Organiser des événements conformes au RGPD

Le RGPD (“règlement général sur la protection des données”) est un texte réglementaire européen, entré en application le 25 mai 2018, qui encadre les règles de protection des données personnelles sur tout le territoire de l’Union Européenne.
En quoi les organisateurs d’événements sont-ils concernés par le RGPD ?
Tous les organisateurs d’événements sont concernés par le RGPD dans la mesure où ils sont responsables de traitements de données personnelles (sont considérées comme données personnelles toutes informations permettant d'identifier une personne, comme son nom, son adresse, sa date de naissance…). Les sous-traitants de l’organisateur doivent également respecter les règles du RGPD et leur contrat doit reprendre les clauses obligatoires imposées par le RGPD.

En tant qu’organisateur d’événements, plusieurs réflexes doivent être adoptés pour être en conformité avec les directives RGPD :


1 - Collectez uniquement les données nécessaires

L’utilisation et le traitement des données personnelles doivent s’inscrire dans un but précis. En amont de votre événement, vous pouvez définir l’objectif de la collecte de données selon le principe de finalité de la CNIL. En vertu du principe de minimisation de la collecte, vous devez limiter la collecte aux seules données strictement nécessaires à la réalisation de votre événement. Par exemple, poser une question sur la sécurité sociale ou la religion d’un participant lors d’un formulaire d’inscription à un événement serait difficile à justifier. Les données non nécessaires relèvent d’une certaine confidentialité et devront faire l’objet d’un consentement clair et explicite.
2 - Soyez transparents

Un organisateur qui collecte des données via son outil de billetterie doit fournir aux participants une information concise, compréhensible et accessible du traitement associé à leurs données. En effet, vos participants sont en droit d’être informés de l’utilisation qui sera faite de leurs données.
En pratique :

  • Repensez vos formulaires d’inscription en précisant pour chaque typologie de données la finalité associée (vous pouvez par exemple préciser que les informations liées à l’entreprise du participant seront utilisées pour le networking).
  • Obtenez le consentement explicite de votre audience (mettre en place des cookies de personnalisation et d’authentification, poser les questions clairement, ne pas avoir de case pré-cochée pour le consentement dans vos formulaires d’inscription…).
  • Si vous avez prévu de transférer les données de vos participants à des tiers, vous devez en informer vos participants via une mention apposée dans le formulaire d’inscription.
  • Informez vos participants de leurs droits d’accès, de rectification et de suppression. Vous devez être en mesure de restituer un historique des données collectées des participants durant tout le cycle de l’événement et leur laisser la possibilité de supprimer leurs données à tout moment.
  • Si vous utilisez une plateforme événementielle, nous vous recommandons de l’indiquer sur votre site web ou votre billetterie pour prévenir vos participants du transfert de données.


3 - Fixez des durées de conservation

Les données récoltées ne peuvent pas être conservées indéfiniment. La CNIL considère que la durée de conservation des données ne doit pas excéder trois ans. L’organisateur et ses sous-traitants sont donc tenus de supprimer de leur base les participants inscrits depuis trois ans. Les données doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales.


4 - Sécurisez les données pour mieux gérer les risques

L’organisateur est astreint à une obligation de sécurité : il doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et éviter leur divulgation à des tiers. L’organisateur est tenu de vérifier que chaque contrat signé avec ses sous-traitants reprend les mentions obligatoires visées par le RGPD. En cas de non-respect du RGPD par un de vos sous-traitants, vous pourrez être tenu responsable de tout manquement à leur égard. Il est recommandé de nommer un DPO (Data Protection Officer) pour superviser la sécurité des données (obligatoire à partir de 250 salariés).


5 - Inscrivez la mise en conformité dans une démarche continue

Les règles de RGPD ne sont pas figées. Pensez à vérifier que les mesures n’ont pas évolué grâce à une veille sur le site du CNIL, et que les mesures de sécurité sont bien respectées, à tous les niveaux.

. . .

Sécurité des données : cap sur la certification pour Eventmaker

Le choix de la plateforme événementielle est essentiel pour permettre la bonne application des directives RGPD. Eventmaker place au cœur de son produit tous les outils pour permettre aux organisateurs d’assurer la conformité des données, selon le principe de Privacy by Design. Ce principe de Privacy by Design implique de protéger les données personnelles dès la conception de projets.

Au-delà du RGPD, Eventmaker a pour objectif la sécurité de l’information dans sa globalité et a pour perspective la certification de la norme ISO/CEI 27001.

Vous souhaitez organiser un événement conforme au RGPD ? Nous sommes à votre disposition pour échanger avec vous !

Découvrez les principales mesures RGPD d'Eventmaker en cliquant ici.

Vous avez des questions ?

Nous sommes là pour y répondre.