Toutes les associations collectent des données sur leurs donateurs. Peu savent précisément ce qu'elles ont le droit de garder, pendant combien de temps, et avec quels sous-traitants. Le principe directeur du RGPD — la minimisation — est connu mais rarement appliqué. Voici un tour d'horizon pratique : ce qu'on collecte toujours, ce qu'on collecte selon les cas, ce qu'on ne devrait jamais collecter, les durées de conservation, et les sous-traitants à déclarer.
Ce que vous collectez toujours
Quatre catégories de données sont strictement nécessaires à l'exécution d'un don. Elles relèvent de la base légale du contrat (article 6.1.b du RGPD) et n'exigent pas de consentement spécifique :
- Identité : nom, prénom (pour émettre le CERFA et identifier le donateur).
- E-mail : pour envoyer la confirmation, le reçu et l'attestation fiscale.
- Montant et date du don : pour la comptabilité et la traçabilité.
- Mode de paiement : le libellé (carte, virement, PayPal, chèque) et non le numéro de carte. Le numéro de carte n'est jamais stocké côté association — il transite par le processeur de paiement (Stripe, PayPal, Monetico) qui seul est PCI-DSS.
Ces données ne sont pas négociables : sans elles, l'asso ne peut pas traiter le don. Elles peuvent être conservées pendant la durée nécessaire à la mission, plus la durée légale de conservation comptable et fiscale.
Ce que vous collectez selon le contexte
Trois catégories de données sont conditionnelles : utiles dans certains cas, superflues dans d'autres. La règle est : si vous n'en avez pas besoin, ne demandez pas.
- Adresse postale. Obligatoire pour émettre un CERFA (case « adresse du donateur »). Inutile si vous ne délivrez pas d'attestation fiscale ou si le donateur a refusé d'en recevoir une.
- Téléphone. Utile pour les programmes de relance téléphonique ou les gros donateurs. Toujours avec opt-in explicite : une case à cocher distincte, non pré-cochée, qui précise l'usage (« je consens à être contacté par téléphone pour des opérations de fidélisation »).
- Profession. Très rarement utile. Si vous la demandez, justifiez l'usage (par exemple : ciblage de campagnes de mécénat) et offrez la possibilité de ne pas répondre.
Le principe de minimisation impose de ne pas inclure ces champs par défaut dans le formulaire de don. Une page de don avec dix champs convertit deux fois moins qu'une page avec quatre champs.
Ce que vous ne devez jamais collecter
Trois catégories sont à proscrire dans la grande majorité des cas :
- Numéro de carte bancaire complet. Vous ne devez jamais voir le numéro de la carte. Le formulaire de paiement est servi directement par le processeur (Stripe Elements, Lyra Smartform, PayPal redirect), et l'asso ne reçoit que des tokens ou les quatre derniers chiffres. C'est une obligation PCI-DSS et un point de friction de plus en moins de cas de litige.
- Date de naissance. À éviter sauf cas particulier (adhésion d'un mineur, ou si la date est requise par un statut associatif). Pour distinguer deux homonymes, le couple e-mail + adresse suffit dans 99 % des cas.
- Données dites « sensibles » : opinion politique, religieuse, philosophique, syndicale, orientation sexuelle, santé. L'article 9 du RGPD interdit leur traitement sauf exceptions strictes — notamment quand l'objet associatif est précisément lié à ces convictions et que le donateur a consenti par écrit. Une asso confessionnelle peut collecter la mention d'une appartenance dans certains contextes, mais avec un consentement explicite et une base légale documentée.
Les durées de conservation
C'est là que les associations se font le plus piéger. Le RGPD impose des durées proportionnées à la finalité. Trois grands blocs cohabitent :
Six ans — la preuve fiscale
Tous les documents servant de preuve fiscale (CERFA émis, transactions de paiement, journal des dons) se conservent pendant six ans à compter de la date d'émission. C'est l'obligation de l'article L102 B du Livre des procédures fiscales, qui s'impose à l'asso pour le contrôle de ses propres comptes et pour le contrôle de ses donateurs (qui peuvent être contrôlés sur leur déclaration de revenus).
Ces données ne peuvent pas être supprimées avant ce délai, même à la demande du donateur. Le droit à l'oubli ne prime pas sur les obligations légales (article 17.3 du RGPD).
