Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Une association doit-elle avoir un DPO ?

Une association doit-elle nommer un DPO ? Critères de l'article 37, exceptions (santé, social, données sensibles), DPO bénévole et mutualisation.

L’essentiel. La grande majorité des associations n’ont pas l’obligation de désigner un délégué à la protection des données (DPO). L’article 37 du RGPD ne l’impose qu’à trois cas : les organismes publics, ceux dont l’activité principale consiste en un suivi régulier et à grande échelle des personnes, et ceux traitant à grande échelle des données sensibles. Une association du secteur santé/social ou traitant massivement des données sensibles peut donc être concernée ; une association classique ne l’est pas.

« Notre association doit-elle nommer un DPO ? » C’est l’une des questions les plus fréquentes des dirigeants associatifs face au RGPD. La bonne nouvelle : dans la plupart des cas, la réponse est non. Mais il existe des exceptions importantes, notamment dans les secteurs de la santé et de l’action sociale. Cet article applique précisément les critères de l’article 37 à la réalité associative.

Pour les autres obligations RGPD d’une association (registre, information, sécurité), consultez notre guide dédié au RGPD des associations. Ici, on ne traite que la question du DPO.

Les trois critères de l’article 37 RGPD

L’article 37 RGPD, paragraphe 1, impose la désignation d’un DPO dans trois hypothèses, applicables aussi aux associations :

  • (a) Autorité ou organisme public. Vise les entités publiques. Une association loi 1901 de droit privé n’entre normalement pas dans cette catégorie, sauf si elle exerce une mission de service public confiée par une autorité (cas à examiner spécifiquement).

  • (b) Suivi régulier et systématique à grande échelle. L’activité principale (« core activity ») consiste en des opérations exigeant un suivi régulier et systématique des personnes à grande échelle. Exemple typique : profilage comportemental massif, tracking généralisé.

  • © Traitement à grande échelle de données sensibles. L’activité principale consiste en un traitement à grande échelle de données sensibles (art. 9 : santé, opinions, appartenance syndicale, etc.) ou de données relatives à des condamnations et infractions (art. 10).

Deux notions font toute la différence : « activité principale » et « grande échelle ». Une association qui traite incidemment quelques données sensibles (par exemple les certificats médicaux de ses adhérents sportifs) ne remplit pas le critère ©, car ce traitement n’est ni son activité principale ni à grande échelle.

Un dernier repère utile : le CEPD précise que ces critères s’apprécient au regard de l’activité principalecore activities »), c’est-à-dire les opérations indispensables à la réalisation des objectifs de l’association, et non les activités support (paie des salariés, gestion administrative interne). Une association dont la raison d’être est l’accompagnement médico-social entre dans le champ ; une association culturelle qui traite incidemment quelques données de santé pour ses bénévoles n’y entre pas. Cette distinction est décisive et souvent mal comprise : ce n’est pas la nature ponctuelle d’une donnée qui déclenche l’obligation, mais sa place au cœur de la mission.

Pourquoi la plupart des associations ne sont pas concernées

Prenons les associations les plus courantes : club sportif, association culturelle, amicale, association de quartier. Elles traitent :

  • un fichier d’adhérents (identité, coordonnées, cotisations) ;
  • éventuellement quelques données de contact des bénévoles et donateurs ;
  • parfois des certificats médicaux pour la pratique sportive.

Aucun de ces traitements ne constitue un suivi systématique à grande échelle, ni un traitement de données sensibles à grande échelle en tant qu’activité principale. Résultat : pas d’obligation de DPO.

Attention toutefois : ne pas avoir l’obligation de désigner un DPO ne dispense pas des autres obligations RGPD. L’association doit tout de même tenir un registre des activités de traitement, informer les personnes, sécuriser les données et respecter les droits des adhérents.

