« Est-ce que le RGPD s'applique à notre petite APE de 80 familles ? » — Oui. Sans aucune exception. Depuis mai 2018, le Règlement Général sur la Protection des Données s'applique à toute organisation qui collecte ou traite des données personnelles, quelle que soit sa taille, son statut juridique ou son budget.
Et une APE collecte beaucoup de données personnelles : noms des parents, des enfants, classes, emails, téléphones, adresses, coordonnées bancaires, photos... Autant d'informations sensibles qui doivent être protégées.
Ce guide vous explique concrètement ce que votre association doit faire — sans jargon juridique inutile.
Pourquoi le RGPD Concerne Votre APE
Ce que dit la loi
Le RGPD (Règlement UE 2016/679) et la Loi Informatique et Libertés française (modifiée en 2018) s'appliquent dès que vous :
- Collectez des données personnelles (nom, email, téléphone d'un parent)
- Stockez ces données (fichier Excel, logiciel, carnet papier)
- Utilisez ces données (envoi d'emails, listes de classes, appels téléphoniques)
Les données que votre APE traite au quotidien
| Type de données | Exemples | Niveau de sensibilité |
|---|---|---|
| Identité parents | Nom, prénom, adresse, email, téléphone | Standard |
| Identité enfants | Nom, prénom, date de naissance, classe | Mineurs — sensibilité élevée |
| Données financières | Cotisations, paiements, RIB | Sensibilité élevée |
| Photos/vidéos | Photos de kermesse, vidéos de spectacles | Droit à l'image — très sensible |
| Données de santé | Allergies d'un enfant (pour la restauration) | Données sensibles au sens RGPD |
| Communications | Historique des emails, messages WhatsApp | Standard |
Point critique : Les données des enfants (mineurs) bénéficient d'une protection renforcée sous le RGPD. Leur traitement nécessite le consentement explicite des deux parents (ou du titulaire de l'autorité parentale).
Les 6 Obligations Concrètes de Votre APE
1. Tenir un Registre des Traitements
C'est l'obligation n°1, et elle est gratuite. Le registre liste tous les traitements de données que votre association effectue.
Modèle simplifié de registre :
| Traitement | Finalité | Données collectées | Base légale | Durée de conservation | Destinataires |
|---|---|---|---|---|---|
| Gestion des adhésions | Suivi des membres | Nom, prénom, email, tél, enfant, classe | Contrat (adhésion) | Durée de l'adhésion + 1 an | Bureau uniquement |
| Envoi de communications | Information des parents | Email, prénom | Intérêt légitime | Durée de l'adhésion | Bureau uniquement |
| Cotisations | Encaissement et suivi | Nom, montant, date, mode de paiement | Contrat (adhésion) | 5 ans (obligation comptable) | Trésorier |
| Photos d'événements | Communication, souvenirs | Images d'enfants et parents | Consentement | 3 ans | Bureau, site web |
| Billetterie HelloAsso | Vente en ligne | Nom, email, commande | Contrat (vente) | 5 ans (obligation comptable) | HelloAsso + Bureau |
| Liste bénévoles | Organisation des événements | Nom, tél, disponibilités | Intérêt légitime | Durée de l'événement + 1 an | Responsable événement |
Astuce : La CNIL propose un modèle de registre gratuit sur son site (cnil.fr). Téléchargez-le et remplissez-le en 30 minutes.
2. Informer les Parents
Lors de chaque collecte de données (adhésion, inscription à un événement, formulaire en ligne), vous devez informer les parents de :
- Qui collecte les données (nom de l'association, contact du responsable)
- Pourquoi vous les collectez (gestion des adhésions, communication, etc.)
