Depuis le 25 mai 2018 est en vigueur le Règlement Général sur la Protection des Données (RGPD) dans toute l'Union européenne.

L'esprit de ce règlement : protéger les citoyens par rapport à l'utilisation qui est faite de leurs données personnelles (nom, prénom, adresse, email, historique d'achat, préférences, photos, ...)

Si une partie des dispositifs étaient déjà plus ou moins en vigueur en France et font parti du "bon sens" (quand on se met à la place du citoyen), le RGPD renforce cependant le formalisme à suivre, notamment dans la manière dont les données doivent être conservées et les rapports avec vos prestataires traitant ce type de données.

Et la liste des prestataires concernés peut être longue : solution de billetterie, CRM, imprimeur de mailing papier, plateforme d'envoi d'email, prestataire de contrôle à l'entrée, community manager freelance, revendeurs, photographes, plateforme de suivi d'audience de votre site internet, réseaux sociaux, prestataire de paye, ... finalement n'importe quel interlocuteur qui accède à la moindre donnée personnelle de vos spectateurs, fournisseurs ou salariés.

De nombreux prestataires proposent de gérer tout cela à votre place mais attention cependant, la CNIL a appelé à la plus grande vigilance à l'encontre de nombre d'entre eux. On a aussi assisté à une frénésie d'acteurs paniqués qui ont cru bon envoyer des emails par centaines pour obtenir des consentements qui n'étaient pas toujours nécessaires ...

Le plus efficace est probablement de vous approprier le sujet vous même, à partir des guides de la CNIL par exemple, qui expliquent assez bien la démarche à suivre.

Sans prétendre couvrir tous les aspects de la loi, nous avons cependant essayé de retenir quelques éléments clé appliqués à notre univers (événements, billetterie, culture, ...) et aussi tordre le cou à quelques croyances.

TOP 5 de ce qu'il FAUT faire

mettre en place une procédure claire qui permet de supprimer vraiment partout (dans ses propres fichiers mais aussi chez tous les presta avec qui vous avez partagé des données personnelles) des données personnelles liées à un spectateur qui demanderait sa suppression ou dont la durée de conservation est dépassée (36 mois faute d'accord renouvelé par le spectateur)
documenter la gestion de chaque donnée personnelle (qui / quoi / comment / où / jusque quand / comment) à l'aide d'une cartographie interne (dont un modèle peut être téléchargé sur le site de la Cnil) et garder une trace prouvant la conformité globale (notamment les contrats avec vos prestataires qui manipulent des données personnelles) et expliquer dans les grandes lignes ce que vous en faites à vos spectateurs, dans un français intelligible pour des non juristes
vérifier les services ou modules sur votre site internet qui posent des cookies utilisant des données personnelles comme les solution de suivi d'audience, des espaces publicitaires ou des widgets de réseaux sociaux : faites en sorte que ce ne soit plus le cas sans véritable accord du visiteur au minimum tous les 13 mois (avec des services comme tarteaucitron.js) ou retirez les de votre site
désigner un délégué à la protection des données qui sera notamment le correspondant de l'administration en cas de contrôle. Ce n'est pas toujours obligatoire (en particulier dans les petites structures) mais avoir un "pilote" pour suivre tout ça est tout de même grandement conseillé !
conserver une trace exacte et précise de des accords donnés (les fameux onsentements) : si votre visiteur a coché une case en face d'une mention "j'accepte de recevoir la newsletter du festival SuperRock", conservez le précisément (mention, horodatage & adresse IP)

TOP 5 de ce qu'on NE DOIT PLUS faire

fin des formulaires d'inscription non explicites : on ne peut se contenter d'une mention floue du type "j'accepte les conditions générales" ou d'un charabia juridique permettait d'utiliser les données sans trop se poser de questions. Il faut expliquer clairement ce à quoi vont servir les données personnelles que vous allez collecter et conserver. Et pour les utilisations nécessitant un consentement (abonnement newsletter par exemple), il faudra mettre une case à cocher ... non précochée !
fin du fichier bricolé à la main : pour ajouter des adresses dans son fichier, il vous faut une preuve que leurs propriétaires ont bien demandé à y être (un consentement) sauf à être dans un des cas d'exception (prospection B2B, intérêt légitime, ...). Si vous avez une preuve - par exemple si un spectateur a inscrit son adresse sur sur un formulaire papier pour recevoir votre newsletter - vous devrez la conserver tant que son adresse est dans votre fichier (ou tant qu'il n'a pas re-confirmé par un autre moyen qu'il est d'accord pour en faire parti : nous pouvons d'ailleurs lui envoyer un email de confirmation pour vous alléger de cette problématique ...).
fin du partage de fichier sans y avoir été autorisé : on ne peut pas envoyer un email à propos d'une promo sur un "abonnement Deezerify" à quelqu'un qui n'a accepté que la newsletter du "concours SuperRock", ni à celui qui a acheté un billet pour le "concours SuperRock en partenariat avec Deezerify" mais qui n'aurait pas accepté de sollicitations commerciales
fin des fichiers que l'on garde sans trop se poser de question : si elles ne vous sont vraiment pas utiles, supprimez les données personnelles que vous avez dans un coin de votre PC, dans votre boite email ou vos sauvegardes. Moins vous avez de fichiers à surveiller, documenter, ... moins il y a de risques de voir votre responsabilité engagée. Pour ceux que vous voulez conserver, vérifiez à deux fois que vous avez le droit de le faire. Vous pouvez aussi faire du ménage : si vous demandez le code postal de vos visiteurs pour savoir dans quelle ville améliorer votre communication l'année suivante, ne conservez dans votre fichier que la donnée "code postal" et supprimez le reste (nom, prénom, ...)
fin des accès partagés sur les outils permettant d'accéder à des données personnelles : pour savoir vraiment qui consulte / utilise / télécharge des données personnelles, veillez à avoir des accès nominatifs sur vos outils de marketing ou billetterie, en bloquant l'accès aux données personnelles à vos collaborateurs qui n'ont pas à y accéder. Cela vous permettra de limiter les risques.