Les exceptions : quand une association DOIT nommer un DPO

Certaines associations basculent dans l’obligation. Les cas typiques :

Type d’association Pourquoi un DPO est requis
Établissement de santé associatif Traitement à grande échelle de données de santé (critère c)
Association d’aide sociale / médico-sociale Données de santé, de vulnérabilité, à grande échelle
Association gérant des données judiciaires (aide aux victimes, réinsertion) Données de l’article 10 à grande échelle
Grande fédération avec profilage des membres Suivi systématique à grande échelle (critère b)
Association humanitaire traitant des données de bénéficiaires vulnérables à large échelle Données sensibles à grande échelle

Le fil conducteur : ce sont les associations dont le cœur de mission implique un traitement massif de données particulièrement protégées. Une association qui gère un dispositif d’écoute psychologique, un centre de soins, ou un accompagnement social de milliers de bénéficiaires entre typiquement dans le champ de l’obligation.

Le DPO bénévole : une option pour les associations

Bonne nouvelle pour les structures qui souhaitent (ou doivent) désigner un DPO sans budget : le DPO peut être bénévole. Le RGPD n’exige ni rémunération ni contrat de travail. Un membre du bureau, un adhérent compétent, ou un bénévole formé peut exercer la fonction, sous réserve de trois conditions cardinales :

  1. Compétence. Le DPO doit disposer de connaissances suffisantes en droit et pratiques de la protection des données (art. 37(5)).
  2. Absence de conflit d’intérêts. Le DPO ne peut pas exercer une fonction qui le conduirait à définir les finalités et moyens des traitements. Ainsi, le président ou le trésorier ne peuvent généralement pas être DPO, car ils décident des traitements.
  3. Moyens et indépendance. Le DPO doit disposer du temps, des ressources et de l’indépendance nécessaires, et rapporter au plus haut niveau (art. 38).

La mutualisation : un DPO pour plusieurs associations

L’article 37(2) et (3) autorise explicitement la désignation d’un DPO unique pour plusieurs organismes, à condition qu’il reste facilement joignable depuis chaque structure. C’est une solution idéale pour le monde associatif :

  • Un DPO mutualisé entre plusieurs associations d’une même fédération ou d’un même territoire ;
  • Un DPO externalisé partagé, prestataire spécialisé intervenant pour un ensemble de petites structures.

La mutualisation réduit fortement le coût et permet d’accéder à une vraie compétence. Pour évaluer le budget d’un DPO externe, voyez nos repères sur les tarifs d’un DPO externalisé.

Que fait concrètement le DPO d’une association ?

Que sa désignation soit obligatoire ou volontaire, le DPO exerce les mêmes missions, définies à l’article 39 du RGPD :

  • informer et conseiller les dirigeants, salariés et bénévoles sur leurs obligations ;
  • contrôler le respect du RGPD et des politiques internes de l’association ;
  • dispenser des conseils sur les analyses d’impact et en vérifier l’exécution ;
  • coopérer avec la CNIL et être son point de contact ;
  • piloter la tenue du registre et le suivi des demandes d’exercice des droits.

Dans une petite structure, ces missions représentent quelques heures par mois. Le DPO n’a pas à « tout faire » lui-même : il conseille et contrôle, tandis que la mise en œuvre reste portée par les élus et les équipes. C’est un rôle de vigie, pas d’exécutant.

DPO obligatoire, DPO volontaire ou simple référent ?

Une association qui n’a pas l’obligation de désigner un DPO dispose de trois options :

Option Statut Régime juridique
Désigner un DPO volontairement DPO au sens du RGPD Toutes les garanties des art. 37 à 39 s’appliquent
Nommer un « référent informatique et libertés » Non-DPO Pas de protection statutaire du DPO, souplesse
Ne rien désigner Les obligations RGPD restent portées par la direction

Attention à ce choix : si vous appelez votre interlocuteur « DPO », vous devez lui appliquer l’ensemble du régime (indépendance, absence de conflit d’intérêts, déclaration à la CNIL). Beaucoup de petites associations préfèrent nommer un simple référent — un point de contact interne sans le statut protecteur du DPO — ce qui offre plus de souplesse tout en désignant une personne responsable du sujet. C’est souvent le meilleur compromis pour une structure qui n’a pas l’obligation légale.

