que ma photo prise lors des événements soit publiée sur le site
et les réseaux sociaux de l'association
□ J'accepte que mes coordonnées soient partagées avec nos partenaires
[à préciser]
Trois cases distinctes, jamais pré-cochées. Chacune correspond à une finalité différente, avec son propre consentement.
⚠️ Point de vigilance
Les cases pré-cochées sont explicitement interdites par la CNIL depuis l’entrée en vigueur du RGPD. Leur présence est systématiquement relevée lors des contrôles et suffit à elle seule à constituer un manquement.
Prospection, appels aux dons et partage de fichiers
Les règles se durcissent dès que vous communiquez au-delà de votre fichier d’adhérents. Pour la prospection caritative et la sollicitation de dons, la CNIL impose trois principes :
- Information préalable : la personne doit savoir, au moment où vous collectez son adresse, que vous pourrez la contacter pour des appels aux dons
- Opposition facile : chaque sollicitation doit comporter un moyen simple et gratuit de se désinscrire
- Transmission de fichiers encadrée : si vous partagez vos contacts avec une association partenaire ou une fondation, le consentement explicite est obligatoire
Votre association gère des centaines de donateurs ? Nos experts Extencia sécurisent vos process de collecte et d’édition de reçus fiscaux.
Sécurité, hébergement, sous-traitance : les bonnes pratiques techniques
La moitié des sanctions CNIL prononcées contre des associations concerne un défaut de sécurité, pas un défaut de consentement. C’est l’angle mort des petites structures — et le plus coûteux.
Les règles de base de sécurisation
La CNIL attend que vous mettiez en œuvre des mesures techniques et organisationnelles appropriées — une formule large qui recouvre des réflexes simples mais rarement appliqués.
| Domaine | Mesure minimale attendue |
|---|---|
| Postes de travail | Session nominative, mot de passe robuste, verrouillage automatique |
| Fichiers partagés | Accès restreint aux seules personnes qui en ont besoin |
| Mots de passe | Au moins 12 caractères, pas de partage, renouvellement périodique |
| Sauvegardes | Au moins hebdomadaires, stockées sur un support distinct |
| Transmission de données | Chiffrement pour les données sensibles (santé, bancaire) |
| Départ d’un bénévole | Révocation immédiate des accès au fichier adhérents |
| Site internet | Certificat HTTPS, formulaires sécurisés, pas de données exposées dans l’URL |
Le cas des outils gratuits (Google, Mailchimp, Zoom…)
Les associations utilisent massivement des outils gratuits américains pour gérer leurs fichiers, leurs mailings ou leurs visioconférences. Problème : ces services hébergent souvent les données hors Union européenne, ce qui constitue un transfert hors UE à encadrer.
Depuis l’entrée en vigueur du Data Privacy Framework (DPF) en 2023, les transferts vers les États-Unis sont à nouveau possibles pour les prestataires certifiés. Mais la responsabilité de vérifier cette certification reste de votre côté.
💡 Le savoir-clé
Avant de confier un fichier d’adhérents à un outil externe, vérifiez trois choses :
- l’éditeur est-il certifié DPF si les données vont aux États-Unis ?
- un contrat de sous-traitance (DPA) est-il signé ?
- où sont physiquement stockées les données ?
Formaliser avec vos prestataires
Dès que vous confiez des données à un tiers — hébergeur web, logiciel de gestion, plateforme de mailing, prestataire de paie — vous devez signer un contrat de sous-traitance RGPD, dit DPA (Data Processing Agreement). Les principaux outils professionnels en fournissent un modèle téléchargeable en ligne : Mailchimp, HelloAsso, AssoConnect, Paheko et beaucoup d’autres ont préparé ce document.
Téléchargez, signez (clic ou paraphe selon l’éditeur), archivez avec votre registre. L’absence de DPA est un motif de sanction systématique.
