Toutes les entreprises d’événementiel sont concernés par le RGPD dans la mesure où ils sont personnellement responsables du traitement de données.
Vos sous-traitants doivent eux aussi respecter cette réglementation et leurs contrats doivent inclure les clauses requises par le RGPD.
En tant qu’organisateur d’événement, plusieurs réflexions doivent être mises en place pour se conformer aux directives RGPD :
Formulaires
Si vous collectez des données par l’intermédiaire de votre site internet via un formulaire d’inscription à votre newsletter, veillez à demander l’accord de l’abonné en expliquant de façon claire et explicite la finalité de cette collecte.
Cookies
En ce qui concerne la collecte des données marketing, si vous utilisez des cookies sur votre site, veillez à bien préciser la bannière prévue à cet effet, votre utilisation et le bénéfice pour les utilisateurs.
De même, il est essentiel de pouvoir tout aussi facilement refuser comme accepter les cookies ou encore changer d’avis.
Cela devrait déjà être mis en place mais soyez en sûr pour éviter quelconques problèmes, car c’est le moyen le plus simple de voir de l’extérieur que vous n’êtes pas conforme à la réglementation.
Date
Pour chaque nouveau contact de votre liste de diffusion vous allez devoir préciser la date à laquelle vous avez récupéré l’information ainsi que l’origine de cette dernière. Après 13 mois vous devrez aussi renouveler le consentement de vos utilisateurs.
Enfin, si un contact est inactif depuis plus de 3 ans vous devrez vous devrez supprimer les informations qui les concernent.
Mobilité
Par ailleurs, vous devrez faciliter l’export des données de vos contacts, dans le cadre du RGPD vous devez pouvoir migrer les données des utilisateurs vers des tiers.
Droit à l’oubli et à la rectification.
Les utilisateurs ont désormais le droit de vous demander les informations que vous avez stockées à leur sujet.
Cet utilisateur a donc le droit de vous demander de supprimer ou de rectifier ses données conformément au droit de suppression ou de rectification.
Mentions légales
Vous serez tenu de préciser dans vos mentions légales la nature des données collectées et la finalité pour laquelle elles ont été collectées.
Transparence de l’informations
Le RGPD entend apporter de la transparence envers toutes les informations qui sont collectées par les entreprises.
En conséquence, le profilage est clairement à la portée des nouvelles réglementations et menace d’affecter directement le marketing des entreprises.
Certaines formes de profilage devront être faites directement et clairement avec l’utilisateur.
Exceptions dans le cadre légal
En effet, seulement certaines formes car le RGPD prévoit 5 bases réglementaires pour lesquelles le traitement reste légal, même sans consentement :
- Lorsque le traitement résulte d’une obligation légale ;
- Lorsque le traitement est nécessaire pour protéger les intérêts vitaux de la personne ;
- Les cas où le traitement est nécessaire à la bonne exécution du contrat par la personne ;
- Lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.
Quelles sont les données qui sont concernées ?
- Téléphone professionnel
- Poste
- Adresse postale de l’entreprise
- Données GPS et Adresse IP
- Numéro d’identification, identifiant
- Éléments correspondant à l’identité physique, spirituelle, génétique ou économique
Toutes ces données sont désormais reconnues comme des données personnelles. Elles sont donc soumises au RGPD.
Vous ne pourrez plus récupérer, par exemple, une adresse e-mail à partir d’un site Web tiers ou de toute autre manière qui n’est pas celle de l’utilisateur.
La solution ?
La solution jusqu’à présent reste la pseudonymisation des données, une clé qui protègera les données de vos internautes efficacement.
Par exemple, un document crypté ne sera pas lisible et permettra l’anonymisation des données de vos clients/prospects/employés.
Malgré le fait que cette mesure ne soit pas obligatoire elle est nettement encouragée et semble encore aujourd’hui être le meilleur dispositif.
Mais alors les entreprises d’évènementiels dans tout ça ?
Vous devez surement être en train d’organiser des événements pour l’année 2022/23 , si vous avez des invités provenant de l’Union Européenne, vous devez vous assurer que les process que vous avez pu mettre en place sont en accord avec les éléments vus précédemment.
Vous devez aussi constituer tous les documents justifiant votre conformité (registre de traitement, PIA, Contrat RT-ST etc.)
N’oubliez pas que nous sommes dans la mesure de vous faire ces documents très rapidement.
Mais tout d’abord :
- Trouvez quelles données vous traitez à propos de vos invités issus de l’Union Européenne, vous comprendrez de cette manière quelles sont vos flux de données personnelles que vous allez devoir protéger.
- Vous allez devoir enquêter sur la manière dont les données sont transférées d’un système/serveur à un autre, de quelle manière votre éditeur assure la sécurité des données collectées.
- Dans le cas où vous stockez des données sur une plateforme cloud basée aux USA vous devez être sûr de mettre en place un système de contrôle et demander l’ajout de nouvelles mentions sur le contrat.
- Implémenter ces changements va demander beaucoup de temps et d’effort. Prenez le temps de sensibiliser les membres de votre entreprise à l’importance de cette régulation sur votre travail et ainsi obtenir du renfort.
Quel est l’impact sur le monde des événements ?
Par conséquent, ce nouveau règlement apportera plus de relations dans le monde de l’événementiel.
En effet, le consentement désormais devenu obligatoire, il sera nécessaire de créer une relation de confiance afin d’obtenir le consentement de vos prospects et clients.
Pour l’instant, les grandes entreprises devraient être plus préoccupées par le fait qu’elles ont collecté plus de données à long terme. Mais les sanctions accordées par la CNIL ne dépendent pas de la taille ou encore du secteur : elles sont aléatoires et ont pour objectif de toucher un maximum d’entreprises pour que tout le monde se sente concerné aussi bien vous, qu’un cabinet d’orthophonie ou encore un ministère.
Le RGPD contraindra certainement des entreprises d’acheter et de traiter avec d’autres.
Le secteur de l’événementiel va devoir repenser sa façon de percevoir ses données collectées et traitées comme s’il s’agissait de vrais individus.
Les relations et la confiance joueront un rôle plus important dans les événements.
C’est le moment pour les professionnels de l’événementiel de prendre le contrôle de leurs systèmes de gestion des données, de protéger et permettre aux utilisateurs d’être ciblés avec transparence et consentement.
Plus important encore, les professionnels de l’événementiel n’auront pas à collecter des données qu’ils n’utilisent pas ou non nécessaires à l’exercice de leur activité.
Les questions essentielles à poser à votre éditeur / fournisseur / agence :
- Vos services/logiciels sont-ils conformes à la réglementation sur la protection des données personnelles ?
- Quelles données personnelles collectez-vous ?
- Comment utilisez-vous ces données ?
- Où sont stockées les données utilisateur ?
- Les données personnelles sont-elles protégées et cryptées ?
- Le contrat ou les conditions générales de vente engagent-ils le fournisseur/éditeur à respecter les dispositions de protection des personnes ?
- Les listes envoyées à vos fournisseurs sont-elles bien protégées par une méthode de cryptage ?
- Quels sont le ou les représentants en charge du RGPD ?
Nous espérons que cet article aura pû vous éclairer dans la visualisation des éléments de conformité RGPD qu’il vous reste à mettre en place.
Si vous souhaitez de l’aide dans l’exercice d’un projet de mise en conformité, l’équipe Unitae se fera un plaisir de répondre à vos questions par téléphone.