RGPD et Événementiel : les 5 étapes à ne pas rater

L’acronyme RGPD est pour « Règlement Général sur la protection des Données ». 

Entré en vigueur le 25 mai 2018, il permet d’encadrer le traitement, l’utilisation et les diffusions des informations et données à caractère personnel dans l’Union Européenne. Le RGPD s’applique ainsi à tout organisme, quelle que soit sa taille et qu’il utilise des données personnelles pour son propre compte ou non. 

Le champ d’application du RGPD est donc vaste et l’événementiel en fait partie. De la gestion des droits des utilisateurs aux fameux cookies, la responsabilité de ces De ce fait, nous avons décidé de vous donner ici nos 5 étapes à ne pas rater pour réussir la mise en place et l’application du RGPD pour votre agence événementielle ou votre projet événementiel. 

Comprendre et respecter les normes RGPD en événementiel

Pour commencer, il faut savoir que le RGPD se fonde en cinq notions : consentement, confidentialité, sécurité, portabilité et accès

En effet, vous devez obtenir de la part des participants à vos événements leur consentement, leur autorisation d'exploitation de certaines informations, afin de pouvoir stocker et utiliser leurs données. Pour ce faire, le consentement passe par l’explication transparente de la manière dont leurs données personnelles seront utilisées.

Ensuite, la confidentialité doit être respectée. Les participants de vos événements doivent être ainsi dans la capacité vous demander à tout moment de supprimer leurs données et informations personnelles de votre base, de cesser de les partager. En termes de sécurité, le RGPD oblige ici l’organisateur d’événement - le responsable de projet événementiel - à signaler toute atteinte portée à la sécurité du partage de données dans un délai de 72 heures. 

La portabilité concerne le fait que les participants peuvent désirer que vous leur transfériez les données qui les concernent, dans un format qu’ils pourront ensuite eux-mêmes partager à un autre contrôleur de données. Et surtout, vous avez l’obligation de donner – sous un délai de 30 jours maximum – un accès à leurs données et de leur indiquer de quelle manières elles sont utilisées.

Cela étant dit, voici nos astuces pour vous assurer de bien suivre les principes relatifs à la RGPD en événementiel. – Et vous pouvez retrouver toutes nos mesures de sécurité.

Être transparent concernant le consentement des données personnelles

La première astuce est bien évidemment de bien respecter tous ces prérequis. Et cela passe d’abord par de la transparence au niveau du cadre de la collecte des données personnelles des participants.

À savoir qu’il y a plusieurs risques et sanctions encourues pour les entreprises qui ne respectent pas le RGPD.

Selon la CNIL, dans le cas d’infractions, de mauvaises applications ou d’un non-respect du RGPD, il y a “une amende qui correspond à 4% du chiffre d’affaires mondial s’agissant des grandes entreprises, ou 20 millions d’euros d’amende”.

De ce fait, il faut notamment être précis concernant l’opt-in

Dans la collecte de données, l’opt-in est un levier par lequel la personne décide volontairement de vous donner la permission de le contacter. 

Cependant, la formulation de l’opt-in ne doit pas influencer le client / participant dans ses réponses, dans son accord. La case d’approbation ne doit pas non plus être par défaut pré-cochée.

Sachez qu’une fois le premier accord obtenu, le participant inscrit, vous n’aurez plus à lui demander son consentement. Sauf si cela ne rentre plus dans la raison principale pour laquelle le participant a répondu de manière favorable. 

Quoi qu’il en soit, vous devez toujours laisser à vos clients, à vos participants, la possibilité de se désabonner de vos communications événementielles.

Gérer et contrôler toutes les données des invités au même endroit

Afin de bien gérer et de contrôler le cadre des données de vos invités, nous vous recommandons de centraliser, c’est-à-dire d’avoir toutes ces données personnelles au même endroit.

En fait, en tant qu’agence événementielle, chef de projet, vous avez sûrement mis en place des automatisations pour gérer et partager toutes les données événementielles récoltées… Cependant - attention - vous ne pouvez pas partager de manière automatique vos listes, et les coordonnées de vos participants à un événement ! Il faut être très vigilant à ce sujet. Vous ne pouvez le faire que si ces participants ont accepté de partager leurs données personnelles. 

Pour respecter le RGPD en événementiel, vous devez obtenir le consentement (ou opt-in) du participant sur chaque canal de communication utilisé.

Avoir un(e) Data Protection Officer 

Une autre astuce à ne pas rater est d’avoir au sein de votre structure événementielle un(e) Data Protection Officer - DPO. C’est-à-dire un responsable de la protection des données personnelles de vos clients, de vos participants. 

Ce responsable aura la charge de superviser et de valider toutes les étapes, actions de collecte et d’utilisation des données.

Sachez qu’avoir un DPO est uniquement obligatoire pour les institutions publiques et les organismes qui utilisent fréquemment des données personnelles, confidentielles, et ce pour une vaste audience.

De plus, son travail ne concernera que les données pour les résidents de l’Union Européenne.

Optimiser ses données déjà existantes

Enfin, notre cinquième astuce est d’optimiser les données déjà existantes. De continuer d’utiliser ses bases de données en stock. Cependant, afin de continuer à les conserver et à les utiliser tout en respectant le RGPD, il faut pouvoir répondre de la finalité de cette base de données (à quoi sert-elle) ou encore de la date précise du recueil du consentement du participant et de son autorisation claire.

Conclusion

Grâce à cette to-do RGPD et d’événementielle, vous saurez désormais comment réussir la mise en place et respecter ce règlement en matière de données personnelles pour vos propres événements. N'oubliez pas que les règlements et les lois appliquées par la CNIL sont souvent mis à jour et qu'il faut vérifier que les informations dispensées par la CNIL sont en accord avec vos pratiques et votre politique de confidentialité.