Lors de l’organisation d’évènements culturels, professionnels ou sportifs, les accréditations permettent de gérer l’accès de participants, prestataires et partenaires, journalistes, VIP, etc. Les dispositifs d’accréditations impliquent souvent la récolte de données personnelles, soumettant ainsi les organisateurs au RGPD. Quelles règles respecter ?
Pourquoi les accréditations doivent-elles respecter le RGPD ?
Dès lors qu’un fichier contient des données permettant d’identifier directement ou indirectement une personne (nom, prénom, photo, coordonnées, fonction, etc.), il s’agit d’un traitement de données à caractère personnel. L’accréditation, qu’elle soit numérique ou papier, implique la collecte, le stockage, et parfois la transmission de ces données.
Par ailleurs, ce traitement est souvent réalisé dans un contexte professionnel et à grande échelle, ce qui accroît les obligations de conformité. Que l’accréditation serve à contrôler les accès, assurer la sécurité, communiquer des informations ou faciliter la logistique, l’organisateur est responsable des données qu’il collecte.
Quelles règles RGPD respecter lors des accréditations ?
Comme tout traitement soumis au RGPD, les accréditations devront respecter les principes suivants :
- les finalités doivent être déterminées, explicites et légitimes : la plupart du temps, les accréditations auront pour finalité de filtrer les entrées au sein d’un environnement contrôlé / sécurisé, de légitimer la présence de certaines présences au sein de zones sensibles, etc.
- les données doivent être minimisées : il faut récolter le moins de données possible lors de la gestion des demandes d’accréditation. Souvent, on retrouvera au moins le nom, le prénom, la fonction de la personne (justifiant la fourniture d’une accréditation), et ses droits d’accès si ceux-ci sont limités à certaines zones (zones journalistes par exemple).
- les données doivent être supprimés une fois l’évènement terminé : en fonction de la récurrence de l’évènement / de la participation d’un accrédité, ses données peuvent être conservées pendant plusieurs éditions de l’évènement, mais les données doivent impérativement avoir une durée de conservation limitée.
Comme toute autre donnée récoltée par l’organisateur, les informations recueillies devront bien sûr être sécurisées, et leur traitement documenté (c’est à cela que sert le registre des traitements).
Comment informer les personnes du traitement de leurs données ?
Une autre obligation tirée du RGPD pèse par ailleurs sur l’organisateur : informer les personnes du traitement de leurs données.
Les organisateurs sont ici souvent plus frileux, car si certains participants demandent leur accréditation, d’autres sont accrédités de facto ou invités (VIP par exemple) et les mentions d’information prévues par le RGPD sont assez longues…
Que doivent-contenir les mentions ?
Pour rappel, les mentions d’information doivent a minima contenir :
- l’identité du responsable du traitement (il s’agira très souvent de l’organisateur)
- les finalités pour lesquelles les données sont traitées, et les durées de conservation
- les droits des personnes concernées (les accrédités en l’espèce) et les modalités d’exercice de leurs droits
- les coordonnées du délégué à la protection des données (si l’organisme en a désigné un).
Comment informer simplement les accrédités ?
Pour les personnes faisant une demande d’accréditation, les mentions peuvent figurer sur une page Internet, être transmises par e-mail, intégrées dans un formulaire, etc.
Pour les personnes accréditées en tant qu’employés ou intérimaires de l’organisateur, ces informations figureront plus souvent dans une notice à destination du personnel ou dans le contrat de travail.
Pour les personnes invitées et les VIP, ces mentions peuvent être fournies selon une modalité de double niveau : au dos d’une invitation ou d’une carte d’accréditation peut se trouver l’indication menant aux mentions d’information complètes. La personne concernée peut ainsi, si elle le désire, accéder simplement aux mentions, sans que celles-ci ne soient intégrées directement et complètement dans un courrier officiel ou un message court.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.