Noms, prénoms, dates de naissance, adresses email, numéros de téléphone, photos de visage, certificats médicaux, coordonnées bancaires, noms des enfants, allergies alimentaires signalées au stage d’été.
Votre club sportif détient tout ça. Probablement dans un tableur Excel sans mot de passe, un dossier Google Drive partagé avec “tous ceux qui ont le lien”, et une boîte à chaussures dans le local du club.
Le jour où un ancien adhérent envoie un email avec l’objet “Exercice du droit d’accès — article 15 du RGPD”, vous avez 30 jours pour lui fournir la liste complète de tout ce que vous détenez sur lui. Trente jours. Et la plupart des clubs ne savent même pas par où commencer.
En 2026, ignorer le RGPD n’est plus une option. Et non, ce n’est pas “un truc pour les entreprises”.
”Le RGPD, c’est pour les entreprises, pas pour nous”
C’est la phrase que l’on entend le plus souvent dans les bureaux associatifs. Et c’est faux.
Le Règlement Général sur la Protection des Données s’applique à toute structure qui traite des données personnelles : entreprises, collectivités, organismes publics — et associations. Y compris les clubs sportifs, quelle que soit leur taille.
Dès que votre club gère une liste d’adhérents avec noms, adresses email, numéros de téléphone, dates de naissance ou photos — vous traitez des données personnelles. Et vous êtes soumis au RGPD.
Les chiffres sont sans appel. En 2025, la CNIL a prononcé 83 sanctions et 143 mises en demeure, pour un montant cumulé de 487 millions d’euros d’amendes. Si les amendes records visent les grandes entreprises, la procédure simplifiée de la CNIL touche des structures plus modestes avec des amendes de 3 000 à 20 000 €. Suffisant pour mettre un club en difficulté financière.
Les 5 obligations que tout club doit connaître
1. Le registre des traitements
C’est la base de votre conformité. Depuis 2018, les associations n’ont plus à déclarer leurs fichiers à la CNIL. En contrepartie, elles doivent tenir un registre qui documente :
- Qui est responsable du traitement (le président ou le bureau)
- Pourquoi vous collectez des données (gestion des adhésions, comptabilité, communication)
- Quoi : quelles catégories de données (identité, contact, santé, performance)
- Combien de temps vous les conservez
- Qui y a accès (quels bénévoles, quels outils)
- Comment vous les protégez
Pas besoin d’un document de 50 pages. Un tableau clair et à jour suffit. Mais il doit exister. En 2026, la CNIL est formelle : pas de document = pas de conformité. La bonne volonté orale ne suffit plus.
2. L’information des adhérents
Au moment de l’inscription, vos adhérents doivent être clairement informés :
- De l’utilisation qui sera faite de leurs données
- De la durée de conservation
- De leurs droits (accès, rectification, suppression)
- Du responsable du traitement et de ses coordonnées
Concrètement, cela signifie ajouter une mention RGPD sur votre bulletin d’inscription — papier ou en ligne. Pas un pavé juridique illisible, mais une information claire et accessible.
3. La durée de conservation
C’est l’un des points les plus méconnus. Vous ne pouvez pas garder les données de vos adhérents indéfiniment. La règle est simple :
- Adhérents actifs : pendant toute la durée de l’adhésion
- Anciens adhérents : 3 ans maximum après la fin de l’adhésion
- Au-delà : suppression ou anonymisation obligatoire
Ce tableur Excel qui contient les adhérents depuis la création du club en 2003 ? Il est illégal. Toutes les données d’anciens adhérents de plus de 3 ans doivent être purgées.
4. Les droits des adhérents
Tout adhérent peut exercer ses droits à tout moment :
- Droit d’accès : obtenir la liste complète de ses données (le fameux email “article 15”)
- Droit de rectification : corriger des informations inexactes
- Droit à l’effacement : demander la suppression de ses données
- Droit d’opposition : s’opposer à certains traitements (newsletter, photos)
Votre club doit avoir une procédure pour traiter ces demandes. Le délai légal est de 30 jours. Passé ce délai sans réponse, l’adhérent peut saisir la CNIL.
5. La sécurité des données
Protéger les données de vos adhérents, ce n’est pas optionnel. Les mesures de base :
- Mots de passe sur les fichiers contenant des données personnelles
- Accès restreint aux seules personnes qui en ont besoin
- Sauvegardes régulières des données
- HTTPS si vous avez un site web ou un formulaire en ligne
- Pas de données sensibles par email non sécurisé
Et en cas de violation de données (piratage, perte d’un ordinateur, envoi d’un fichier au mauvais destinataire), vous devez notifier la CNIL dans les 72 heures.
