Retour au blog
Associations15 janvier 20269 min de lecture

Changement de bureau dans une association : comment transmettre les accès numériques

La nouvelle présidente vient d'être élue à l'assemblée générale. Le trésorier sortant remet les clés du local, les classeurs de comptabilité, les tampons. Et les accès numériques ? Le mot de passe du compte bancaire en ligne ? Celui du compte Instagram que tout le monde regarde ? L'identifiant de l'hébergeur du site web ? Dans la grande majorité des associations, personne n'y a pensé.

En bref

  • La loi 1901 oblige les associations à déclarer tout changement de bureau, mais ne précise rien sur la transmission des accès numériques — c'est à vous de l'organiser
  • En pratique, une association gère facilement une dizaine de comptes numériques (site web, réseaux sociaux, banque, email, outils...) — perdre l'accès à un seul peut prendre des semaines à régulariser
  • La bonne approche : faire l'inventaire des accès avant l'AG, les centraliser dans un outil partagé, et transmettre l'accès au coffre plutôt que les mots de passe un par un
  • Après chaque passation, changer les mots de passe des accès critiques (banque, messagerie principale) reste recommandé par cybermalveillance.gouv.fr

Pourquoi ce problème revient chaque année

La France compte plus de 1,5 million d'associations actives, dont la grande majorité fonctionne avec des bénévoles élus pour des mandats de un à quatre ans. L'assemblée générale annuelle est le moment habituel de renouvellement du bureau — et donc le moment où la question des accès numériques devrait systématiquement se poser.

Elle ne se pose pas. Ou trop tard.

Le scénario classique : le trésorier sortant a enregistré le mot de passe de la banque en ligne dans son propre navigateur Chrome. Il remet le classeur de comptes, serre des mains, repart chez lui. Deux semaines plus tard, la nouvelle trésorière essaie de se connecter pour régler une facture. Elle n'a pas le mot de passe. Elle appelle l'ancien. Lui non plus ne s'en souvient plus vraiment. Il faut appeler la banque, fournir les justificatifs du changement de bureau, attendre... Dans le meilleur des cas, ça prend une semaine. Dans le pire, un mois.

Le problème n'est pas rare. Il est structurel. Et il concerne tous les comptes numériques de l'association, pas seulement la banque.

Ce que dit la loi 1901 sur la transmission

Le changement de bureau doit être déclaré à la préfecture dans les trois mois suivant l'élection, via le formulaire Cerfa n°13972. La loi impose aux dirigeants sortants de restituer "sans délai tous les documents associatifs en leur possession". Les tribunaux ont déjà condamné des anciens responsables refusant de restituer des documents associatifs — y compris avec astreinte journalière. Les accès numériques font partie de ces documents associatifs au sens large. Mais la loi ne dit pas comment les transmettre ni comment les organiser. C'est à vous de définir la procédure.

L'inventaire des accès : par où commencer

Avant toute passation, il faut savoir ce que l'on transmet. La plupart des associations n'ont jamais fait cet inventaire. Commencez par ces catégories :

1Les accès financiers

  • Banque en ligne (identifiant + mot de passe + code de confirmation SMS — vérifier quel numéro de téléphone reçoit les SMS)
  • HelloAsso ou autre plateforme de collecte de dons et d'adhésions
  • PayPal ou autre solution de paiement en ligne si elle existe

2La communication

  • Adresse email officielle de l'association (contact@asso.fr, president@asso.fr)
  • Page Facebook / groupe Facebook de l'association
  • Compte Instagram, compte LinkedIn
  • Compte de messagerie de groupe (Gmail, Outlook) si utilisé pour les newsletter

3Le site web et l'hébergement

  • Hébergeur (OVH, o2switch, PlanetHoster...) — souvent lié à un email personnel du fondateur
  • Registrar du nom de domaine (peut être différent de l'hébergeur)
  • Interface d'administration du CMS (WordPress, Wix, Squarespace...)
  • Accès FTP ou cPanel si des prestataires ont travaillé sur le site

