eventintelligence-blog-inwink-logo
Le blog des Marketeurs, des Communicants, et des Organisateurs de l’évènementiel BtoB

Organiser des événements BtoB en conformité au RGPD

Benoit Leggieri, Team inwink
Le 18 sept. 2019

Entrée en vigueur le 25 Mai 2018, la réglementation européenne "Règlement Général sur la Protection des Données" (RGPD) a pour objectif de renforcer le cadre légal de protection des données personnelles, et de l’uniformiser sur l’ensemble du territoire Européen.

En tant qu’organisateurs d’événements professionnels, vous collectez, accédez, gérez, et partagez des informations sur vos participants. Il est donc essentiel de bien connaitre les principes fondamentaux du RGPD afin de s’assurer que vos méthodes de collecte et de gestion des données sont conformes à cette règlementation.

Obtenir le consentement explicite des participants

Le premier impératif est d’obtenir le consentement explicite de votre audience à recevoir des communications de la part de votre entreprise avant, pendant, et après votre événement.

Ce consentement s'applique également aux personnes ayant participé à vos événements antérieurs au 25 mai 2018, et auprès de qui vous souhaitez poursuivre l'envoi de communications marketing.

Pour vos événements passés, vous devez être en mesure de prouver le consentement de vos participants avec une preuve datée. Si ce n'est pas le cas, il est nécessaire de renouveler la demande de consentement avant toute nouvelle communication.

Si un participant en fait la demande, vous devez être en mesure de lui restituer un historique des données collectées sur sa personne pendant tout le cycle de l'événement.

Pour vos événements à venir, vous devez demander explicitement le consentement de vos participants et les informer de la façon dont leurs données personnelles seront utilisées. 

Il est essentiel d’être clair et transparent sur l’"opt-in" demandé à votre audience. La formulation ne doit pas orienter le participant vers la réponse souhaitée, et la case d'approbation ne doit pas être "pré-cochée" par défaut.

Exemple de bonne pratique : "Souhaitez-vous recevoir notre newsletter hebdomadaire ? – Réponse : Oui ou Non".

Une fois le premier consentement obtenu et le participant inscrit, il n’est plus nécessaire de redemander le consentement des inscrits pour leur envoyer des communications qui sont alors dites "transactionnelles", c’est-à-dire les communications qui sont directement rattachées à la raison pour laquelle les participants se sont inscrits : participer à votre événement.

On y retrouve par exemple : l’envoi d’une confirmation d’inscription, l’envoi du badge participant, l’envoi des informations pratiques de l’événement… N’oubliez pas, néanmoins, de permettre à vos participants de se désabonner librement de ces communications.

Centraliser et maîtriser la gestion des données

Vous aviez peut-être mis en place des automatismes en termes de gestion et de partage de vos données événementielles, que ce soit vers l’externe auprès de vos partenaires, ou en interne auprès de collaborateurs ou d’autres départements de votre entreprise.

A la question : "En tant que partenaire de votre événement, pouvez-vous m’envoyer la liste et les coordonnées des présents à l’événement", vous êtes désormais contraint de répondre par la négative ! Vous ne pouvez partager ces données avec vos partenaires que si vos participants ont consenti au partage de leurs données personnelles. Il est indispensable d’être attentif à ce sujet, car en cas de plainte justifiée d’un participant, les conséquences peuvent être significatives.

Un collaborateur de votre entreprise vous a peut-être déjà demandé la liste des participants pour ajout à une liste de prospection ou d’envoi d’une newsletter. Attention, là également, prudence ! Il est nécessaire d’obtenir le consentement ou opt-in du participant sur chaque type de communication que vous souhaitez pouvoir lui adresser dans le futur : contact commercial, abonnement à la newsletter marketing, invitation à un webinaire, etc…

Nommer un(e) Data Protection Officer

Si ce n’est pas déjà le cas, un Data Protection Officer (DPO) doit être nommé au sein de votre entreprise afin de superviser et valider toutes les activités de collecte et d'utilisation des données par votre organisation, notamment sur vos opérations événementielles.

Le DPO a la responsabilité de former les équipes internes au respect des standards requis par le RGPD en matière de sécurité et confidentialité des données. Le DPO devra signaler toute activité non conforme quant au dispositif de collecte de données, et s’assurer de la mise en place des correctifs nécessaires. Le DPO a également la responsabilité de valider les modalités de partage des données avec les partenaires externes et de gérer les litiges éventuels avec les participants.

Les données concernées sont les informations relatives aux résidents de l’Union Européenne, même si votre organisation est basée en dehors de l'UE.

La plateforme évènementielle en tant que sous-traitant applicatif

Les organisateurs d’évènements professionnels s’appuieront sur leurs solutions de gestion évènementielle pour assurer la conformité RGPD de leurs évènements. Il est donc important de bien choisir sa plateforme !

Dans la terminologie RGPD, sont identifiés deux acteurs qui ont chacun leurs rôles et responsabilités :

  1. Le Data Controller / responsable du traitement (https://edps.europa.eu/node/3099#data_controller) – c’est la société ou la personne qui décide quelle donnée collecter, et qui définit l’objectif de cette collecte de données
  2. Le Data Processor / sous-traitant (https://edps.europa.eu/node/3110#processor) – c’est la société ou personne qui traite les données personnelles pour le compte du responsable du traitement

Ainsi, l’organisateur de l’évènement est le Data Controller, alors que les fournisseurs de technologies évènementielles sont les Data Processors (ou sous-traitants applicatifs).

inwink et le RGPD

Une plateforme évènementielle moderne doit respecter un certain nombre de critères fondamentaux, parmi lesquels :

  • Être bâtie sur une architecture qui met en œuvre l’état de l’art en matière de sécurité applicative, intégrant les normes "Privacy by Design" ;
  • Permettre d’effectuer une destruction physique des données sur simple demande de l’organisateur ;
  • Disposer d’une politique de gestion des cookies sur les applicatifs Front qui garantit une règle stricte de classification des cookies (essentiel / non essentiel) ;

La plateforme inwink, proposée en mode SaaS, apporte aux organisateurs d’évènements tous les outils dont ils ont besoin pour assurer leur conformité RGPD.

Avec inwink, les organisateurs peuvent eux-mêmes :

  • Ajouter dans chaque formulaire de collecte de données, leurs propres mentions légales et détailler les flux de collecte et de traitement de données qui leur sont spécifiques ;
  • Créer un formulaire pour récolter les demandes de leurs participants d’accès à leurs informations personnelles, notamment pour déclencher un droit à l’oubli ;
  • Créer des pages pour permettre à leurs participants, une fois identifiés, de consulter et de modifier leurs informations personnelles ;
  • Restituer à la demande l’intégralité des données collectées sur un participant à un évènement, ou bien les supprimer physiquement et donc définitivement ;

En synthèse, le RGPD fait appel à votre transparence en tant qu’organisateur d’évènements professionnels. Il est de votre responsabilité de veiller à bien obtenir les opt-in des participants, d’être attentifs aux modalités de partage des données collectées, et de vous assurer que vos communications auprès de vos participants sont claires et sans ambiguïté à ce sujet.

Le choix de la plateforme évènementielle est essentiel pour permettre la bonne application des directives RGPD.

Mentions légales : Infinite Square, éditeur de la plateforme inwink, publie cet article à des fins de sensibilisation et de partage d’informations. Infinite Square n’est pas en mesure de déterminer si le règlement général de l'Union européenne sur la protection des données s'applique ou non à votre organisation. Les informations contenues dans cette publication ne constituent pas un conseil juridique.