Protection des données des participant·e·s : ce qu'il faut prendre en compte lors des événements

Qui est responsable du respect des règles de protection des données ?

Les lois sur la protection des données — le Règlement général sur la protection des données (RGPD) de l’UE et la Loi fédérale sur la protection des données (LPD) — distinguent les responsable·s et les sous-traitant·e·s.

• Le·la responsable décide du but et des moyens du traitement des données. Pour les événements, il s’agit généralement de l’organisateur·rice. Tu détermines quelles données tu collectes, pourquoi et comment tu les utilises.
• Le·la sous-traitant·e traite les données pour le compte du·de la responsable. Cela inclut, par exemple, les fournisseurs de Logiciel de gestion d'événements, les imprimeries de badges ou les prestataires de restauration ayant accès aux listes de participant·e·s.

En résumé : en tant qu’organisateur·rice, tu portes la responsabilité principale. En même temps, tu dois t’assurer que tes prestataires respectent les règles de protection des données.

Quelles données de tes invité·e·s peux-tu traiter ?

Tu ne peux traiter des données personnelles que s’il existe une base légale. Les scénarios typiques lors d’événements sont :

Consentement : Par exemple pour les newsletters, photos ou vidéos, ou des données déjà stockées dans le cadre d’une relation client·e.

Contrat : Comme la réservation de billets ou l’accord de participation.

Obligation légale : Par exemple pour respecter les exigences de sécurité des autorités.

Intérêt légitime : Par exemple pour envoyer des informations, contrôler l’accès ou optimiser la planification de l’événement. L’intérêt légitime s’applique tant que les intérêts des participant·e·s ne prévalent pas.

Dans tous les cas, le principe est de ne traiter que les données dont tu as réellement besoin et uniquement pour le but que tu as indiqué.

Principes fondamentaux à respecter

Le RGPD (article 5) et la LPD te fournissent des lignes directrices claires :

Transparence : Informe tes invité·e·s de manière compréhensible sur le traitement des données.

Minimisation des données : Ne collecte que ce qui est nécessaire – évite les champs supplémentaires superflus dans le formulaire d’inscription.

Limitation de la finalité : Utilise les données uniquement pour le but indiqué, et non pour des actions marketing ultérieures sans consentement.

Sécurité : Mets en place des mesures techniques comme le chiffrement et organise clairement les droits d’accès.

Privacy by Design / Default : Configure l’accès aux Logiciels de gestion d'événements de manière à ce que la protection des données soit prise en compte dès le départ, par exemple avec des droits d’accès restrictifs.

Collaboration avec des prestataires

Lorsque tu fais appel à des partenaires externes, des règles claires sont nécessaires. Avec les fournisseurs de Logiciel de gestion d'événements ou les imprimeries de badges, tu dois conclure un contrat de sous-traitance (RGPD article 28, LPD article 9). Ce contrat définit :

• quelles données sont traitées
• dans quel but
• combien de temps elles sont conservées
• quelles mesures de sécurité s’appliquent

Une attention particulière est requise lorsque les données sont traitées en dehors de l’UE ou de la Suisse. Dans ce cas, tu dois vérifier qu’un niveau de protection des données adéquat est en place et, le cas échéant, utiliser des clauses contractuelles types.

Droits des participant·e·s

Tes invité·e·s ont le droit de savoir quelles données tu stockes à leur sujet, comment tu les utilises et à qui tu les communiques. Ils peuvent demander l’accès à leurs données, les faire rectifier ou exiger leur suppression dès que le but n’est plus applicable. La portabilité des données (RGPD article 20) en fait également partie. Ces droits s’appliquent tant selon le RGPD que selon la LPD suisse.

Sécurité des données en pratique

Quelques mesures concrètes peuvent t’aider à protéger efficacement les données des participant·e·s :

• Utilise des plateformes événementielles avec un système de rôles et de permissions au lieu d’envoyer des listes Excel par e-mail.
• Limite l’accès aux données personnelles au minimum de personnes nécessaire.
• Évite les listes de participant·e·s imprimées, facilement perdues.
• Assure-toi que les données sont centralement nettoyées après l’événement et supprimées ou anonymisées dans tous les systèmes.

Il est préférable de discuter des directives et mesures de protection des données avec le·la délégué·e à la protection des données de ton organisation. Garde également un plan d’urgence prêt. En cas de fuite de données, tu dois informer immédiatement les autorités de contrôle et les personnes concernées conformément au RGPD (articles 33/34) et à la LPD suisse (article 24).

Risques typiques et comment les éviter

• Photos et vidéos sans consentement : Obtiens le consentement clair lors de l’inscription à l’événement et informe tes invité·e·s de l’utilisation des enregistrements.
• Transmission de données à des sponsors : Ne communique les données aux sponsors qu’avec le consentement explicite de tes invité·e·s et une clause contractuelle claire.
• Outils non sécurisés : Choisis des prestataires comme Oniva, qui respectent le RGPD et la LPD suisse et qui divulguent l’emplacement de leurs serveurs et leurs mesures de sécurité.

Conclusion

La protection des données est un gage de qualité pour des événements professionnels. En informant de manière transparente, en limitant la collecte de données au strict nécessaire et en utilisant des systèmes sécurisés, tu renforces la confiance de tes invité·e·s envers ton événement et ton organisation. Avec des processus clairs et les bons outils, tu crées une expérience événementielle qui séduit tout en étant juridiquement sûre.

D’ailleurs, ce lien propose un modèle de déclaration de confidentialité pour les inscriptions aux événements. Assure-toi de toujours le vérifier avec un·e expert·e en protection des données pour ton cas d’utilisation spécifique avant de le publier.