✅ Bonne pratique
Tenez un « annuaire des sous-traitants » à côté de votre registre de traitement : nom du prestataire, type de données traitées, pays d’hébergement, DPA signé oui/non, date. Ce document tient sur une page et vous fait gagner des heures en cas de contrôle.
Vos prestataires sont-ils tous conformes ? Un diagnostic Extencia de 30 minutes fait le tour de la question.
DPO, violations de données et relation avec la CNIL
Trois questions reviennent systématiquement dans les petites associations : faut-il nommer un DPO ? Que faire en cas de fuite ? Qu’est-ce qu’on risque vraiment ?
Faut-il un DPO dans votre association ?
La désignation d’un Délégué à la Protection des Données (DPO) n’est obligatoire que dans trois cas, aucun ne concernant la grande majorité des petites associations :
- Les autorités ou organismes publics
- Les organismes traitant à grande échelle des données dites « sensibles » (santé, opinions politiques, origine ethnique, données religieuses…)
- Les organismes traitant à grande échelle des données pour un suivi régulier et systématique des personnes (profilage)
Une association sportive qui collecte des certificats médicaux pour 800 adhérents se trouve dans une zone grise — la CNIL ne définit pas précisément le seuil de « grande échelle ». Dans le doute, une association médico-sociale, un centre de santé associatif ou une grosse structure culturelle avec fichier profilé gagnera à désigner un DPO, éventuellement mutualisé avec d’autres structures ou externalisé.
Pour les associations plus modestes, le règlement n’impose rien — mais la CNIL recommande fortement de désigner un référent RGPD en interne, sans titre officiel. Souvent le trésorier ou le secrétaire général. Son rôle : tenir le registre à jour, piloter les réponses aux demandes d’exercice de droits, former les nouveaux bénévoles.
Violation de données : la règle des 72 heures
Une clé USB perdue, un e-mail envoyé à la mauvaise liste de diffusion, un piratage du site, un ancien bénévole qui conserve le fichier d’adhérents… Tout événement qui compromet la confidentialité, l’intégrité ou la disponibilité de données personnelles est une violation de données.
Dès que vous en prenez connaissance et qu’il existe un risque pour les personnes concernées, vous avez 72 heures pour notifier la CNIL via le téléservice notifications.cnil.fr. Si le délai est dépassé, vous devez expliquer le motif du retard.
⚠️ Point de vigilance
Si le risque est élevé pour les personnes (données sensibles, impact financier, usurpation d’identité possible), vous devez également informer directement chaque personne concernée — dans les meilleurs délais et dans un langage clair.
Les sanctions réellement appliquées aux associations
On cite souvent les plafonds spectaculaires — 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Dans les faits, les sanctions infligées aux associations sont plus modestes, mais bien présentes.
| Association sanctionnée | Montant | Motif |
|---|---|---|
| ADEF (Association pour le Développement des Foyers) | 75 000 € | Défaut de sécurité : documents des demandeurs de logement accessibles en modifiant l’URL du site |
| Alliance Française Ile-de-France | 30 000 € | Défaut de sécurité : milliers de documents téléchargeables en clair |
Depuis 2024, la procédure de sanction simplifiée permet à la CNIL de prononcer plus rapidement des amendes jusqu’à 20 000 € pour les dossiers peu complexes. C’est ce mécanisme qui cible aujourd’hui les structures moyennes, dont les associations.
📊 3 chiffres à retenir
- 72 h pour notifier une violation de données à la CNIL
- 20 000 € d’amende maximale en procédure simplifiée
- 100 €/jour d’astreinte possible en cas d’injonction non respectée
En résumé pour cette section :
- Le DPO n’est pas obligatoire dans la plupart des petites associations, mais un référent interne est vivement recommandé
- Toute violation de données doit être notifiée à la CNIL en moins de 72h
- Les sanctions réelles sur les associations tournent autour de 20 000 à 75 000 €, pas des millions théoriques
Votre plan d’action 90 jours : se mettre en conformité sans y laisser vos soirées
Tout ce que vous avez lu jusqu’ici tient dans un plan opérationnel simple. Voici le rétroplanning que nous conseillons aux associations qui partent de zéro.