4Les outils du quotidien

  • Google Workspace ou Microsoft 365 si l'association en a un
  • Canva (compte équipe avec les visuels de l'asso)
  • Outil de gestion de projet ou de planning si utilisé (Trello, Notion, Basecamp)
  • Compte Zoom, Teams ou Google Meet si l'association en a un dédié
  • Logiciel de comptabilité en ligne si utilisé

5Les accès physiques liés au numérique

  • Mot de passe WiFi du local ou de la salle habituelle
  • Code d'accès à la box internet (pour la configurer si besoin)
  • Code PIN du téléphone fixe ou mobile de l'association s'il en existe un

Astuce : en faisant cet inventaire, vous allez probablement découvrir des comptes ouverts par d'anciens responsables et que personne ne gère plus. C'est le moment de les fermer ou de les reprendre proprement.

Le vrai problème : les comptes liés à une personne

Beaucoup de comptes associatifs ont été créés avec l'adresse email personnelle d'un fondateur ou d'un ancien président. C'est le cas le plus difficile à gérer lors d'un changement de bureau, parce que les accès de récupération (email de réinitialisation, SMS de double authentification) vont chez une personne qui n'est plus dans l'association.

Le cas typique de Facebook

La page Facebook de l'association a été créée depuis le profil personnel de l'ancienne présidente. Elle est donc la seule administratrice. Si elle quitte l'association sans transférer les droits d'administration à quelqu'un d'autre, la page est perdue. Elle peut continuer d'exister en ligne, mais personne ne peut plus y publier ni y répondre.

La solution dans ce cas précis : avant l'AG, le responsable sortant doit ajouter son successeur comme administrateur de la page. Ensuite seulement, il se retire. Dans cet ordre.

Le cas de l'hébergeur web

Si le nom de domaine a été enregistré avec l'email personnel d'un bénévole qui n'est plus là, le renouvellement annuel du domaine sera envoyé à cette adresse. Si personne ne voit l'email, le domaine expire. Le site disparaît. Récupérer un domaine expiré coûte souvent plusieurs centaines d'euros.

La règle à appliquer dès maintenant : tous les comptes critiques doivent être liés à une adresse email de l'association (contact@votre-asso.fr), pas à l'adresse personnelle d'un bénévole. C'est le point n°1 des bonnes pratiques recommandées par France Num pour les associations.

Comment organiser la transmission en pratique

La méthode qui fonctionne : centraliser les accès dans un coffre partagé avant l'AG, puis transmettre l'accès au coffre lors de la passation. Vous transmettez un seul accès au lieu d'une dizaine.

1

Avant l'AG : faire l'inventaire et centraliser

Idéalement deux à trois semaines avant l'assemblée générale, le bureau sortant fait l'inventaire de tous les accès (voir la checklist ci-dessus). Chaque accès est rentré dans un coffre partagé avec identifiant, mot de passe, et une note si nécessaire (ex. : "le SMS de confirmation va sur le 06XX — numéro de l'asso, carte SIM dans le tiroir du bas").

Si votre association n'a pas encore de coffre partagé, c'est le moment d'en créer un. Des outils comme Coffre.pro sont gratuits et permettent d'inviter plusieurs membres.

2

Pendant ou juste après l'AG : inviter le nouveau bureau

Une fois le bureau élu, invitez les nouveaux responsables dans le coffre. Ils reçoivent un email, créent un compte, et accèdent immédiatement à l'ensemble des mots de passe de l'association.

Pas de copier-coller laborieux par SMS. Pas d'email avec les mots de passe en clair. Pas de carnet qui peut se perdre.