- Combien de temps vous les conservez
- Leurs droits : accès, rectification, suppression, opposition, portabilité
Où afficher cette information ?
| Support | Comment |
|---|---|
| Bulletin d'adhésion | Mention en bas du formulaire |
| Site web / page HelloAsso | Lien vers la politique de confidentialité |
| Formulaire d'inscription | Case à cocher « J'ai lu et j'accepte la politique de gestion des données » |
| Email de bienvenue | Rappel des droits et lien pour se désinscrire |
3. Recueillir le Consentement (Quand C'est Nécessaire)
Le consentement n'est pas toujours nécessaire. Voici les bases légales les plus courantes pour une APE :
| Action | Base légale | Consentement explicite ? |
|---|---|---|
| Gérer la liste des adhérents | Contrat (adhésion) | ❌ Non |
| Envoyer des infos sur les événements | Intérêt légitime | ❌ Non (mais droit d'opposition) |
| Publier des photos d'enfants | Consentement | ✅ Oui — écrit et spécifique |
| Envoyer des newsletters marketing | Consentement | ✅ Oui — opt-in explicite |
| Partager la liste des familles avec l'école | Intérêt légitime | ❌ Non (mais information préalable) |
Le cas des photos : C'est le sujet le plus délicat. Avant de publier des photos d'une kermesse sur Facebook ou le site de l'association, vous devez avoir obtenu le consentement écrit des parents pour chaque enfant identifiable. Un formulaire de droit à l'image signé en début d'année est la méthode la plus simple.
4. Sécuriser les Données
Les mesures de sécurité doivent être proportionnées à la sensibilité des données. Pour une APE, voici le minimum :
| Mesure | Niveau | Détail |
|---|---|---|
| Mots de passe robustes | Obligatoire | Au moins 12 caractères, différent pour chaque outil |
| Accès restreint | Obligatoire | Seuls les membres du bureau accèdent aux données |
| Mise à jour des logiciels | Recommandé | Systèmes d'exploitation, navigateurs, antivirus |
| Chiffrement | Recommandé | Protéger les fichiers sensibles (Excel avec mot de passe ≠ chiffrement) |
| Sauvegarde | Obligatoire | Copie des données essentielles sur un support externe |
| Suppression en fin de mandat | Obligatoire | Effacer les données des outils personnels du bureau sortant |
5. Respecter les Droits des Parents
Tout parent peut exercer ces droits à tout moment :
| Droit | Ce que ça signifie | Délai de réponse |
|---|---|---|
| Accès | Me montrer toutes les données que vous avez sur moi et mes enfants | 1 mois |
| Rectification | Corriger une erreur (mauvais email, mauvaise classe) | 1 mois |
| Suppression | Effacer mes données (sauf obligation légale de conservation) | 1 mois |
| Opposition | Je ne veux plus recevoir vos emails | Immédiat |
| Portabilité | Me donner mes données dans un format exploitable | 1 mois |
En pratique : Ces demandes sont rares dans une APE. Mais si un parent en fait une, vous êtes légalement obligé de répondre dans le mois. Désignez un membre du bureau comme « référent données ».
6. Gérer les Sous-Traitants
Si vous utilisez des outils tiers pour traiter les données, vous devez vérifier leur conformité RGPD :
| Outil | Données transmises | Conforme RGPD ? |
|---|---|---|
| HelloAsso | Noms, emails, paiements | ✅ Hébergé en France |
| Kermesseo | Adhérents, événements, finances | ✅ Hébergé en France, données chiffrées |
| Google Forms | Noms, emails, réponses | ⚠️ Données aux USA (Data Privacy Framework) |
| Noms, téléphones, messages | ⚠️ Données Meta (USA), pas idéal pour les données sensibles | |
| Excel partagé | Tout | ❌ Pas de contrôle d'accès, pas de traçabilité |
| Groupe Facebook | Noms, photos, messages | ⚠️ Données Meta (USA) |
📚 À lire aussi : Excel pour gérer votre APE : 5 risques cachés | WhatsApp pour communiquer avec les parents : les 5 pièges
Le Cas Particulier des Photos et Vidéos
Le droit à l'image des mineurs
Le droit à l'image est distinct du RGPD mais les deux se cumulent. Pour les enfants :
- Autorisation écrite des deux parents (ou du titulaire de l'autorité parentale)
- Spécifique : préciser le support (site web, Facebook, affiche) et la durée
- Révocable : un parent peut retirer son consentement à tout moment
Modèle d'autorisation
Je soussigné(e) [Nom Prénom], parent de [Nom Prénom de l'enfant], autorise l'association [Nom APE] à photographier et/ou filmer mon enfant lors des événements scolaires et à utiliser ces images sur : ☐ Le site internet de l'association ☐ Les réseaux sociaux (Facebook, Instagram) ☐ Les supports de communication internes (affiches, flyers). Cette autorisation est valable pour l'année scolaire 2026-2027 et peut être révoquée à tout moment par courrier ou email.