Le rétroplanning réaliste
| Semaine | Action | Livrable |
|---|---|---|
| S1 | Recensement des traitements (brainstorming bureau) | Liste brute des activités |
| S2-3 | Remplissage du registre (modèle CNIL) | Registre validé |
| S4 | Refonte du bulletin d’adhésion et des formulaires | Documents à jour |
| S5-6 | Cartographie des prestataires et collecte des DPA | Annuaire des sous-traitants |
| S7 | Mise à jour des politiques de confidentialité (site, documents internes) | Mentions RGPD publiées |
| S8-9 | Revue sécurité : mots de passe, accès, sauvegardes | Procédure écrite |
| S10 | Désignation d’un référent RGPD + formation via le MOOC CNIL | Référent désigné |
| S11 | Procédure de gestion des demandes d’exercice de droits | Procédure écrite |
| S12 | Procédure de gestion des violations de données | Procédure écrite |
Trois mois, neuf livrables. Très loin du « chantier impossible » que redoutent la plupart des bureaux associatifs.
Les outils gratuits à adopter
Cinq ressources, toutes gratuites, suffisent à équiper une petite association :
- Le guide CNIL dédié aux associations — disponible sur
cnil.fr, document PDF pédagogique et exhaustif - Le modèle de registre simplifié — fichier tableur (ODS) proposé par la CNIL
- L’Atelier RGPD — MOOC gratuit de la CNIL, 5 heures de formation avec attestation
- Paheko — logiciel libre de gestion associative qui intègre nativement les fonctions RGPD (registre, droits, exports)
- Le téléservice de notification de violation —
notifications.cnil.fr
💡 Le savoir-clé
Le MOOC de la CNIL est la meilleure porte d’entrée. Faites-le suivre à tout nouveau membre du bureau dans ses 60 premiers jours. Une association entièrement formée au RGPD est une association qui ne sera jamais prise au dépourvu.
Intégrer la RGPD dans vos process de gestion
La conformité ne se construit pas une fois — elle vit dans vos process quotidiens. Trois intégrations à faire :
- Lors de l’AG annuelle : un point RGPD en 5 minutes à l’ordre du jour, pour valider les mises à jour du registre et la liste des sous-traitants
- À chaque nouveau projet : une fiche registre créée dès que le projet collecte des données (campagne de dons, nouvel événement, nouvelle plateforme…)
- Dans l’arrêté des comptes : un contrôle de cohérence entre la liste des prestataires comptables/bancaires et votre annuaire des sous-traitants
C’est précisément là qu’un expert-comptable apporte une valeur concrète : il voit passer chaque prestataire, chaque contrat, chaque flux de données sensibles. Chez Extencia, nos équipes intègrent cette vérification RGPD dans les missions d’accompagnement des associations depuis plusieurs années.
Votre conformité est un réflexe de bonne gestion, pas une corvée
Le RGPD n’est pas une menace pour les petites associations — c’est un cadre de discipline qui sécurise votre activité, rassure vos adhérents, crédibilise vos demandes de subventions et protège votre bureau en cas d’incident. Mettre son registre à jour, c’est exactement comme tenir sa comptabilité : une routine simple qui évite des catastrophes.
Depuis 1944, Extencia accompagne les entrepreneurs et les structures engagées dans leur quotidien administratif, comptable et juridique. Nos équipes intègrent la conformité RGPD dans les missions de tenue comptable et de conseil pour les associations, en s’appuyant sur les outils officiels de la CNIL. Vous gardez la main sur vos données, nous vous donnons la méthode.
Prêt à refermer le dossier RGPD de votre association avant l’été ? Un premier échange gratuit et sans engagement avec nos experts, en 2 clics.
Questions fréquentes
Une association de moins de 50 adhérents est-elle soumise au RGPD ?
