Vous gérez des listes de bénéficiaires dans trois pays, des formulaires d'inscription collectés sur le terrain, des données de santé transmises par vos partenaires locaux. Chaque jour, vos équipes manipulent des informations personnelles sensibles — souvent sans savoir précisément qui y a accès, combien de temps elles sont conservées, ni si leur traitement respecte la réglementation européenne. Pour les ONG et OSC opérant depuis la France ou traitant des données de ressortissants européens, le Règlement Général sur la Protection des Données (RGPD) n'est pas une option : c'est une obligation légale dont le non-respect peut entraîner des sanctions allant jusqu'à 20 millions d'euros.
Ce guide pratique vous accompagne pas à pas dans la mise en conformité RGPD de votre organisation. De la cartographie de vos traitements à la sécurisation technique de vos systèmes, en passant par la gestion des droits des bénéficiaires et la formation de vos équipes terrain, vous trouverez ici des réponses concrètes adaptées aux réalités opérationnelles du secteur humanitaire. Abvius, en tant que plateforme conçue spécifiquement pour les ONG, intègre nativement les mécanismes de traçabilité, de contrôle d'accès et de journalisation nécessaires à cette conformité.
Conformité RGPD ONG : le guide complet pour protéger les données de vos bénéficiaires
Temps de lecture : ~12 min
- Pourquoi le RGPD concerne directement les ONG et OSC
- Cartographier vos traitements de données personnelles
- Droits des bénéficiaires : obligations et mise en œuvre terrain
- Sécurité des données : mesures techniques et organisationnelles
- Registre des traitements et documentation obligatoire
- Comment Abvius facilite la conformité RGPD des ONG
- Bonnes pratiques : 5 étapes pour une mise en conformité progressive
- Mini FAQ
1. Pourquoi le RGPD concerne directement les ONG et OSC
Un champ d'application territorial étendu
Le RGPD s'applique à toute organisation établie dans l'Union européenne, quelle que soit sa forme juridique — association loi 1901, fondation reconnue d'utilité publique ou ONG internationale ayant un siège en Europe. Il s'applique également à toute structure hors UE qui traite des données de personnes se trouvant sur le territoire européen. Concrètement, si votre siège est en France et que vos bureaux terrain collectent des données au Sahel, au Moyen-Orient ou en Asie du Sud-Est, le RGPD s'applique à l'ensemble de ces traitements dès lors que les décisions relatives au traitement sont prises depuis l'UE.
Des données souvent sensibles dans le secteur humanitaire
Les ONG traitent fréquemment des catégories particulières de données au sens de l'article 9 du RGPD : données de santé (programmes nutritionnels, VIH, santé mentale), origines ethniques (ciblage des populations vulnérables), opinions politiques ou religieuses (protection des réfugiés), données relatives à des mineurs. Ces traitements exigent des bases légales renforcées et des mesures de sécurité proportionnées au risque encouru par les personnes concernées.
Le renforcement des contrôles CNIL en 2026
La CNIL a inscrit la transparence et la protection des données des populations vulnérables parmi ses priorités d'action pour 2026. Les contrôles se multiplient, y compris dans le secteur associatif. Les exigences de preuve de conformité se sont durcies : il ne suffit plus de déclarer une politique de protection des données, il faut pouvoir démontrer sa mise en œuvre effective par des preuves documentaires, des journaux d'accès et des procédures testées.
2. Cartographier vos traitements de données personnelles
Identifier tous les flux de données
La première étape de toute mise en conformité consiste à recenser exhaustivement les traitements de données personnelles au sein de votre organisation. Dans une ONG typique, ces flux sont souvent plus complexes qu'il n'y paraît : formulaires d'enregistrement des bénéficiaires sur le terrain, bases de données programmatiques, listes de distribution, données RH des employés nationaux et expatriés, fichiers donateurs, données de suivi-évaluation (MEAL), échanges avec les partenaires locaux.
Pour chaque traitement identifié, vous devez documenter : la finalité du traitement, les catégories de données collectées, les personnes concernées, les destinataires, les transferts éventuels hors UE, la durée de conservation prévue et les mesures de sécurité appliquées.