Trois ans — le contact non-réactif
La doctrine CNIL recommande une durée de trois ans à compter du dernier contact pour les données de prospection (e-mail, téléphone, préférences marketing). Passé ce délai, deux options :
- Anonymiser : on conserve les données agrégées (nombre de donateurs par tranche d'âge, par exemple) en supprimant tout ce qui permet l'identification individuelle.
- Supprimer : on efface purement et simplement la fiche, en gardant uniquement les données fiscales sur leur durée légale propre.
Le critère du « dernier contact » est important : il ne s'agit pas du dernier don, mais du dernier signe d'activité du donateur (ouverture d'e-mail, clic, mise à jour de profil). Un donateur qui a donné en 2020 et qui clique encore sur la newsletter en 2026 n'est pas un contact non-réactif.
Le cas particulier de l'anonymisation
L'anonymisation est souvent préférable à la suppression pure et simple. Elle permet de :
- conserver les statistiques historiques (combien de dons en 2020, panier moyen, etc.),
- éviter de trouer la comptabilité (les sommes restent traçables même si les individus ne le sont plus),
- réduire le risque RGPD (les données anonymisées sortent du champ du règlement).
Attention : l'anonymisation doit être irréversible. Remplacer un nom par un hash réversible ne suffit pas — il faut casser le lien entre la donnée et la personne de manière définitive.
Les sous-traitants à inscrire au registre
Le registre des traitements (article 30 du RGPD) doit lister tous les sous-traitants qui accèdent aux données des donateurs. Pour une asso qui utilise une plateforme de collecte moderne, la liste type est :
- Le processeur de paiement (Stripe, PayPal, Monetico Retail). Localisation : variable, mais les principaux acteurs ont une entité EU.
- L'hébergeur de la plateforme. Pour LingoPay, c'est Cloudflare pour le frontend (réseau global avec choix possible de la zone) et Supabase pour le backend (région EU dédiée). Les deux sont conformes au cadre RGPD et au cadre EU-US Data Privacy Framework.
- Le CRM externe. Si vous utilisez Odoo en SaaS auto-hébergé en EU, c'est OK avec une simple inscription au registre. Si Odoo est hébergé hors EU, il faut une clause contractuelle type (CCT) et une analyse d'impact si les volumes sont significatifs.
- L'e-mail provider (Brevo, Resend, SMTP custom). Brevo est en France, Resend en EU. Pour un SMTP custom, c'est à vous de qualifier la localisation et la conformité.
- L'outil de mesure d'audience si vous en utilisez un (Matomo en self-hosted est le plus propre, Google Analytics suppose des aménagements).
Le registre doit être tenu à jour, accessible à la CNIL en cas de contrôle, et disponible pour les donateurs qui exercent leur droit d'accès.
Les droits du donateur — et leurs limites
Trois droits sont systématiquement invoqués :
- Accès : le donateur peut demander un export complet de ses données. À fournir sous 30 jours (un mois calendaire). LingoPay peut produire un export des données d'un donateur sur demande (procédure manuelle côté admin via le service support).
- Rectification : le donateur peut corriger ses données (changement d'e-mail, d'adresse). À traiter sans délai.
- Effacement (droit à l'oubli) : le donateur peut demander la suppression de ses données. Vous devez supprimer les données de prospection (e-mail, préférences) mais pas les CERFA et journaux de transactions, qui relèvent de l'obligation légale. Cette nuance doit être communiquée au donateur dans votre réponse.
Le droit d'opposition (au marketing direct) et le droit à la portabilité sont aussi à honorer, mais sortent du périmètre courant.
Côté LingoPay
LingoPay applique par défaut :
- LingoPay conserve les CERFA pendant six ans (obligation comptable). Pour les contacts non-réactifs, la doctrine recommandée est une revue au-delà de trois ans d'inactivité ; l'admin de l'organisation pilote cette revue manuellement depuis la base donateurs.
- LingoPay peut produire un export des données d'un donateur sur demande (procédure manuelle côté admin via le service support).
- LingoPay traite les demandes d'effacement RGPD au cas par cas : les données de prospection sont retirées, les pièces fiscales (CERFA déjà émis) sont conservées au titre de l'obligation légale de six ans.
Le registre des sous-traitants peut être communiqué sur demande à contact@lingopay.fr, à intégrer telle quelle dans votre propre registre des traitements.