Oui, sans aucune exception. Le RGPD ne prévoit pas de seuil de taille, de budget ou d’effectif. Dès lors qu’une association collecte et traite des données personnelles — même un simple fichier Excel d’une dizaine d’adhérents — elle est considérée comme « responsable de traitement » et doit respecter l’ensemble des obligations du règlement. Les petites structures bénéficient en revanche d’outils adaptés, comme le modèle de registre simplifié proposé gratuitement par la CNIL.
Comment remplir le registre de traitement d’une association ?
Téléchargez le modèle simplifié fourni par la CNIL sur cnil.fr (fichier tableur au format ODS). Créez une fiche par finalité de traitement — typiquement 5 à 8 fiches pour une association standard (gestion des adhésions, newsletter, dons, bénévoles, site internet, etc.). Chaque fiche renseigne la finalité, la base légale, les catégories de personnes et de données, les destinataires, la durée de conservation et les mesures de sécurité. Comptez une demi-journée de travail collectif pour produire un registre complet.
Le consentement par case pré-cochée est-il valable pour une association ?
Non. La CNIL interdit explicitement les cases pré-cochées depuis l’entrée en vigueur du RGPD. Le consentement doit résulter d’une action positive et univoque de la personne. Un bulletin d’adhésion valide présente plusieurs cases distinctes — une par finalité (newsletter, diffusion photos, partage avec partenaires) — toutes décochées par défaut. La présence de cases pré-cochées est relevée systématiquement lors des contrôles CNIL et suffit à constituer un manquement sanctionnable.
Une association doit-elle obligatoirement désigner un DPO ?
La désignation d’un Délégué à la Protection des Données (DPO) n’est obligatoire que dans trois cas précis : pour les autorités publiques, pour les organismes traitant à grande échelle des données sensibles (santé, opinions politiques, religion), et pour ceux qui suivent régulièrement et systématiquement des personnes (profilage). La majorité des associations loi 1901 ne sont donc pas soumises à cette obligation. La CNIL recommande néanmoins fortement de désigner un référent RGPD en interne — souvent le trésorier ou le secrétaire — pour piloter la conformité.
Quelles sanctions risque une petite association non conforme au RGPD ?
Les plafonds légaux sont élevés (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial), mais les sanctions effectivement prononcées contre des associations sont plus mesurées. Depuis 2024, la CNIL peut utiliser une procédure simplifiée plafonnée à 20 000 € d’amende pour les dossiers peu complexes. Des cas concrets existent : l’ADEF sanctionnée de 75 000 € et l’Alliance Française Ile-de-France de 30 000 €, toutes deux pour des défauts graves de sécurité sur leur site internet. Une association coopérative et réactive voit généralement sa sanction réduite de moitié.
Comment déclarer une violation de données personnelles à la CNIL ?
Connectez-vous au téléservice notifications.cnil.fr dans les 72 heures suivant la prise de connaissance de l’incident. La notification peut se faire en deux temps : une première notification initiale avec les informations disponibles, puis une notification complémentaire dans un second délai de 72 heures si nécessaire. Si le risque pour les personnes concernées est élevé (données sensibles exposées, risque d’usurpation d’identité…), vous devez également les informer directement et dans un langage clair. Si le délai de 72 heures est dépassé, expliquez le motif du retard dans la notification.
Quels outils gratuits la CNIL met-elle à disposition des associations ?
La CNIL propose cinq ressources entièrement gratuites : un guide de sensibilisation au RGPD spécifiquement dédié aux associations (PDF téléchargeable), un modèle de registre de traitement simplifié au format ODS, l’Atelier RGPD qui est un MOOC gratuit de 5 heures avec attestation finale, le téléservice notifications.cnil.fr pour déclarer les violations de données, et une foire aux questions actualisée sur les problématiques associatives. Ces outils couvrent 90 % des besoins d’une petite structure et permettent une mise en conformité sans coût externe.