Déterminer les bases légales appropriées
Contrairement aux entreprises commerciales qui s'appuient souvent sur le consentement ou l'intérêt légitime, les ONG disposent de bases légales spécifiques selon les contextes :
| Type de traitement | Base légale recommandée | Exemple concret |
|---|---|---|
| Distribution d'aide d'urgence | Intérêt vital (art. 6.1.d) | Enregistrement de réfugiés pour distribution alimentaire |
| Gestion des salariés | Exécution du contrat (art. 6.1.b) | Paie, congés, évaluations du personnel |
| Reporting bailleur nominatif | Obligation légale (art. 6.1.c) | Listes de bénéficiaires exigées par le bailleur |
| Suivi programmatique MEAL | Intérêt légitime (art. 6.1.f) | Enquêtes de satisfaction, suivi de cohorte |
| Communication donateurs | Consentement (art. 6.1.a) | Newsletter, appels aux dons |
| Données de santé bénéficiaires | Intérêt vital + dérogation art. 9.2.c | Programme VIH, nutrition thérapeutique |
3. Droits des bénéficiaires : obligations et mise en œuvre terrain
Les sept droits des personnes concernées
Le RGPD confère aux bénéficiaires dont vous traitez les données un ensemble de droits que votre organisation doit être en mesure de satisfaire dans un délai d'un mois : droit d'accès (consultation des données les concernant), droit de rectification (correction d'informations inexactes), droit à l'effacement (suppression sous conditions), droit à la limitation du traitement, droit à la portabilité, droit d'opposition et droit de ne pas faire l'objet d'une décision automatisée.
Les défis spécifiques du terrain
L'exercice de ces droits pose des défis particuliers dans le contexte humanitaire. Comment informer des bénéficiaires analphabètes de leurs droits ? Comment gérer une demande d'effacement lorsque le bailleur exige la conservation des preuves pendant dix ans ? Comment garantir le droit d'accès lorsque les données sont réparties entre le siège, un bureau pays et un partenaire local ?
La réponse passe par des procédures adaptées au contexte : notices d'information orales dans la langue locale, formulaires simplifiés avec pictogrammes, désignation d'un point focal données personnelles sur chaque base terrain, et surtout un système d'information capable de tracer qui a accès à quoi et de répondre rapidement aux demandes.
4. Sécurité des données : mesures techniques et organisationnelles
Mesures techniques exigées en 2026
La CNIL a renforcé ses recommandations techniques pour 2026. Les mesures suivantes sont désormais considérées comme le standard minimal pour les organisations traitant des données sensibles :
- Chiffrement : données au repos (AES-256 minimum) et en transit (TLS 1.3)
- Pseudonymisation : séparation des données identifiantes et des données programmatiques
- Authentification forte (MFA) : obligatoire pour tout accès aux bases de données bénéficiaires
- Principe du moindre privilège : chaque utilisateur n'accède qu'aux données strictement nécessaires à sa fonction
- Journalisation des accès : traçabilité complète de qui accède à quelles données, quand et pourquoi
- Sauvegardes régulières : avec tests de restauration documentés
- Analyse d'impact (AIPD) : obligatoire pour les traitements à grande échelle de données sensibles
Mesures organisationnelles indispensables
La sécurité ne se résume pas à la technique. Les mesures organisationnelles sont tout aussi cruciales : désignation d'un Délégué à la Protection des Données (DPO) — obligatoire pour les associations dont l'activité principale implique un suivi régulier de personnes vulnérables —, formation régulière du personnel siège et terrain, procédures de notification de violation de données (72 heures pour notifier la CNIL), clauses contractuelles types avec les sous-traitants et partenaires, politique de durée de conservation par type de données.
Transferts de données hors Union européenne
Les ONG internationales transfèrent systématiquement des données entre leurs bureaux terrain (souvent hors UE) et leur siège européen. Ces transferts doivent être encadrés par des mécanismes juridiques appropriés : clauses contractuelles types (CCT) de la Commission européenne, règles d'entreprise contraignantes (BCR) pour les grandes organisations, ou dérogations pour motif d'intérêt vital dans les situations d'urgence humanitaire.
