Événements en présentiel : respectez le RGPD !

Avec le retour des événements en présentiel, les impacts sur les données personnelles des participants sont nombreux, qu’ils soient liés au contexte sanitaire ou intrinsèques à l’organisation d’un événement. Empreinte Digitale revient pour vous sur ces impacts et la manière dont vous pouvez organiser un événement tout en respectant la réglementation liée aux données personnelles.

Comment allier pass sanitaire et respect de la vie privée ?

Les cas de mise en place d’un pass sanitaire

On sait que la présentation d’un pass sanitaire valide est obligatoire dans certains lieux et pour certains événements, dont vous pouvez retrouver la liste sur le site service public. Afin de respecter la vie privée des personnes participant à votre événement, veillez à respecter les limites posées par la loi pour encadrer ce dispositif.

Si votre événement n’entre dans aucune de ces catégories, il sera en revanche interdit de réclamer le pass sanitaire aux participants : exiger la présentation du pass en dehors des cas prévus par la loi est sanctionnable d’un an d’emprisonnement et de 45 000€ d’amende, ou 225 000€ pour une personne morale.

Contrôle du pass sanitaire : un cadre réglementaire strict

L’utilisation du pass sanitaire implique le traitement de données personnelles portant sur la santé, soyez particulièrement vigilant quant aux modalités du contrôle. Ne scannez que le code QR, via l’application TousAntiCovid Verif. Ainsi, seuls nom, prénom, date de naissance et état du pass (valide/invalide) seront contrôlés.

Demander plus d’informations aux personnes, par exemple une copie du pass sanitaire en amont de l’événement, est interdit et sera sanctionnable d’un an d’emprisonnement et 45 000€ d’amende, ou 225 000€ pour une personne morale. Sera puni de la même manière le fait de conserver les données de contrôle en dehors des cas prévus par la loi.

Il est également interdit de contrôler l’identité de la personne dans le cadre d’événements, cette prérogative relevant uniquement de la compétence des forces de l’ordre.

Hugo Pfeiffer / Getty Images

Le registre des contrôleurs

Seules certaines personnes doivent être habilitées à contrôler le pass sanitaire, avec obligation de tenir un registre de ces personnes incluant :

  • L’identité des personnes habilitées
  • La date d’habilitation
  • Les jours et horaires des contrôles effectués par ces personnes

Ce registre impliquant le traitement de données personnelles, il devra lui-même respecter le RGPD (voir paragraphe « Maîtrisez l’utilisation des données »).

Vous trouverez plus d’information à ce sujet sur la FAQ de la CNIL.

LE CONTRE EXEMPLE

Dans le cadre de la préparation d’un tournoi sportif, les organisateurs ont décidé de simplifier la procédure en demandant à chacun des participants d’envoyer par avance son pass sanitaire, par mail, à l’un des organisateurs. Cette organisation est totalement interdite, et les organisateurs risquent d’être lourdement sanctionnés : seule la procédure prévue par la loi est autorisée !

Comment maîtriser l’utilisation des données lors de votre événement ?

Une utilisation encadrée

Les données ne sont utilisées que dans des objectifs bien précis, que l’on appelle « finalités ».

Vous devez identifier les finalités des traitements : pour un événement, les finalités seront principalement la gestion des invitations, des inscriptions et l’organisation logistique de l’événement.

Le fait de déterminer les finalités des traitements permet de s’assurer que les données personnelles ne soient pas utilisées pour des objectifs qui n’ont pas été prévus à l’avance.

LE CONTRE EXEMPLE

Une commune décide d’organiser un salon autour de l’objet connecté. Des données personnelles des participants sont utilisées afin de gérer leurs inscriptions. Après l’événement, le service communication de la commune demande à utiliser la liste des participants afin de les inscrire à sa lettre d’information. Cette utilisation n’est pas possible, la finalité aurait dû être prévue en amont.

Des destinataires identifiés

Seules les personnes qui en ont strictement besoin dans le cadre des finalités définies pourront accéder aux données :

  • En interne cela concernera notamment les personnes organisant l’événement, le service communication, les intervenants…
  • Cela peut aussi concerner des tiers : hébergeur, éditeur de l’outil de gestion de l’événement, prestataire contrôlant les entrées… Dans ce cas, vérifiez leur conformité au RGPD et assurez vous que votre relation soit correctement encadrée (au moyen d’un contrat de sous-traitance notamment).

Attention : si des tiers sont situés hors de l’Union Européenne, vérifiez si le transfert est correctement encadré. Certains pays bénéficient de décisions d’adéquation, autrement un autre instrument juridique sera nécessaire, par exemple la signature de clauses contractuelles types.

Une conservation limitée dans le temps

Comme pour n’importe quel traitement de données personnelles (à l’exception de l’archivage public) vous ne pouvez pas conserver les informations sans limite de temps.

