L'organisation d'événements implique inévitablement le traitement de données à caractère personnel. Parfois, ce traitement se limite à quelques données de base pour le billet d'entrée, dans d'autres cas, les données les plus diverses sont traitées par les algorithmes les plus sophistiqués.
5 leçons après 5 ans de RGPD dans le secteur de l'événementiel.
1. Impossible de contourner le RGPD
Bien que le RGPD ait cessé depuis longtemps d'être un noble inconnu pour les organisateurs du secteur des sports, des festivals et du divertissement cinq ans après son entrée en vigueur, la conformité n'est pas pour autant devenue plus facile. Vouloir offrir une expérience personnalisée se heurte encore bien trop souvent à une législation complexe qui semble limiter la créativité avec des pop-ups et des cases à cocher.
Bien que l'on prétende parfois que la plupart des gens se soucient peu de leurs droits en tant que « personnes concernées » et que les nombreuses questions relatives au consentement les dérangent, il suffit d'une seule plainte pour être pris au dépourvu par l'Autorité de protection des données (« APD »).
L’APD a récemment annoncé qu'elle avait reçu 3 749 plaintes depuis l'entrée en vigueur du RGPD (dont 1 120 liées à une seule fuite de données présumée en 2021). Outre les amendes importantes que certains avocats et consultants aiment tant évoquer, l'impact sur la réputation ne doit pas être sous-estimé, car la confiance dans les organisateurs, et donc dans leurs événements, peut être mise en péril par les répercussions d'une seule plainte.
2. Documenter, documenter, documenter
Les 592 enquêtes et les 535 procédures ont montré qu'il est essentiel que l'APD documente de manière adéquate les activités liées à la conformité. « Quelles informations ont été communiquées à cette personne concernée ? ». « Comment pouvez-vous prouver que cette personne a donné son consentement ? ». « Et quand cela s'est-il produit ? ». « Êtes-vous sûr que le consentement n'a pas été retiré ? ». « D'autres informations ont-elles été envoyées à la personne concernée (attention, nous avons peut-être un e-mail qui montre que c'est le cas…) ? ».
Un autre élément crucial auquel l'APD attache une grande importance est le registre des activités de traitement. « Comment pouvez-vous prétendre que vous protégez les données de manière adéquate si vous ne disposez pas d'un registre des données que vous traitez ? ».
Utilisez la cartographie des données comme moyen d'évaluer avec précision vos risques liés aux données et votre registre comme document unique pour vos plans visant à traiter efficacement ces risques.
3. Le facteur « creepiness »
« Qui est cet expéditeur et comment a-t-il obtenu mes coordonnées ? ». Vous vous êtes sans doute déjà posé cette question en recevant un e-mail d'un expéditeur apparemment inconnu. Le sentiment qu'un tel e-mail suscite varie d'un destinataire à l'autre et va de l'indifférence à l'agacement en passant par la peur pure et simple.
Le seul moyen vraiment efficace d'anticiper cette situation est de répondre à l'avance aux questions susmentionnées. Quiconque a déjà sauté devant une scène lors d'un festival fera probablement facilement le lien avec l'expéditeur, mais quelqu'un qui reçoit une communication d'un organisateur d'événement moins connu n'en sera peut-être pas capable. Dans ce cas, expliquer le contexte peut faire des miracles – ou déjà éviter une plainte auprès de l'APD, d'autant plus que l'APD a fait du « marketing direct » une priorité de son plan stratégique 2020-2025.
Il en va de même pour les autres traitements effectués pendant l'événement. Vous pouvez avoir longuement réfléchi et pris toutes les mesures possibles, mais si les personnes concernées ne savent pas que vous allez utiliser leurs données d'une certaine manière, votre activité peut rapidement être perçue comme effrayante.
Nous aimons parler du « facteur creepiness », l’APD considérera plutôt qu’il s’agira de démontrer que « cela est conforme aux attentes des personnes concernées ». Toutefois, nous parlons de la même chose : la transparence est essentielle, non seulement pour vos messages de marketing direct, mais aussi pendant le processus de commande, dans la déclaration de protection des données sur votre site web, etc.
4. Faire confiance, c'est bien ; vérifier (et documenter), c'est mieux.
Tout comme vous devez être certain que chaque collaborateur traite les visiteurs conformément aux normes et aux valeurs de votre organisation, vous devez également être certain que toute partie traitant des données à caractère personnel pour vous le fait conformément à vos attentes – et donc conformément aux exigences du RGPD.
Alors que des années d'accords peuvent être claires pour toutes les parties concernées et qu'il n'y a de facto aucun risque pour les personnes concernées, le RGPD attend que tous les accords soient documentés dans un accord spécifique sur le traitement des données. Profitez de la rédaction de cet accord pour discuter (à nouveau) de tous les flux de données, y compris des transferts de données en dehors de l'Union européenne, qui font actuellement l'objet d'un nouveau débat…
En tant qu'avocat spécialisé dans la cybersécurité, il est frappant de constater à plusieurs reprises que des parties ne savent pas qu'elles ont été touchées par un incident particulier dans une juridiction particulière, simplement parce qu'elles ne savaient pas que leurs fournisseurs de services avaient à leur tour externalisé le traitement. La cartographie des données mentionnée plus haut devrait permettre de le découvrir, mais comme on ne sait pas ce que l'on ne sait pas, une contribution continue des fournisseurs de services n'est certainement pas un luxe.
5. L'importance des droits des personnes concernées
La protection des données à caractère personnel figure dans la Charte des droits fondamentaux de l'Union européenne au même titre que d'autres droits, libertés et principes tels que le droit à la vie ou l'interdiction de la torture. C'est le niveau d'importance que l'APD observe lorsqu'elle juge si les droits des personnes concernées ont été respectés ou non.
Il convient donc de prendre au sérieux toute question relative à la protection des données à caractère personnel et de veiller à ce que les procédures adéquates soient en place pour assurer le suivi de l'exercice des droits dans le cadre approprié et dans des délais stricts, d'autant plus que cette question a également été qualifiée de « prioritaire » par l'APD dans son plan stratégique pour 2020-2025.
Conclusion
S'il est difficile de nier que le RGPD a rendu certains aspects de l'organisation d'événements encore plus complexes et que la législation n'a pas vraiment été accueillie par une standing ovation par le secteur, la plupart des organisateurs de ces cinq dernières années ont reconnu que cette législation leur a permis de mieux contrôler ce qu'ils font avec les données à caractère personnel.
En remplaçant les « big data » sans valeur par des « smart data » organisées, en tenant compte de principes fondamentaux tels que la transparence et en gérant les données à caractère personnel avec la diligence requise, les publics peuvent participer en toute confiance à des événements sans craindre que leurs données à caractère personnel ne deviennent une source de perturbation. Avec le retour en force du secteur de l'événementiel, cette confiance est plus que bienvenue.
