RGPD: mes responsabilités en tant qu'organisateur

Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est un nouveau cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union Européenne. Il est applicable à tout responsable de traitement ou à tout sous-traitant établi dans un Etat membre ou lorsque leurs activités de traitement concernent l’offre de biens ou services à destination de personnes qui se trouvent sur le territoire de l’Union ou lorsqu’elles concernent la surveillance du comportement de personnes pour autant que ce comportement a lieu au sein de l’UE.

Dans le cadre de notre activité, Weezevent collecte des données personnelles auprès des participants pour notre compte propre afin d'assurer la bonne exécution des transactions mais aussi en qualité de sous-traitant, pour votre compte, organisateur. Les données des participants dans le cadre de notre activité sont collectées afin de fournir les services suivants : 

  • L'identification du participant
  • La vérification que le participant est autorisé à participer à l'événement 
  • La vérification de conditions particulières à l'une ou l'autre des catégories de tarif que vous avez configuré sur votre événement 
  • L'interopérabilité avec des solutions tierces de contrôle d'accès 
  • La diffusion d'informations pratiques sur l'événement 
  • La conservation de la preuve de transaction entre Weezevent, le participant et vous. 

Toute autre information demandée au participant de votre part, est donc de votre responsabilité. 

Pour en savoir plus, consultez notre article Protection des données : cadre et définitions.

Nos conseils pour votre conformité

1. Respect des impératifs 

En tant qu'entité traitant des données à caractère personnel, vous vous devez de répondre à plusieurs impératifs : 

  • Informer : communiquer sur votre conformité, les finalités et la durée du traitement, les destinataires des données, les droits dont les utilisateurs disposent sur leurs données, l’identité du DPO (Data Protection Officer) si nécessaire.
  • Recueillir le consentement : désormais le consentement de l'utilisateur doit être donné via une action positive, c'est à dire que l'acheteur accepte la collecte et l'utilisation de ses données. Il est également nécessaire qu'il conserve la possibilité de se désengager à tout moment via des moyens de désabonnement ou de désinscription.
  • Respecter les droits des utilisateurs : 
    • d'accès aux informations détenues par votre organisation 
    • de portabilité, l'utilisateur a le droit de récupérer les données détenues afin de les réutiliser par lui-même ou une autre entité
    • de dé-référencement, par l'effacement des données 
    • d'opposition, le droit à ne plus être sollicité ou que ses données ne soit plus traités par l'entité.  

2. Deux types de collecte à distinguer 

2.1 La collecte nécessaire et légitime

  • Les données contractuelles récoltées à des fins d’exécution des prestations événementielles. En tant qu’organisateur vous avez besoin de connaître vos visiteurs pour la bonne conduction de votre événement (âge afin de déterminer les mineurs et majeurs, condition physique pour une course, métier dans le cas d’une conférence, …). Il est de votre responsabilité d’organisateur de bien déterminer si les données demandées sont légitimes et de ne rendre obligatoire que ces dernières dans la création de votre formulaire.

2.2 La collecte nécessitant consentement

  • Les données statistiques. Les systèmes de widget billetterie et cashless sont dotés de trackers d’utilisation dont les données vous sont accessibles en tant que propriétaire de l'événement concerné. Vous pouvez l’activer, dans ce cadre, c’est à vous de bien informer sur votre site de l’utilisation de tracking afin de récolter l’accord des internautes. NB : Dans le cadre de l’utilisation de mini-site Weezevent, l’intégration du bandeau pour consentement de l’internaute est automatique.
  • Les données supplémentaires récoltées à des fins commerciales. Lors de l’inscription à un événement ou pour le chargement d’un compte cashless par exemple, vous pouvez utiliser l’outil Weezevent pour demander des données à usage commercial. Il est de votre responsabilité de rester dans la légalité sur les contenus des formulaires et de bien récolter l’autorisation explicite du participant. 

3. Comment avoir un consentement explicite ? 

Toute personne dont les données sont collectées doit :

  • être informée du processus, de la finalité d’usage des données concernées
  • avoir donné son consentement. Ce consentement doit être “actif”, c’est à dire donné explicitement à travers une case cochée ou un bouton cliqué. Par exemple : "J'autorise l'organisateur à me contacter pour plus d'informations sur l’événement et tout ce qui concerne le cashless”, "J'accepte de recevoir des offres personnalisées de la part de l'organisateur", ...

4. Que faire de mes bases des données actuelles stockées ?

Afin de continuer à les stocker et utiliser, il vous faut pouvoir justifier :

  • de la finalité de cette base de données
  • du fondement légal justifiant de la détention de cette base
  • de la date du recueil du consentement de l’internaute et de son autorisation explicite