Avec le retour des salons, forums et autres événements professionnels, les impacts sur les données personnelles des participants sont nombreux. Empreinte Digitale revient pour vous sur ces impacts et la manière dont vous pouvez organiser un événement tout en respectant la réglementation liée aux données personnelles.
Comment maîtriser l’utilisation des données lors de votre événement ?
Une utilisation encadrée
Les données ne sont utilisées que dans des objectifs bien précis, que l’on appelle « finalités ».
Vous devez identifier les finalités des traitements : pour un événement, les finalités seront principalement la gestion des invitations, des inscriptions et l’organisation logistique de l’événement.
Le fait de déterminer les finalités des traitements permet de s’assurer que les données personnelles ne soient pas utilisées pour des objectifs qui n’ont pas été prévus à l’avance.
LE CONTRE EXEMPLE
Une commune décide d’organiser un salon autour de l’objet connecté. Des données personnelles des participants sont utilisées afin de gérer leurs inscriptions. Après l’événement, le service communication de la commune demande à utiliser la liste des participants afin de les inscrire à sa lettre d’information. Cette utilisation n’est pas possible, la finalité aurait dû être prévue en amont.
Des destinataires identifiés
Seules les personnes qui en ont strictement besoin dans le cadre des finalités définies pourront accéder aux données :
- En interne cela concernera notamment les personnes organisant l’événement, le service communication, les intervenants…
- Cela peut aussi concerner des tiers : hébergeur, éditeur de l’outil de gestion de l’événement, prestataire contrôlant les entrées… Dans ce cas, vérifiez leur conformité au RGPD et assurez vous que votre relation soit correctement encadrée (au moyen d’un contrat de sous-traitance notamment).
Attention : si des tiers sont situés hors de l’Union Européenne, vérifiez si le transfert est correctement encadré. Certains pays bénéficient de décisions d’adéquation, autrement un autre instrument juridique sera nécessaire, par exemple la signature de clauses contractuelles types.
Une conservation limitée dans le temps
Comme pour n’importe quel traitement de données personnelles (à l’exception de l’archivage public) vous ne pouvez pas conserver les informations sans limite de temps.
La réglementation ne fixe pas de durée, aussi la définir est souvent compliqué pour les organismes. Plusieurs éléments peuvent être pris en compte pour déterminer la durée à appliquer :
| Durée | Justification | Exemple |
|---|---|---|
| Durée de l’événement | En principe, la durée de conservation correspond à la durée nécessaire pour atteindre les finalités. Les données ne devraient donc être conservées que le temps de l’événement. | Arbre de Noël de salariés |
| 5 ans | Dans le cas d’événements où un contrat est passé entre l’organisateur et le participant, notamment les événements payants, les documents devront donc être conservés plus longtemps, afin de prévoir d’éventuels litiges. La durée de conservation sera alors celle de la prescription légale. | Salon professionnel |
| D’une année sur l’autre | Dans le cas d’événements récurrents, annuels par exemple, conserver les informations sur les participants pour les inviter l’année suivante pourra être considéré comme légitime pour l’organisateur. | Colloque universitaire |
| 3 ans | Enfin, si vous utilisez les données pour d’autres finalités que l’organisation de l’événement, la durée de conservation devra être étudiée séparément pour cette autre utilisation (3 ans max pour la prospection commerciale). | Prospection commerciale auprès des participants d’une formation |
Au terme de cette période de conservation, les données devront être soit effacées, soit anonymisées.
Comment respecter les droits des personnes sur leurs données ?
Une information claire et complète
Conformément aux articles 13 et 14 du RGPD, il est obligatoire d’informer les personnes sur l’utilisation de leurs données personnelles, notamment des participants à l’événement. Le RGPD liste des informations minimales à communiquer, que vous pouvez retrouver sur la page de la CNIL dédiée.
L’information doit être délivrée dès la collecte ou dans un délai d’un mois si les données n’ont pas été collectées directement auprès des personnes.
L’information devra être complète, mais également présentée de manière claire et concise : pour cela vous pouvez vous inspirer des exemples élaborés par la CNIL sur le site design.cnil.fr.
Le consentement
Rappel de la réglementation
L’utilisation de données personnelles doit toujours être autorisée juridiquement, c’est ce qu’on appelle la « base légale du traitement ». Parmi les bases légales pouvant autoriser un traitement de données, on trouve par exemple la mission d’intérêt public, le contrat conclu avec la personne concernée, l’intérêt légitime (à manier avec prudence)… Si aucune de ces bases légales n’autorise le traitement, alors seulement le consentement des personnes concernées devra être recueilli.
Dans le cadre de l’organisation d’un événement, plusieurs bases légales peuvent être concernées, et le consentement ne sera donc pas systématique obligatoirement :
1. Si l’événement est organisé dans le cadre d’une mission de service public :
Dans ce cas, par exemple lors d’un événement organisé par un département dans le cadre de ses missions, le traitement sera justifié par la mission d’intérêt public et le consentement ne sera pas obligatoire.
2. Dans les autres cas
Il sera nécessaire de distinguer la phase d’invitation – qui ne concerne pas que les personnes inscrites à l’événement – de la gestion des inscriptions et de l’organisation :
- Concernant les invitations, la base légale pourrait être l’intérêt légitime de l’organisateur si les invités sont des salariés, partenaires, clients, etc. de l’entreprise. En revanche, si l’événement s’adresse à des tiers ou au public, le consentement sera bien obligatoire.
- Concernant la gestion des inscriptions et de l’organisation, le consentement ne sera pas obligatoire dans la mesure où il reposera sur le contrat passé entre l’organisateur et la personne inscrite. Même en l’absence de contrat (par exemple pour un événement interne), l’intérêt légitime de l’organisateur autorisera le traitement, sans nécessité donc de recueillir le consentement.
Attention : si l’organisateur souhaite utiliser les données collectées à d’autres fins (par exemple l’envoi de sa lettre d’information ou de prospection commerciale), le consentement sera en revanche requis, que l’organisateur soit public ou privé, la base légale s’analysant pour chaque finalité spécifique.
Si le consentement est requis, celui-ci devra respecter certaines caractéristiques : être libre, éclairé, explicite et univoque. Cette page éditée par la CNIL vous explique concrètement comment mettre en œuvre un consentement conforme.
Les droits des personnes
Les participants, dont vous utilisez des données personnelles, disposent de droits sur leurs données, garantis par le RGPD. Certains droits sont applicables dans tous les cas, comme le droit d’accès et de rectification, et d’autres selon la situation, notamment en prenant en compte la base légale du traitement.
LA BONNE PRATIQUE
Une entreprise organise un événement pour présenter aux consommateurs sa nouvelle plateforme SaaS. Les consommateurs s’inscrivent gratuitement sur un outil de gestion en ligne, avec demande de consentement.
Si un participant décide de se désinscrire avant l’événement, il pourra également demander à l’organisateur de supprimer toutes ses données. En effet, la base légale étant le consentement, il dispose du droit à l’effacement de ses données.
Vous devez informer la personne de ses droits et lui donner un moyen simple de les exercer : communiquer une adresse mail dédiée, un formulaire spécifique, etc. Pensez également à identifier à l’avance la personne en interne qui sera chargée de répondre à ces demandes, si vous n’avez pas désigné de DPO !