| Approche | Tableur Excel | Logiciel générique | ERP spécialisé ONG (Abvius) |
|---|---|---|---|
| Contrôle d'accès granulaire | ❌ Inexistant | ⚠️ Basique | ✅ Par rôle, projet, zone géographique |
| Journalisation des accès | ❌ Aucune | ⚠️ Partielle | ✅ Complète avec horodatage |
| Chiffrement des données | ❌ Non | ⚠️ Variable | ✅ AES-256 au repos, TLS en transit |
| Durées de conservation automatisées | ❌ Manuel | ❌ Manuel | ✅ Politiques configurables par projet |
| Réponse aux demandes de droits | ❌ Recherche manuelle | ⚠️ Possible mais complexe | ✅ Extraction et suppression ciblée |
| Hébergement souverain | ❌ Poste local | ⚠️ Selon le fournisseur | ✅ Cloud souverain français |
5. Registre des traitements et documentation obligatoire
Contenu du registre des traitements
Toute organisation comptant plus de 250 salariés — ou traitant régulièrement des données sensibles, ce qui est le cas de la plupart des ONG — doit tenir un registre des traitements. Ce registre constitue la pièce maîtresse de votre conformité RGPD. Il doit contenir, pour chaque traitement : le nom et les coordonnées du responsable de traitement, les finalités du traitement, les catégories de personnes concernées et de données traitées, les catégories de destinataires, les transferts vers des pays tiers, les délais de conservation et une description générale des mesures de sécurité.
Documentation complémentaire à maintenir
Au-delà du registre, la conformité RGPD exige de documenter : les analyses d'impact relatives à la protection des données (AIPD) pour les traitements à risque, les procédures de gestion des demandes d'exercice des droits, la procédure de notification des violations de données, les contrats et accords de traitement avec vos sous-traitants (hébergeurs, prestataires IT, partenaires terrain), la politique de conservation et de destruction des données, les preuves de formation du personnel. Cette documentation doit être vivante, mise à jour régulièrement et accessible en cas de contrôle CNIL.
6. Comment Abvius facilite la conformité RGPD des ONG
Traçabilité native et piste d'audit
Abvius a été conçu dès l'origine pour le secteur humanitaire, ce qui signifie que les exigences de traçabilité et de conformité sont intégrées dans l'architecture même de la plateforme — et non ajoutées après coup. Chaque action effectuée dans le système est journalisée : qui a consulté ou modifié une donnée, quand et depuis quel terminal. Cette piste d'audit complète répond directement à l'exigence CNIL de journalisation des accès et facilite considérablement la réponse aux demandes de droit d'accès.
Contrôle d'accès granulaire et principe du moindre privilège
La gestion des droits dans Abvius permet de configurer des accès par rôle, par projet, par zone géographique et par type de données. Un coordinateur terrain n'accède qu'aux données de son projet et de sa zone, tandis qu'un DAF siège dispose d'une vue consolidée sans nécessairement accéder aux données nominatives des bénéficiaires. Les workflows de validation garantissent que les actions sensibles (export de données, modifications en masse) passent par un circuit d'approbation.
Hébergement souverain et sécurité renforcée
Abvius est hébergé sur un cloud souverain français, ce qui simplifie considérablement la question des transferts de données hors UE pour les données stockées. Le chiffrement AES-256 au repos et TLS 1.3 en transit, l'authentification multi-facteurs et les sauvegardes automatiques avec tests de restauration répondent aux exigences techniques de la CNIL. Pour les opérations terrain, la centralisation siège-terrain dans un système unique évite la multiplication des copies de fichiers Excel non sécurisés circulant par email.
Reporting bailleur et anonymisation
Le reporting automatique d'Abvius permet de générer des rapports bailleurs conformes tout en respectant le principe de minimisation des données. Les fonctionnalités de pseudonymisation permettent de produire des rapports programmatiques agrégés sans exposer les données nominatives des bénéficiaires au-delà du strict nécessaire. La signature électronique intégrée sécurise les circuits de validation sans nécessiter l'échange de documents papier contenant des données personnelles.
Pour en savoir plus : https://abvius.org
7. Bonnes pratiques : 5 étapes pour une mise en conformité progressive
Étape 1 : Réaliser un audit initial de vos traitements
Commencez par dresser l'inventaire complet de vos traitements de données personnelles. Impliquez chaque département — programmes, finance, RH, logistique, communication — car chacun traite des données souvent sans en avoir pleinement conscience. Utilisez le modèle de registre simplifié proposé par la CNIL pour les associations. Identifiez en priorité les traitements portant sur des données sensibles ou impliquant des transferts hors UE.
Étape 2 : Désigner un référent protection des données
Même si la désignation d'un DPO n'est pas obligatoire pour toutes les associations, nommez au minimum un référent interne chargé de piloter la conformité. Cette personne doit disposer de temps dédié, d'une formation adéquate et d'un accès direct à la direction. Pour les ONG de taille importante ou traitant massivement des données sensibles, un DPO formel (interne ou externe mutualisé) est fortement recommandé.