Le cas particulier des photos et des mineurs
C’est le piège dans lequel tombent presque tous les clubs.
Les photos d’adhérents
Publier des photos de vos adhérents sur Facebook, Instagram ou le site du club nécessite leur autorisation préalable explicite. Pas un consentement implicite. Pas “ils étaient d’accord verbalement”. Un document signé ou une case cochée.
Et cette autorisation :
- Doit préciser les supports (réseaux sociaux, site web, affichage)
- Doit être révocable à tout moment
- Ne peut pas être une condition d’inscription (le consentement doit rester libre)
Les données de mineurs
Si votre club accueille des enfants et adolescents — et c’est le cas de la majorité des clubs sportifs —, vous devez redoubler de vigilance :
- L’autorisation parentale est obligatoire pour l’utilisation des photos de mineurs
- L’information sur le traitement des données doit être adaptée à l’âge et à la maturité de l’enfant
- Les données de santé (certificats médicaux, questionnaires de santé) bénéficient d’une protection renforcée
Combinez cela avec les obligations de la loi du 8 mars 2024 sur l’honorabilité et vous mesurez l’ampleur de la responsabilité qui pèse sur les dirigeants de clubs accueillant des mineurs.
Ce qui change en 2026
Le RGPD n’est pas nouveau — il est en vigueur depuis 2018. Mais trois évolutions rendent la conformité plus urgente que jamais :
1. La CNIL intensifie ses contrôles. Avec 259 décisions en 2025 (contre 180 en 2023), la cadence s’accélère. La procédure simplifiée permet désormais de sanctionner rapidement des structures de toute taille, y compris des associations.
2. La conformité documentée devient la norme. L’époque du “on fait attention, ne vous inquiétez pas” est révolue. En cas de contrôle, la CNIL demande des preuves écrites : registre des traitements, mentions d’information, procédures de gestion des droits. Si vous ne pouvez pas les produire, vous êtes en infraction.
3. Les adhérents connaissent leurs droits. Les demandes d’accès, de suppression et d’opposition se multiplient. Un parent inquiet, un ancien adhérent mécontent, un ex-bénévole en conflit — chacun peut exercer ses droits et, en cas de non-réponse, saisir la CNIL.
Le plan d’action en 5 étapes pour votre club
Pas besoin d’engager un avocat spécialisé. Voici les actions concrètes pour mettre votre club en conformité :
Étape 1 : Faites l’inventaire de vos données. Listez tous les endroits où vous stockez des données personnelles : tableurs, logiciels, papier, emails, groupes WhatsApp, réseaux sociaux. Vous serez probablement surpris du nombre de sources.
Étape 2 : Créez votre registre des traitements. Un simple tableau qui répond aux questions : quoi, pourquoi, combien de temps, qui y accède, comment c’est protégé. La CNIL propose un modèle gratuit sur son site.
Étape 3 : Mettez à jour vos formulaires d’inscription. Ajoutez une mention RGPD claire. Prévoyez des cases d’autorisation distinctes pour la communication et les photos. Ne mélangez pas tout dans un seul consentement.
Étape 4 : Purgez vos anciennes données. Supprimez les données des adhérents qui ont quitté le club depuis plus de 3 ans. Oui, cela inclut le vieux fichier Excel de 2012.
Étape 5 : Formez votre bureau. Pas besoin d’une formation d’une journée. Une réunion d’une heure pour expliquer les bases : qui a accès à quoi, comment répondre à une demande d’accès, que faire en cas de problème.
La conformité comme atout, pas comme fardeau
Il est tentant de voir le RGPD comme une contrainte de plus pour des bénévoles déjà surchargés. Mais la conformité est aussi un signal de confiance envoyé à vos adhérents et aux familles.
Un club qui protège les données de ses membres, c’est un club qui prend ses responsabilités au sérieux. C’est un club où les parents se sentent en sécurité pour inscrire leurs enfants. C’est un club qui inspire confiance aux collectivités locales et aux sponsors.
Deux soirées de travail. C’est ce qu’il faut pour créer un registre, mettre à jour le bulletin d’inscription et purger les données obsolètes. Pas deux mois. Pas un budget consulting. Deux soirées.
Votre club ne sera pas en conformité parfaite — aucun ne l’est à 100%. Mais il sera suffisamment protégé pour répondre à un contrôle, rassurer ses adhérents et permettre à ses bénévoles de dormir tranquilles.
C’est à la portée de chaque club. Y compris le vôtre.
Paak centralise les données de vos adhérents dans un environnement sécurisé et 100% européen : gestion des consentements, durées de conservation, droits des adhérents. Conçu pour la conformité, dès le premier jour. paak.club