Cas pratiques

Cas 1 — Club de football amateur, 300 licenciés. Fichier adhérents + certificats médicaux annuels. Les certificats sont des données de santé, mais ni « activité principale » ni « grande échelle ». Pas de DPO obligatoire. Le club doit cependant sécuriser ces certificats et limiter leur conservation.

Cas 2 — Association gérant un centre médico-social, 4 000 bénéficiaires. Traitement à grande échelle de données de santé, au cœur de la mission. DPO obligatoire (critère c).

Cas 3 — Réseau de 15 petites associations culturelles. Aucune n’a l’obligation individuellement. Mais elles choisissent volontairement de mutualiser un DPO externe pour sécuriser leur conformité. Choix pertinent et économique.

Erreurs fréquentes

  • Croire que le RGPD ne concerne pas les associations. Toute association qui traite des données personnelles est soumise au RGPD, DPO ou pas.
  • Nommer le président comme DPO. Conflit d’intérêts : il décide des traitements. À éviter.
  • Confondre « pas de DPO » et « pas d’obligations ». L’absence de DPO n’exonère d’aucune autre obligation (registre, information, sécurité).
  • Sous-estimer le critère « grande échelle ». Une association médico-sociale de taille moyenne peut y basculer plus vite qu’elle ne le pense.
  • Oublier de déclarer le DPO à la CNIL. Lorsqu’un DPO est désigné (obligatoire ou volontaire), sa désignation doit être notifiée à la CNIL.
  • Désigner un DPO sans lui donner de moyens. Un DPO « sur le papier », sans temps ni ressources, expose l’association.

En résumé

La règle : la plupart des associations n’ont pas à désigner de DPO. L’obligation ne pèse que sur les organismes publics, ceux qui pratiquent un suivi systématique à grande échelle, et ceux qui traitent à grande échelle des données sensibles — ce qui vise essentiellement les associations des secteurs santé, social et judiciaire. Si vous êtes concerné, pensez au DPO bénévole ou mutualisé pour concilier conformité et budget. Et rappelez-vous : même sans DPO, toutes les autres obligations RGPD s’appliquent.

Pour comprendre l’ensemble de vos obligations associatives, inscrivez-vous à notre newsletter — un décryptage clair, chaque semaine, signé d’un docteur en droit.

Une plateforme comme Legiscope aide les petites structures à documenter leur analyse (DPO obligatoire ou non) et à tenir leur registre sans expertise interne.

FAQ

Une petite association loi 1901 doit-elle nommer un DPO ?

Dans l’immense majorité des cas, non. Un club, une amicale ou une association culturelle ne remplit aucun des trois critères de l’article 37. Elle reste néanmoins soumise aux autres obligations RGPD. Voir notre guide RGPD association.

Le président de l’association peut-il être le DPO ?

Non, en principe. Le président définit les finalités et moyens des traitements : il est en conflit d’intérêts avec la fonction de DPO, qui exige indépendance et absence de position décisionnelle sur les traitements.

Un DPO peut-il être bénévole ?

Oui. Le RGPD n’impose ni rémunération ni contrat de travail. Un bénévole compétent, sans conflit d’intérêts et disposant de moyens suffisants, peut exercer la fonction de DPO.

Peut-on partager un DPO entre plusieurs associations ?

Oui. L’article 37(3) autorise expressément un DPO unique pour plusieurs organismes, à condition qu’il reste facilement joignable depuis chacun. La mutualisation est très adaptée au tissu associatif.

Une association de santé doit-elle obligatoirement un DPO ?

Si elle traite à grande échelle des données de santé au titre de son activité principale (établissement de soins, centre médico-social important), oui : le critère © de l’article 37 s’applique. Pour les cas d’obligation générale, voyez DPO obligatoire.

Faut-il déclarer le DPO à la CNIL ?

Oui, dès qu’un DPO est désigné, qu’il soit obligatoire ou volontaire, l’association doit communiquer ses coordonnées à la CNIL via le téléservice dédié, et les publier (par exemple sur son site).