La réglementation ne fixe pas de durée, aussi la définir est souvent compliqué pour les organismes. Plusieurs éléments peuvent être pris en compte pour déterminer la durée à appliquer :

Durée Justification Exemple
Durée de l’événement En principe, la durée de conservation correspond à la durée nécessaire pour atteindre les finalités. Les données ne devraient donc être conservées que le temps de l’événement. Arbre de Noël de salariés
5 ans Dans le cas d’événements où un contrat est passé entre l’organisateur et le participant, notamment les événements payants, les documents devront donc être conservés plus longtemps, afin de prévoir d’éventuels litiges. La durée de conservation sera alors celle de la prescription légale. Salon professionnel
D’une année sur l’autre Dans le cas d’événements récurrents, annuels par exemple, conserver les informations sur les participants pour les inviter l’année suivante pourra être considéré comme légitime pour l’organisateur. Colloque universitaire
3 ans Enfin si vous utilisez les données pour d’autres finalités que l’organisation de l’événement, la durée de conservation devra être étudiée séparément pour cette autre utilisation (3 ans max pour la prospection commerciale). Prospection commerciale auprès des participants d’une formation


Au terme de cette période de conservation, les données devront être soit effacées, soit anonymisées.

Comment respecter les droits des personnes sur leurs données ?

Une information claire et complète

Conformément aux articles 13 et 14 du RGPD, il est obligatoire d’informer les personnes sur l’utilisation de leurs données personnelles, notamment des participants à l’événement. Le RGPD liste des informations minimales à communiquer, que vous pouvez retrouvez sur la page de la CNIL dédiée.

L’information doit être délivrée dès la collecte ou dans un délai d’un mois si les données n’ont pas été collectées directement auprès des personnes.

L’information devra être complète, mais également présentée de manière claire et concise : pour cela vous pouvez vous inspirer des exemples élaborés par la CNIL sur le site design.cnil.fr.

En cas de contrôle des pass sanitaire, pensez également à en informer les personnes ! En amont du contrôle, mais également de manière visible lors de l’accès à l’événement. Le gouvernement a édité plusieurs supports de communication que vous pourrez utiliser.

Le consentement

Rappel de la réglementation

L’utilisation de données personnelles doit toujours être autorisée juridiquement, c’est ce qu’on appelle la « base légale du traitement ». Parmi les bases légales pouvant autoriser un traitement de données, on trouve par exemple la mission d’intérêt public, le contrat conclu avec la personne concernée, l’intérêt légitime (à manier avec prudence)… Si aucune de ces bases légales n’autorise le traitement, alors seulement le consentement des personnes concernées devra être recueilli.

Dans le cadre de l’organisation d’un événement, plusieurs bases légales peuvent être concernées, et le consentement ne sera donc pas systématique obligatoirement :

1. Si l’événement est organisé dans le cadre d’une mission de service public :

Dans ce cas, par exemple lors d’un événement organisé par un département dans le cadre de ses missions, le traitement sera justifié par la mission d’intérêt public et le consentement ne sera pas obligatoire.

2. Dans les autres cas

Il sera nécessaire de distinguer la phase d’invitation – qui ne concerne pas que les personnes inscrites à l’événement – de la gestion des inscriptions et de l’organisation :

  • Concernant les invitations, la base légale pourrait être l’intérêt légitime de l’organisateur si les invités sont des salariés, partenaires, clients, etc. de l’entreprise. En revanche, si l’événement s’adresse à des tiers ou au public, le consentement sera bien obligatoire.
  • Concernant la gestion des inscriptions et de l’organisation, le consentement ne sera pas obligatoire dans la mesure où il reposera sur le contrat passé entre l’organisateur et la personne inscrite. Même en l’absence de contrat (par exemple pour un événement interne), l’intérêt légitime de l’organisateur autorisera le traitement, sans nécessité donc de recueillir le consentement.

Attention : si l’organisateur souhaite utiliser les données collectées à d’autres fins (par exemple l’envoi de sa lettre d’information ou de prospection commerciale), le consentement sera en revanche requis, que l’organisateur soit public ou privé, la base légale s’analysant pour chaque finalité spécifique.

Si le consentement est requis, celui-ci devra respecter certaines caractéristiques : être libre, éclairé, explicite et univoque. Cette page éditée par la CNIL vous explique concrètement comment mettre en œuvre un consentement conforme.

Les droits des personnes

Les participants, dont vous utilisez des données personnelles, disposent de droits sur leurs données, garantis par le RGPD. Certains droits sont applicables dans tous les cas, comme le droit d’accès et de rectification, et d’autres selon la situation, notamment en prenant en compte la base légale du traitement.

LA BONNE PRATIQUE

Une entreprise organise un événement pour présenter aux consommateurs sa nouvelle plateforme SaaS. Les consommateurs s’inscrivent gratuitement sur un outil de gestion en ligne, avec demande de consentement.

Si un participant décide de se désinscrire avant l’événement, il pourra également demander à l’organisateur de supprimer toutes ses données. En effet, la base légale étant le consentement, il dispose du droit à l’effacement de ses données.

Vous devez informer la personne de ses droits et lui donner un moyen simple de les exercer : communiquer une adresse mail dédiée, un formulaire spécifique, etc. Pensez également à identifier à l’avance la personne en interne qui sera chargée de répondre à ces demandes, si vous n’avez pas désigné de DPO !