Étape 3 : Sécuriser vos systèmes d'information
Priorisez les mesures de sécurité en fonction des risques identifiés. Les actions à fort impact et faible coût d'abord : activation du MFA sur tous les comptes, chiffrement des ordinateurs portables terrain, suppression des fichiers Excel contenant des données bénéficiaires circulant par email. Ensuite, migrez progressivement vers un système centralisé offrant journalisation et contrôle d'accès natifs.
Étape 4 : Former vos équipes siège et terrain
La conformité RGPD ne peut reposer uniquement sur la technologie. Formez l'ensemble de vos collaborateurs — y compris le personnel national et les partenaires locaux — aux principes de base : minimisation des données collectées, confidentialité, signalement des incidents. Adaptez vos supports de formation au contexte (langue locale, exemples concrets liés à leur activité quotidienne). Documentez ces formations comme preuve de conformité.
Étape 5 : Mettre en place des procédures de gestion des incidents
Préparez-vous à gérer une violation de données avant qu'elle ne survienne. Rédigez une procédure claire : qui alerter, comment évaluer la gravité, quand et comment notifier la CNIL (délai de 72 heures) et les personnes concernées. Testez cette procédure au moins une fois par an avec un exercice de simulation. Sur le terrain humanitaire, où les risques de perte ou de vol d'équipements sont élevés, cette préparation est essentielle.
8. Mini FAQ
Notre ONG compte moins de 250 salariés : sommes-nous concernés par le RGPD ?
Oui. Le seuil de 250 salariés ne concerne que l'obligation de tenir un registre des traitements dans certains cas. Or, dès lors que vous traitez régulièrement des données sensibles (ce qui est le cas de la quasi-totalité des ONG opérationnelles), le registre est obligatoire quelle que soit votre taille. Et toutes les autres obligations RGPD (droits des personnes, sécurité, notification des violations) s'appliquent sans condition de taille.
Un bailleur exige des listes nominatives de bénéficiaires : est-ce compatible avec le RGPD ?
C'est un cas fréquent de tension entre obligations contractuelles envers le bailleur et respect du RGPD. La solution passe par le principe de minimisation : ne transmettez que les données strictement nécessaires, privilégiez les identifiants pseudonymisés quand le bailleur l'accepte, et encadrez juridiquement le transfert par des clauses de confidentialité précisant les obligations du bailleur en tant que destinataire. Documentez votre analyse de proportionnalité.
Comment gérer la conformité RGPD sur le terrain avec une connectivité limitée ?
La connectivité limitée ne dispense pas de la conformité, mais elle impose des adaptations pratiques. Privilégiez les outils fonctionnant en mode hors-ligne avec synchronisation sécurisée dès le retour de connexion. Chiffrez systématiquement les appareils terrain (laptops, tablettes). Limitez le stockage local au strict minimum et purgez régulièrement les données synchronisées. Un ERP cloud comme Abvius, avec sa centralisation siège-terrain, réduit la prolifération de copies locales non maîtrisées.
Les ONG sont-elles réellement sanctionnées par la CNIL ?
La CNIL ne fait pas d'exception pour le secteur associatif. Plusieurs associations ont déjà fait l'objet de mises en demeure publiques pour des manquements au RGPD. Si les sanctions financières restent rares pour les petites structures, les mises en demeure publiques portent atteinte à la réputation — un risque majeur pour des organisations dont la crédibilité auprès des bailleurs et du public est un actif stratégique. La conformité RGPD est aussi un argument de confiance dans vos dossiers de financement.
Synthèse
La conformité RGPD n'est pas un exercice bureaucratique déconnecté de la mission des ONG : c'est un engagement de respect envers les populations vulnérables que vous servez. En structurant vos traitements de données, en sécurisant vos systèmes et en formant vos équipes, vous protégez vos bénéficiaires, renforcez la confiance de vos bailleurs et réduisez votre exposition au risque. Des outils comme Abvius, conçus pour les réalités opérationnelles du secteur, permettent d'intégrer cette conformité dans vos processus quotidiens sans alourdir la charge de travail de vos équipes. Pour aller plus loin, consultez nos articles sur la cybersécurité des ONG, la piste d'audit numérique et la sécurité cloud souverain. Pour un accompagnement personnalisé, contactez l'équipe Abvius.