Les bonnes pratiques photo
- Ne publiez jamais une photo où un enfant est seul et identifiable sans autorisation
- Privilégiez les plans larges qui montrent l'ambiance sans identifier les visages
- Floutez les visages des enfants dont les parents n'ont pas donné leur accord
- Ne publiez pas sur des groupes publics (préférez les groupes fermés)
Les Sanctions en Cas de Non-Conformité
| Risque | Détail |
|---|---|
| Mise en demeure CNIL | La CNIL peut exiger une mise en conformité sous 6 mois |
| Amende administrative | Jusqu'à 20M€ ou 4% du CA (théorique pour les associations) |
| Plainte d'un parent | Signalement à la CNIL + action en justice possible |
| Perte de confiance | Les parents retirent leurs enfants des événements |
| Refus de subvention | Certaines mairies exigent la conformité RGPD pour attribuer des subventions |
Réalité : La CNIL ne va pas sanctionner une APE de 50 familles pour un fichier Excel mal sécurisé. Mais elle peut le faire suite à la plainte d'un parent mécontent, surtout si le problème concerne des photos d'enfants. La conformité est aussi un gage de sérieux face à la mairie et à l'école.
Passer à la vitesse supérieure ?
Protégez les données de vos familles avec Kermesseo : hébergement français, accès par rôle, données chiffrées. Conforme RGPD par design.
Sans engagement • Pas de carte bancaire requise
FAQ
Faut-il désigner un DPO (Délégué à la Protection des Données) ? Non. Le DPO n'est obligatoire que pour les organismes publics et les entreprises dont l'activité principale implique un traitement de données à grande échelle. Une APE n'entre dans aucune de ces catégories. En revanche, désigner un « référent données » au sein du bureau est une bonne pratique gratuite.
Peut-on utiliser WhatsApp pour communiquer avec les parents ? Techniquement oui, mais ce n'est pas idéal du point de vue RGPD. WhatsApp appartient à Meta, les données sont traitées aux États-Unis, et vous n'avez aucun contrôle sur ce que Meta fait des métadonnées. Pour les communications courantes, ça peut passer. Pour les données sensibles (santé, financières), privilégiez un outil européen.
Combien de temps peut-on conserver les données des anciens adhérents ? La règle générale est : durée de l'adhésion + 1 an pour les données courantes, 5 ans pour les données financières (obligation comptable). Au-delà, les données doivent être supprimées ou anonymisées. Faites un nettoyage annuel lors de la passation de bureau.
Le fichier des parents est-il transférable au nouveau bureau ? Oui, le fichier des adhérents appartient à l'association (pas au président sortant). Il doit être transmis au nouveau bureau lors de la passation. En revanche, le bureau sortant doit supprimer toutes les copies personnelles (sur son téléphone, son ordinateur, son Drive personnel).
📚 À lire aussi : Réussir la passation de bureau | Digitaliser son association de parents d'élèves
Conclusion
Le RGPD n'est pas un monstre bureaucratique quand on gère une APE. Les obligations se résument à 5 actions concrètes : tenir un registre (30 minutes), informer les parents (une mention sur le bulletin d'adhésion), recueillir le consentement pour les photos (un formulaire annuel), sécuriser les accès (des mots de passe solides), et nettoyer les données périmées (une fois par an). Le plus grand risque n'est pas l'amende — c'est la perte de confiance des familles.