La RGPD pour les organisateurs d'événements, un must !

Time to update the privacy policy?

Le 25 mai de cette année restera dans les anales comme le jour d'entrée en vigeur du Règlement Général sur la Protection des Données. Cet évènement marquera le plus grand changement dans la législation européenne sur la protection des données à ce jour. L'objectif de la RGPD est de garantir le droit de chaque individu à maîtriser et gérer ses propres informations personnelles et d'unifier la législation relative à la confidentialité des données qui varie beaucoup d'un pays membre à un autre.

Time to update the privacy policy?La RGPD est sur toutes les lèvres dernièrement, et la discussion devrait s'intensifier encore d'avantage au fur et à mesure que mai se rapproche. S'il y a du travail à faire sur la conformité au RGPD (et il y en a), c'est le moment de s'y mettre !

La RGPD met l'accent sur (entre autres) une transparence accrue dans la façon dont les entreprises gèrent les données personnelles. Cela affecte le marketing et la communication en particulier. La gestion des événements repose en grande partie sur la collecte d'informations personnelles. Les professionnels de l'événementiel doivent donc prêter attention aux exigences imposées par la réglementation sur la protection des données. Une liste d'invités forme un registre, ou un système de classement, et cela comporte certaines responsabilités.

Voici comment la RGPD va changer le travail des gestionnaires d'événements :

Vous êtes maintenant officiellement un "contrôleur de données"

La RGPD ne concerne pas uniquement votres service informatique : elle affecte tous les départements d'une entreprise ayant un rapport avec la gestion des données personnelles. Dans le rôle d'organisateur d'événements, vous êtes un contrôleur de données et le logiciel, l'outil ou le service que vous utilisez pour la gestion des données est un processeur de données. À partir du 25 mai, les points suivants sont de votre responsabilité en tant que contrôleur de données :

Consentement : Avez-vous la permission explicite de la personne concernée de stocker et de traiter ses données personnelles ?

Droit d'accès : Êtes-vous en mesure de récupérer et de présenter facilement et rapidement, les données personnelles complètes d'un individu lorsque celui-ci en fait la demande ?

Portabilité des données : Comment fournir à la personne concernée une copie de ses données dans un format permettant une utilisation facile par un autre contrôleur ?

Droit à l'oubli : Quelle est la procédure à suivre lorsqu'une personne concernée veut effacer toutes ses données de toutes vos bases de données ? Tout en gardant à l'esprit que cela inclut également les bases de données de vos partenaires.

Technologie : Vous devez vous assurer que les services de cloud computing et autres systèmes de traitement de données que vous utilisez pour le traitement de données à caractère personnel sont également conformes à la RGPD.

Délégué à la protection des données : (DPD ou Data Protection Officer, DPO en anglais) Votre entreprise a-t-elle embauché ou nommé un responsable de la protection des données qui peut vous aider dans votre projet de conformité RGPD ? 

Cliquez ici pour un très utile glossaire RGPD

Collecte et traitement des données

Lorsque vous collectez des données personnelles (c'est-à-dire que vous recevez des inscriptions pour un événement), il est plus important que jamais de demander l'autorisation d'utiliser ces données pour vos besoins. Dans sa forme la plus simple, la personne concernée accepte de recevoir des messages de votre part (message de confirmation, rappels d'événements, demande de feedback, etc.). Les événements sont en effet un excellent exemple de la manière dont la nouvelle réglementation doit être appliquée. Une grande partie des données des participants que nous recueillons est de nature sensible, ce qui fait de la conformité à la RGPD un must plutôt qu'une recommandation.

Stockage de données et accès

La gestion des événements est une collaboration. Plusieurs tiers devront avoir accès à vos listes d'invités afin d'organiser l'évènement avec succès. Vous et votre organisation pouvez être 100% conforme RGPD, mais êtes-vous sûr que votre processeur de données l'est également ? Par exemple, votre processeur de données traite-t-il ou stocke-t-il des données personnelles en dehors de l'Union européenne ? Si un fournisseur de services cloud européen possède des serveurs en dehors de l'UE, il ne peut, selon la RGPD, traiter les données personnelles des sujets européens, à moins d'obtenir la permission desdits sujets pour que leurs données personnelles soient transférées à l'étranger.

Utilisez-vous des services de gestion d'événements ou des agences événementielles ? Si oui, il vaut également la peine de se pencher sur leurs pratiques de traitement des données. Où sont conservées les données de vos participants et qui y a accès ? Si (et quand) vous partagez vos registres de participants avec des tiers, assurez-vous d'en informer vos participants dans votre politique de confidentialité. Si un participant souhaite être oublié ou supprimé, cette action doit s'étendre aux copies possibles de vos bases de données que possèdent vos processeurs de données et vos sous-traitants.

Prenez le temps de vous pencher sur la RGPD ! Participez à notre table ronde sur le sujet pour en discuter avec nos experts et un avocat spécialisé.