Légal

RGPD et collecte de dons : la checklist 2026 pour les associations

L'équipe LingoPay · · 8 min de lecture

Base légale, durée de conservation, sous-traitants, droits du donateur, registre de traitement : ce que toute association doit avoir en place pour collecter sereinement.

Illustration des obligations RGPD pour la collecte de dons en ligne

Collecter un don, c'est traiter de la donnée personnelle. Nom, e-mail, adresse postale, parfois la profession, presque toujours un identifiant de paiement — autant d'informations soumises au RGPD et à la doctrine CNIL. Beaucoup d'associations partent du principe que le caractère « caritatif » de la collecte les place en zone grise. Ce n'est pas le cas. Voici la lecture que nous recommandons à toute structure qui s'apprête à mettre en ligne un formulaire de don en 2026.

La base légale n'est pas le consentement

C'est le contresens le plus fréquent : on coche une case « j'accepte que mes données soient traitées » et on pense être en règle. En réalité, pour un don ouvrant droit à un reçu fiscal, la base légale est l'obligation légale (article 6.1.c du RGPD) — l'asso doit conserver les pièces justifiant l'attestation pendant six ans, qu'elle le veuille ou non, qu'elle ait recueilli un consentement ou pas.

Sur la même donnée, on peut empiler une seconde base légale pour d'autres finalités :

Finalité Base légale recommandée Donnée concernée
Émission du CERFA, comptabilité Obligation légale Nom, prénom, adresse, montant, date
Gestion de la relation donateur, relance d'un don récurrent en échec Intérêt légitime E-mail, historique de dons
Envoi d'une newsletter, campagne marketing Consentement explicite E-mail
Profilage donateur (segmentation, scoring) Consentement explicite Toutes

Le consentement n'est requis que pour la newsletter et le profilage. Pour le reste, vous documentez la base légale dans votre registre et vous arrêtez de faire semblant qu'un opt-in tient lieu de couverture juridique.

Les durées de conservation à graver

Une donnée qu'on ne supprime pas finit toujours par fuiter. La meilleure politique RGPD est aussi la meilleure politique de sécurité.

Voici les durées que la CNIL considère comme proportionnées au secteur :

  • Pièces justifiant le CERFA (nom, adresse, montant, date) : 6 ans après l'année du don. C'est la durée de conservation comptable et fiscale française.
  • E-mail et historique relationnel : tant qu'il y a une relation active. Par convention, beaucoup d'associations purgent au bout de 3 ans sans interaction (don, ouverture d'e-mail, clic).
  • Données bancaires : jamais stockées chez l'association. Le numéro de carte ne doit jamais transiter par vos serveurs ; un identifiant de moyen de paiement tokenisé (ex : pm_xxx côté Stripe) est la seule chose que vous pouvez référencer.
  • Adresses IP de connexion : 12 mois maximum (recommandation CNIL sur la lutte anti-fraude).
  • Logs de l'outil de gestion : 6 mois pour les logs de sécurité, à purger ensuite.

Mettez ces durées noir sur blanc dans votre politique de conservation et automatisez la purge. Une donnée gardée « au cas où » est un risque, pas un atout.

Le registre de traitement, votre filet de sécurité

Toute structure traitant plus de 50 personnes — c'est-à-dire absolument toutes les associations qui collectent — doit tenir un registre des activités de traitement (article 30 du RGPD). C'est une obligation, pas une option, et c'est aussi le premier document que vous présenterez à la CNIL en cas de contrôle.

Le registre liste, pour chaque traitement :

  1. Le nom du traitement (ex : « collecte de dons en ligne »)
  2. La finalité (ex : « émission d'attestations fiscales et gestion de la relation donateur »)
  3. La base légale
  4. Les catégories de personnes concernées et de données
  5. Les destinataires (internes + sous-traitants)
  6. La durée de conservation
  7. Les mesures de sécurité

C'est aussi le seul endroit où vous listerez vos sous-traitants — point critique trop souvent oublié.

Vos sous-traitants : la liste qui sauve

Dès qu'une plateforme tierce touche à de la donnée donateur, c'est un sous-traitant au sens RGPD. Chacun doit avoir signé un accord de sous-traitance (DPA) avec vous. Pour une asso qui collecte en ligne, la liste minimale ressemble à ça :

  • Hébergeur de votre site / outil de collecte (Cloudflare, OVH, Scaleway…)
  • Processeur de paiement (Stripe, Monetico Retail, PayPal)
  • CRM ou outil de gestion (Odoo, Salesforce, fichier interne)
  • Outil de mailing (Brevo, Resend, Mailjet)
  • Plateforme de collecte si vous en utilisez une (LingoPay, HelloAsso, iRaiser)
  • Cabinet comptable si vous lui exportez la base donateurs

Chacun doit figurer au registre et dans votre politique de confidentialité. Un donateur a le droit de savoir qui voit son nom — refuser de répondre à cette question est une faute caractérisée.

Droits du donateur : ce qu'on doit et ce qu'on peut refuser

Le donateur a six droits opposables :

  • Accès : récupérer toutes les données détenues sur lui, dans un format lisible.
  • Rectification : corriger une donnée erronée (adresse mal saisie, prénom mal orthographié).
  • Effacement (« droit à l'oubli ») : limité par les obligations légales — un CERFA déjà émis ne peut pas être effacé, c'est une pièce comptable.
  • Limitation : geler un traitement contesté le temps de l'instruire.
  • Portabilité : exporter ses données pour les transférer ailleurs.
  • Opposition : refuser un traitement, en particulier le marketing.

L'impasse à connaître : sur les données fiscales déjà émises, le droit à l'oubli ne s'applique pas. L'asso a une obligation légale de les conserver 6 ans. Tout ce qu'elle peut faire, c'est sortir le donateur de la base marketing — mais le CERFA reste archivé, intact. Documentez cette nuance dans vos réponses pour ne pas vous retrouver en situation conflictuelle.

Le double opt-in : la position CNIL 2024 à retenir

La CNIL a clarifié en 2024 que le double opt-in (e-mail de confirmation après inscription à la newsletter) n'est pas obligatoire stricto sensu, mais qu'il constitue la meilleure preuve de consentement en cas de plainte. Concrètement : si vous voulez dormir tranquille, activez-le. La case précochée, en revanche, est explicitement interdite — y compris pour la newsletter d'une « petite asso ».

Un consentement valable est libre, spécifique, éclairé et univoque. Une case précochée n'est jamais univoque.

La checklist minimale en 2026

À imprimer et à confronter à votre situation actuelle :

  • Un registre de traitement écrit, à jour, avec les sous-traitants listés
  • Une politique de confidentialité accessible depuis chaque page du site
  • Un DPA signé avec chaque sous-traitant (votre plateforme de collecte vous en fournit un)
  • Une politique de conservation chiffrée (6 ans CERFA, 3 ans relation, etc.) avec purge automatisée
  • Aucune donnée bancaire stockée localement — uniquement des tokens
  • Un formulaire de contact pour les demandes d'exercice de droits, avec délai de réponse d'un mois
  • Un opt-in newsletter séparé du formulaire de don, jamais précoché
  • Une procédure documentée pour les violations de données (notification CNIL sous 72 h)

Si vous ne pouvez cocher que la moitié des cases, ce n'est pas une catastrophe — c'est l'état réel du secteur. Le risque est rarement le contrôle CNIL ; il est dans le mail d'un donateur en colère qui demande où sont passées ses données et à qui personne ne sait répondre. Le bon outil de collecte vous fournit la moitié de cette checklist par défaut.

Pour aller plus loin