La CNPD a publié un guide pour les associations.

Ce guide s’adresse principalement aux associations dont l’activité se limite à effectuer des traitements de données habituels et nécessaires à la gestion d’une association dite « classique » ou « traditionnelle ».

Ainsi, ces associations doivent notamment :

• Tenir un registre des activités de traitement ;
• Respecter la légitimité de chaque traitement de données à caractère personnel qui doit être basé sur un des six critères de légitimité prévus par le RGPD (à savoir : le consentement, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d’intérêt public ou encore l’intérêt légitime) ;
• Respecter l’information et les droits des personnes concernées ;
• Désigner un DPO ;
• Rédiger des contrats avec les sous-traitants ;

Respecter certaines règles spécifiques, comme l’analyse d’impact, la notification des violations de données, respecter les règles spécifiques en cas de transfert vers des pays tiers, mettre en place des mesures techniques et organisationnelles et mettre en œuvre les principes de protection des données dès la conception et par défaut.