3

Dans la semaine suivant l'AG : changer les mots de passe critiques

L' ANSSI recommande de changer les mots de passe des accès sensibles dès qu'une personne ayant eu accès quitte une organisation. Pour une association, les accès prioritaires à renouveler sont :

  • La banque en ligne
  • L'adresse email principale de l'association
  • L'hébergeur web si un ancien responsable avait un accès complet

Les mots de passe des réseaux sociaux et outils de communication peuvent être changés dans un second temps selon le contexte.

4

Retirer les anciens membres du coffre

Une fois les nouveaux mots de passe en place, retirez les anciens responsables du coffre. Dans un outil comme Coffre.pro, c'est un clic. Ils n'ont plus accès à rien, même si techniquement ils connaissaient certains anciens mots de passe (d'où l'importance de les avoir changés avant).

Ce qu'il ne faut surtout pas faire

Quelques pratiques à éviter absolument, même si elles semblent pratiques sur le moment :

Envoyer les mots de passe par email ou par SMS

Un mot de passe dans un email, c'est un mot de passe en clair dans une boîte de réception. Si le compte email est piraté un jour, tous les mots de passe envoyés par ce canal le sont aussi. Cybermalveillance.gouv.fr le rappelle explicitement : ne communiquez jamais un mot de passe par email.

Créer un compte partagé avec un mot de passe commun que "tout le monde connaît"

"Le mot de passe, c'est le nom de l'asso suivi de l'année." Cette pratique est courante et pose deux problèmes : d'abord, un mot de passe prévisible est un mot de passe faible. Ensuite, quand quelqu'un quitte l'association, il connaît toujours le mot de passe — et vous n'avez aucun moyen de savoir s'il continue à se connecter.

Ne faire la passation que le jour de l'AG

L'assemblée générale est souvent un moment chargé. Ce n'est pas le bon moment pour s'occuper des transferts de comptes numériques. La transmission des accès se prépare avant, dans les jours précédant l'AG, et se finalise dans les jours suivants.

Mettre en place une procédure durable

Le vrai objectif n'est pas de résoudre la crise de passation de cette année. C'est d'éviter qu'elle se reproduise. Voici les quelques règles à inscrire dans le règlement intérieur ou dans une procédure interne :

1

Tous les comptes de l'association sont créés avec une adresse email de l'association, pas avec l'adresse personnelle d'un bénévole.

2

Tout nouvel accès créé est ajouté dans le coffre partagé dans les 48 heures, avec une note si le compte a des particularités (numéro de téléphone lié, questions de sécurité, etc.).

3

La passation numérique est inscrite à l'ordre du jour de l'AG ou de la réunion de bureau suivante, avec un responsable désigné pour la coordonner.

4

Quand un bénévole quitte l'association, il est retiré du coffre partagé dans les 72 heures, et les mots de passe des accès qu'il utilisait régulièrement sont changés.

Sur le fond : la gestion des accès numériques d'une association n'est pas plus complexe que la gestion des clés du local. Il faut juste décider qui a les clés, les récupérer quand quelqu'un part, et ne pas les laisser traîner dans une poche dont on a perdu la trace.

Ce qu'il faut retenir

Un changement de bureau réussi, c'est un changement où le nouveau trésorier peut régler la première facture dès le lendemain de l'AG, et pas trois semaines plus tard après avoir passé des heures au téléphone avec la banque.

La transmission des accès numériques se prépare avant, se finalise juste après, et repose sur un inventaire centralisé dans un outil partagé. Pas sur la mémoire d'une personne, pas sur un email envoyé à la va-vite, pas sur un carnet griffonné qu'on retrouvera peut-être dans cinq ans au fond d'un tiroir.

Préparer la prochaine passation dès maintenant

Coffre.pro est gratuit, sans limite de membres ni de mots de passe. Créez le coffre de votre association en 2 minutes, invitez votre bureau, et la prochaine passation se fera en quelques clics.

Créer un compte gratuit

Lire aussi

Associations

Comment partager les mots de passe de votre association sans prise de tête

À propos

Pourquoi Coffre.pro est gratuit (et pourquoi ça ne changera pas)