Réglementation ACM

RGPD en accueil collectif de mineurs : conformité 2026

Par Aurélien Darche, Avocat au barreau de Paris, CEO cabinet-avocats DIG 13 min de lecture Mis à jour le 23/05/2026
RGPD ACM : conformité données enfants et parents en accueil collectif

Photo : Pexels, licence gratuite (usage commercial)

Fiches sanitaires détaillant les allergies des enfants, photos de séjour partagées avec les parents, base de données d'inscription : un ACM traite massivement des données personnelles, dont beaucoup relèvent de la catégorie « sensibles ». Le RGPD impose des obligations précises. Voici le guide pour être conforme, rédigé avec Clémence Vasseur-Montaigne, avocate associée spécialiste droit numérique.

Le règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, et la loi française du 6 janvier 1978 modifiée encadrent strictement le traitement des données personnelles. Pour un ACM, les données traitées sont nombreuses : identité des enfants et des parents, données médicales (PAI, allergies, vaccinations), photos et vidéos, données de paiement, communications. Beaucoup relèvent des « catégories particulières » de l'article 9 du RGPD, qui impose des protections renforcées. Cet article fait le tour des obligations applicables aux ACM en 2026.

Cadre juridique applicable

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du 20 juin 2018
  • Lignes directrices de la CNIL sur le secteur éducatif et de la jeunesse
  • Pour les collectivités : code général des collectivités territoriales, principes de transparence administrative
SourceTexte intégral du RGPD : EUR-Lex règlement 2016/679. Loi informatique et libertés modifiée : Légifrance loi du 6 janvier 1978.

Qui est responsable de traitement

Au sens du RGPD, le responsable de traitement est la personne morale qui détermine les finalités et les moyens du traitement. Pour un ACM, c'est l'organisateur :

  • La commune pour un ALSH municipal
  • L'association loi 1901 pour un séjour associatif
  • La société organisatrice pour une colonie privée

Le directeur d'ACM n'est pas responsable de traitement à titre personnel, mais il est l'opérationnel qui met en œuvre les obligations. Sa responsabilité personnelle peut être engagée en cas de faute caractérisée (violation délibérée).

Les six bases légales du traitement

L'article 6 du RGPD énumère six bases légales possibles pour traiter une donnée. Pour un ACM, les principales sont :

Base légaleQuand l'utiliser en ACM
Consentement (art. 6.1.a)Photos, communications marketing, newsletter parents
Exécution d'un contrat (art. 6.1.b)Inscription, facturation, gestion du séjour
Obligation légale (art. 6.1.c)Déclaration TAM, fiches sanitaires, conservation des registres
Sauvegarde des intérêts vitaux (art. 6.1.d)Communication d'urgence vers le SAMU, allergies graves
Mission d'intérêt public (art. 6.1.e)ALSH municipal dans le cadre du service public

Le consentement n'est pas une base universelle. Pour la fiche sanitaire d'inscription, la base est l'exécution du contrat d'inscription. Pour les photos diffusées sur les réseaux sociaux, c'est le consentement. Confondre les deux est une faute fréquente.

Les données sensibles : article 9 RGPD

Certaines données bénéficient d'une protection renforcée. L'article 9 du RGPD interdit en principe leur traitement, sauf exception. Sont concernées en ACM :

  • Données de santé : allergies, PAI, vaccinations, traitements médicaux
  • Origine ethnique ou raciale : ne doit pas figurer dans une fiche d'inscription
  • Convictions religieuses : régime alimentaire confessionnel relève de cette catégorie
  • Opinions politiques : non pertinentes en ACM

Le traitement des données de santé pour un ACM est légitime sur la base de l'article 9.2.h du RGPD (médecine préventive ou du travail) et de la finalité de protection de la santé des mineurs accueillis. Les régimes alimentaires confessionnels relèvent de l'article 9.2.a (consentement explicite) : indiquer-les sur la fiche sanitaire suppose le consentement explicite des parents.

À retenirLa fiche sanitaire d'inscription contient des données sensibles. Elle doit être archivée dans des conditions de confidentialité renforcée, accessible uniquement aux personnes qui en ont besoin (directeur, animateurs en charge du groupe). Pas d'affichage public, pas de circulation par email non sécurisé.

