Organiser des événements conformes au RGPD

Le RGPD (“règlement général sur la protection des données”) est un texte réglementaire européen, entré en application le 25 mai 2018, qui encadre les règles de protection des données personnelles sur tout le territoire de l’Union Européenne.

Tous les organisateurs d’événements sont concernés par le RGPD dans la mesure où ils sont responsables de traitements de données personnelles (sont considérées comme données personnelles toutes informations permettant d'identifier une personne, comme son nom, son adresse, sa date de naissance…). Les sous-traitants de l’organisateur doivent également respecter les règles du RGPD et leur contrat doit reprendre les clauses obligatoires imposées par le RGPD.

En tant qu’organisateur d’événements, plusieurs réflexes doivent être adoptés pour être en conformité avec les directives RGPD :

L’utilisation et le traitement des données personnelles doivent s’inscrire dans un but précis. En amont de votre événement, vous pouvez définir l’objectif de la collecte de données selon le principe de finalité de la CNIL. En vertu du principe de minimisation de la collecte, vous devez limiter la collecte aux seules données strictement nécessaires à la réalisation de votre événement. Par exemple, poser une question sur la sécurité sociale ou la religion d’un participant lors d’un formulaire d’inscription à un événement serait difficile à justifier. Les données non nécessaires relèvent d’une certaine confidentialité et devront faire l’objet d’un consentement clair et explicite.

Un organisateur qui collecte des données via son outil de billetterie doit fournir aux participants une information concise, compréhensible et accessible du traitement associé à leurs données. En effet, vos participants sont en droit d’être informés de l’utilisation qui sera faite de leurs données.

En pratique :

Les données récoltées ne peuvent pas être conservées indéfiniment. La CNIL considère que la durée de conservation des données ne doit pas excéder trois ans. L’organisateur et ses sous-traitants sont donc tenus de supprimer de leur base les participants inscrits depuis trois ans. Les données doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales.

L’organisateur est astreint à une obligation de sécurité : il doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et éviter leur divulgation à des tiers. L’organisateur est tenu de vérifier que chaque contrat signé avec ses sous-traitants reprend les mentions obligatoires visées par le RGPD. En cas de non-respect du RGPD par un de vos sous-traitants, vous pourrez être tenu responsable de tout manquement à leur égard. Il est recommandé de nommer un DPO (Data Protection Officer) pour superviser la sécurité des données (obligatoire à partir de 250 salariés).

Les règles de RGPD ne sont pas figées. Pensez à vérifier que les mesures n’ont pas évolué grâce à une veille sur le site du CNIL, et que les mesures de sécurité sont bien respectées, à tous les niveaux.

Le choix de la plateforme événementielle est essentiel pour permettre la bonne application des directives RGPD. Eventmaker place au cœur de son produit tous les outils pour permettre aux organisateurs d’assurer la conformité des données, selon le principe de Privacy by Design. Ce principe de Privacy by Design implique de protéger les données personnelles dès la conception de projets.

Au-delà du RGPD, Eventmaker a pour objectif la sécurité de l’information dans sa globalité et a pour perspective la certification de la norme ISO/CEI 27001.