Cloud pour associations et écoles : quand la conformité n'est pas optionnelle
Une association de quartier qui gère les inscriptions de 200 adhérents et une école primaire qui stocke les photos de la sortie scolaire ont un point commun inattendu : elles manipulent des données personnelles soumises au RGPD, et dans le cas des mineurs, à des obligations renforcées que la plupart des structures ignorent joyeusement. Si vous regardez les usages spécifiques du cloud par profil, le cas école-association est celui où le choix technique a des conséquences juridiques réelles – pas théoriques. La CNIL a rappelé en 2022 que les associations sont responsables de traitement au même titre que les entreprises, et qu’un tableur Excel avec les noms, prénoms et allergies alimentaires des enfants envoyé via Google Drive est techniquement un transfert de données personnelles de mineurs vers les États-Unis.
Le problème n’est pas que Google Drive fonctionne mal. Le problème, c’est que les données d’un enfant de huit ans stockées sur un serveur soumis au Cloud Act américain ne sont pas dans la même situation juridique que les mêmes données sur un serveur suisse. Et le jour où un parent d’élève un peu informé pose la question au conseil d’administration, il vaut mieux avoir une réponse qui ne commence pas par “euh”.
Ce que le RGPD exige concrètement pour les mineurs
Le RGPD, article 8 impose le consentement parental pour le traitement de données de mineurs de moins de 16 ans (15 ans en France). Mais au-delà du consentement, trois principes s’appliquent particulièrement aux écoles et associations :
La minimisation des données : ne stocker que ce qui est strictement nécessaire. L’adresse du domicile de l’enfant est nécessaire pour l’inscription ; la photo de groupe de la kermesse ne l’est peut-être pas (surtout si elle finit sur le cloud sans accord explicite). La limitation de conservation : les données doivent être supprimées quand elles ne sont plus nécessaires. Le fichier des inscriptions de 2019 qui traîne encore dans un dossier partagé, c’est une infraction. Le droit à l’effacement renforcé : pour les mineurs, le droit à l’oubli est absolu – un parent peut exiger la suppression complète de toutes les données de son enfant, y compris les sauvegardes.
kDrive, hébergé en Suisse, offre un cadre juridique plus prévisible que les clouds américains pour ces obligations. La Suisse bénéficie d’une décision d’adéquation de la Commission européenne, ce qui signifie que le transfert de données vers la Suisse est considéré comme équivalent à un transfert intra-UE. Pas besoin de clauses contractuelles types, pas besoin d’analyse d’impact sur le transfert – les données sont juridiquement “en sécurité”.
Quand l’association ressemble à une TPE
Beaucoup d’associations ont les mêmes besoins qu’une TPE de cinq personnes : un espace partagé, des permissions basiques (le trésorier voit les comptes, le secrétaire voit les PV, le président voit tout), et un budget limité. Le cloud pour TPE et PME couvre la dimension organisationnelle – gestion d’équipe, permissions, coût par utilisateur. La différence est que l’association a souvent un turnover plus élevé (bénévoles qui changent chaque année) et des compétences techniques plus hétérogènes (le trésorier de 68 ans et la secrétaire de 25 ans n’ont pas le même rapport à l’informatique).
kDrive Team à 5,54 euros par utilisateur et par mois peut être trop cher pour une association de bénévoles. Infomaniak propose des tarifs réduits pour les organisations non lucratives – il faut contacter le support pour en bénéficier, ce n’est pas sur la page tarifs publique. Alternativement, un plan Solo avec des liens de partage peut suffire si l’association n’a besoin que d’un référent numérique qui centralise les documents et partage avec les autres membres.
La question de l’archivage des documents statutaires
Une association loi 1901 doit conserver ses statuts, PV d’assemblée générale et documents comptables pendant des durées légales (5 ans pour la comptabilité, durée de vie de l’association pour les statuts). La question n’est pas seulement “où stocker” mais “comment garantir que le document sera encore accessible et intact dans cinq ans”. L’archivage légal de documents en ligne détaille les exigences d’intégrité et d’horodatage – parce qu’un PDF dans un dossier cloud n’est pas un archivage légal, c’est juste un fichier quelque part.
Pour l’école ou l’association qui veut mettre ses données à l’abri juridiquement : commencez par inventorier les données personnelles que vous stockez (c’est une obligation RGPD de toute façon), vérifiez où elles sont hébergées actuellement, et migrez ce qui contient des données de mineurs vers un cloud européen ou suisse. Ce n’est pas du militantisme numérique – c’est de la conformité réglementaire, et la différence entre les deux c’est que la conformité réglementaire a des amendes.