Photos d'enfants et droit à l'image

La photographie d'un enfant en ACM cumule deux obligations :

  1. Le droit à l'image (article 9 du code civil) qui exige le consentement
  2. Le RGPD qui impose une base légale et une information claire

Pour un enfant mineur, le consentement est donné par les deux titulaires de l'autorité parentale. Pour les usages :

UsageConsentement requisBase RGPD
Photos individuelles internes (livret de séjour parent unique)Oui, par les parentsConsentement (art. 6.1.a)
Photos collectives diffusées en interneInformation requise, consentement implicite ou explicite selon contexteInformation art. 13 RGPD + consentement
Photos sur site web public, plaquette, réseaux sociauxConsentement explicite, écrit, distinct par enfantConsentement art. 6.1.a + droit à l'image
Photos pour la presseConsentement explicite, formaliséConsentement art. 6.1.a + droit à l'image renforcé

Vous gérez un ACM ? MonEspaceACM, édité par Digital Invest Group (même groupe que Mon Centre de Loisirs), centralise la déclaration TAM, le suivi des taux d'encadrement, les fiches sanitaires, la communication parents et le conventionnement VACAF.

Découvrir MonEspaceACM

Durée de conservation des données

Le principe RGPD est la conservation pendant le temps strictement nécessaire à la finalité. Pour un ACM, voici les durées de conservation usuelles, alignées sur la doctrine CNIL et les obligations légales :

DonnéeDurée de conservation
Données d'inscription (identité, coordonnées parents)3 ans à compter du dernier accueil
Fiche sanitaire de liaison5 ans (alignement registre ACM)
Photos avec consentement expliciteTant que le consentement n'est pas retiré, max 5 ans par défaut
Photos sans consentement explicitePas de conservation diffusable
Données comptables (factures, paiements)10 ans (obligation comptable)
Données salariés (CEE, contrats)5 ans après la fin du contrat

Le registre des traitements

L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre interne des activités de traitement. Pour un ACM, le registre doit décrire :

  • Nom du traitement (inscription, fiche sanitaire, communication parents, photos, etc.)
  • Finalité du traitement
  • Catégories de personnes concernées (mineurs, parents, animateurs)
  • Catégories de données (identité, santé, image, paiement)
  • Destinataires (équipe d'animation, partenaires, prestataires, sous-traitants)
  • Durée de conservation
  • Mesures de sécurité (chiffrement, accès restreint, sauvegarde)

Le registre n'est pas envoyé à la CNIL spontanément. Il doit être disponible et présentable en cas de contrôle CNIL.

Les droits des personnes concernées

Les parents et les enfants disposent des droits suivants, à informer dans le formulaire d'inscription :

  • Droit d'accès à leurs données
  • Droit de rectification
  • Droit à l'effacement (« droit à l'oubli ») dans les limites des obligations légales de conservation
  • Droit à la limitation du traitement
  • Droit à la portabilité (transfert vers un autre organisateur)
  • Droit d'opposition pour certains usages (marketing, photos diffusables)
  • Droit de retirer leur consentement à tout moment pour les traitements fondés sur le consentement

Le responsable de traitement doit répondre aux demandes dans un délai d'un mois maximum, prolongeable de deux mois en cas de complexité.

Sous-traitance et prestataires

Si vous utilisez un logiciel ACM, une plateforme de paiement, un service de communication parents, un hébergeur de photos : ce sont des sous-traitants au sens du RGPD. Vous devez :

  • Signer une convention de sous-traitance (article 28 RGPD)
  • Vérifier que le sous-traitant offre des garanties suffisantes (certification ISO 27001, hébergement en UE, etc.)
  • Tenir à jour la liste des sous-traitants dans votre registre

Un sous-traitant qui héberge ses serveurs hors UE doit fournir des garanties spécifiques (clauses contractuelles types, certification adéquation, etc.).

En cas de violation de données

L'article 33 du RGPD impose la notification à la CNIL dans les 72 heures en cas de violation susceptible d'engendrer un risque pour les droits des personnes. Pour un ACM, les cas typiques :

  • Vol ou perte d'un ordinateur contenant des fiches sanitaires
  • Envoi de données à un mauvais destinataire (email)
  • Compromission d'un compte du logiciel ACM
  • Publication accidentelle d'une photo non consentie

La notification doit décrire la nature de la violation, les catégories et le nombre de personnes affectées, les mesures prises ou envisagées. Pour les violations les plus graves, les personnes concernées doivent être informées individuellement.

