Le On-Site, La Face Cachée De La RGPD

Honnêtement et à dire vrai, à pas grand-chose. C’est un peu comme mettre un smoking a la fête d’anniversaire du petit cousin. Ça envoie mais ce n’est pas très utile. La réalité est que -en France- les règles CNIL pré-RGPD étaient relativement proche du texte d’aujourd’hui. Pour se faire prendre dans les filets du régulateur il faut vraiment être très « Data méchant ». La réalité est d’ailleurs que les amendes qui ont été distribuées ces dernières années ont pour la plupart été liées à la sécurité des données plus qu’à leur « mauvaise » utilisation.

Pour la faire courte, la transition avec l’évènement est simple : à part le Logiciel (je sais que vous avez bien travaillé avec votre presta, votre DPO*, mis tous les champs qui vont bien, respecté les règles, fait auditer les risques d’intrusion, désabonné ceux qui le souhaitaient de TOUT l’écosystème de données…. Voilà.) A part le logiciel donc, quel pourrait bien être le maillon faible ?

Je vous le donne en mille Emile, Le ON-SITE : voila bien un détail qui passe souvent à la trappe du RGPD. Alors, chers event planeurs, organisateurs de conférences ou de salons, voici quelques points à checker pour bien faire les choses !

Qu’il s’agisse de vos prestataires, de votre staff (l’administration des ventes ou les hôtesses d’accueil par exemple), savez-vous que les règles doivent être mentionnées dès la capture du premier e-mail de votre participant dans le fameux « privacy & conscent » ? Pas de panique, pas besoin de les nommer individuellement, mais pensez à ajouter les catégories susceptibles d’entrer en contact avec de la donnée participant nominative.

ah… le on-site, l’antre de la dernière minute et du « je cours partout ». Conséquences : je donne mes mots de passe, voire je les note en gros sur un post-it… Faites un process et une note à vos équipes en ce sens, il est capital de ne pas exposer l’accès à l’information. Cela vous protègera en tant que personne morale lors du procès…

La sécurité des donnés ce n’est pas juste « rentrer dans l’ordinateur », c’est aussi se faire piquer l’ordinateur. Tous les accès aux serveurs et postes contenant la donnée doivent faire l’objet de surveillance continue, ou à défaut être protégés par un moyen physique (d’où la porte fermée par exemple). Pensez-y.

OK, chacun son trip. Bien, tout d’abord ce n’est pas très respectueux de l’environnement, mais on sait qu’il est fréquent dans l’évènementiel d’imprimer listings et autres données. Et bien en théorie (non, en fait même en pratique) la donnée personnelle imprimée est assujettie à la RGPD : vous devez savoir ce qui a été imprimé, l’archiver et/ou le détruire selon votre process de gestion de la donnée.

Il est certes important d’avoir Audité techniquement vos prestataires Logiciel, mais avez-vous pensé au données gérées par les matériels On-Site ? (scanners, Borne de synchronisation) Comment ces donnés transitent t’elles sur l’écosystème matériel ?

Désolé pour le charabia tech, mais le message est simple : les technologies on-site ne se découvrent pas le jour de l’ouverture : elles sont parfois nombreuses et certaines sont soit datées, non sécurisées ou font appel à des données de manière peu orthodoxe. Bref, au-delà du jargon (et c’est bien le problème) beaucoup de technologie et de données (donc des failles potentielles) jalonnent le On-site. Il est essentiel qu’un « contrat » garantissant la sécurité et la protection des données soit mis en place avec les prestataires. Ce contrat doit être pratique et lisible et pour chaque prestation (software et matériel) une liste des engagements de gestion de la donnée et de sécurité doit être faite, en cohérence avec le schéma directeur de votre politique RGPD. Vous voici, je l’espère, à minima sensibilisé au fait que la RGPD passe aussi par le On-site, un facteur que l’on a souvent tendance à négliger : on s’ouvre alors à la déconstruction de tout le travail fait en amont et on s’expose a des risques finalement assez simples à maîtriser.