Sanctions CNIL

La CNIL peut prononcer des sanctions financières graduées :

  • Avertissement (gratuit, public ou non)
  • Mise en demeure
  • Sanction financière : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (pour les violations les plus graves)

Pour un ACM, les sanctions effectives observées sur les dernières années sont plus modestes (1 000 à 50 000 euros), mais en hausse constante.

Conclusion

Le RGPD n'est pas une couche de complexité gratuite : il protège les enfants, les parents, et les organisateurs eux-mêmes contre des risques juridiques de plus en plus suivis. Un ACM qui maîtrise son registre des traitements, qui formalise ses consentements, qui sécurise ses sous-traitants et qui forme son équipe est protégé. Un ACM qui improvise s'expose à un contentieux CNIL coûteux et à une perte de confiance des familles.

Questions fréquentes

Qui est responsable de traitement pour un ALSH communal ?

La commune en tant que personne morale. Le directeur d'ALSH est l'opérationnel chargé de mettre en œuvre les obligations, mais la responsabilité de traitement RGPD pèse sur la commune.

Faut-il un consentement explicite pour photographier un enfant en colo ?

Pour les photos internes diffusées uniquement aux parents (livret de séjour), une information claire et un consentement implicite peuvent suffire. Pour toute diffusion publique (site web, plaquette, réseaux sociaux, presse), un consentement explicite et écrit est obligatoire.

Combien de temps peut-on conserver une fiche sanitaire de liaison ?

5 ans à compter du dernier accueil. Cette durée s'aligne sur la conservation des registres ACM et permet le traitement d'éventuels litiges (allergie non déclarée, etc.).

Une fiche d'inscription doit-elle inclure une mention RGPD ?

Oui, conformément à l'article 13 du RGPD. La mention doit indiquer : identité du responsable de traitement, finalités, base légale, destinataires, durée de conservation, droits des personnes, coordonnées du DPO le cas échéant, droit de réclamation auprès de la CNIL.

Une association sportive de 50 adhérents doit-elle nommer un DPO ?

Non, la désignation d'un DPO (délégué à la protection des données) n'est obligatoire que pour les autorités publiques, les organismes traitant à grande échelle des catégories particulières de données ou faisant un suivi régulier et systématique. Pour une petite association, la désignation est facultative mais recommandée.

Peut-on envoyer la liste des enfants par email à tous les animateurs ?

L'envoi par email standard sans chiffrement est déconseillé pour les listes contenant des données sensibles (allergies). Privilégiez un partage sécurisé via le logiciel ACM, ou un fichier protégé par mot de passe transmis séparément.

Un parent peut-il demander la suppression des photos de son enfant ?

Oui, à tout moment. Le droit à l'effacement (article 17 RGPD) s'applique aux photos. L'organisateur doit retirer les photos des supports diffusés (réseaux sociaux, site web), conserver une trace de la demande, et confirmer le retrait au demandeur.

Que faire en cas de vol d'un ordinateur contenant des fiches sanitaires ?

Notification CNIL sous 72 heures (article 33 RGPD), dépôt de plainte au commissariat, information des familles concernées si le risque est élevé, audit des mesures de sécurité, mise à jour du registre des traitements avec l'incident.

Doit-on conserver une trace écrite des consentements photos ?

Oui. Le RGPD impose la démontrabilité du consentement (article 7.1). Conservez les formulaires signés ou les confirmations électroniques pendant toute la durée du traitement plus 5 ans après le retrait du consentement.

Une commune doit-elle obligatoirement nommer un DPO ?

Oui. L'article 37 du RGPD impose la désignation d'un DPO pour toutes les autorités et organismes publics. Pour les petites communes, le DPO peut être mutualisé (intercommunalité, CDG, prestataire externe).

À propos de l'auteur

Aurélien Darche, Avocat au barreau de Paris, CEO cabinet-avocats DIG

Avocat au barreau de Paris, spécialisé droit de l'éducation et droit des associations. Expert reconnu des ACM, ancien conseil juridique d'une fédération nationale d'organisateurs.

Article vérifié par notre expert juridique Aurélien Darche. Dernière mise à jour : 23/05/2026.

Découvrez MonEspaceACM

Logiciel de gestion ACM édité par le groupe Digital Invest Group. Déclarations DDETSPP, taux d'encadrement, fiches sanitaires, communication parents, VACAF : tout intégré, conforme, sans saisie multiple.

Voir la page MonEspaceACM → Notre méthodologie de classement

À lire ensuite