TOP 5 de ce qu'on peut CONTINUER à faire

recontacter les spectateurs de l'édition 2017 d'un festival pour leur permettre d'acheter une place pour l'édition 2018 pour peu de prendre quelques précautions : on est dans le cas légitime de personnes déjà clientes dont vous avez conservé les coordonnées et à qui vous proposez une offre analogue. Dans les précautions à prendre : les informer (pas besoin de case à cocher : une mention claire suffit et nous nous en occupons côté Mapado), ne pas leur proposer une offre pour un événement qui n'a rien à voir avec leurs précédentes emplettes et vérifier qu'elles ne s'y sont pas opposées.
importer vos fichiers clients dans votre CRM Mapado pour optimiser votre prospection : à partir du moment où les personnes présentes dans vos fichiers vous ont acheté des places ou produits, vous pouvez en conserver un historique (sauf si elles s'y opposent évidemment) pour peu de les informer explicitement. Si ça n'a pas été le cas lors de la commande, vous pouvez leur envoyer un email pour leur expliquer que leurs données sont conservées suite à l'achat en question, en leur expliquant comment s'y opposer si elles le souhaitent (nous pouvons vous y aider au besoin). Le CRM Mapado vous permet aussi de dédoublonner et tenir à jour les informations, qui est une des dispositions de la RGPD.
faire du contrôle à l'entrée alternatif : vos spectateurs n'ont pas imprimé leur billet et leur téléphone n'a plus de batterie ? vos spectateurs viennent retirer leurs billets à l'entrée sans disposer de numéro de réservation ? Dans ces deux cas, vous pouvez les retrouver instantanément et valider leur billet en n'entrant que leurs nom dans l'interface sécurisée de la solution de contrôle d'accès Mapado. Vous pouvez continuer à le faire car vous êtes bien dans le cas d'une obligation contractuelle ou d'un intérêt légitime pour délivrer la prestation.
continuer d' envoyer votre newsletter : dans la plupart des cas, votre base d'abonnés est probablement déjà "conforme", notamment si vous utilisez une solution du marché qui envoie un email de demande de confirmation d'abonnement et conserve un historique du consentement initial. C'est aussi probablement le cas si vous avez un public de professionnels B2B et que votre newsletter vous sert à prospecter ces derniers. Inutile dans ces cas d'envoyer à vos correspondants un énième email pour leur demander leur consentement (ce pourrait même être dans certains cas illégal de le faire !). Vous pouvez par contre leur rappeler dans un coin de votre newsletter qu'ils font partie de votre listing et comment s'en désinscrire.
rester vigilent sur le sujet : de nouvelles réglementations sur le sujet arrivent comme la nouvelle mouture du règlement ePrivacy, qui vont encore un peu changer la donne ... mais rassurez-vous, nous serons là pour vous accompagner, et on peut d'ors et déjà préparer le terrain ensemble !

Et la billetterie et le CRM Mapado dans tout ça ?

Nous avons à coeur depuis notre lancement de respecter la réglementation en terme de données personnelles. Avec l'entrée en vigueur de la RGPD, nous avons simplement amélioré le formalisme des bonnes pratiques que nous avions mis en oeuvre.

Par exemple, nous continuerons de conserver dans les conditions d'archivages durables et sécurisées les données personnelles liées à la billetterie prévues par la loi, tout comme nous gérons des niveaux d'autorisation différents au sein de votre équipe pour permettre de limiter qui a accès aux données personnelles depuis l'Espace Pro. Nous conservons également les historiques des achats dans le CRM pour vous permettre une prospection future dans le respect du cadre fixé par la CNIL. Nos prestataires de paiement conservent également les données bancaires au moins 5 ans dans le cadre de la LCB-FT Européenne.

Nous vous permettons de télécharger des listings depuis l'Espace Pro pour les utiliser par ailleurs (export newsletter notamment) mais il vous incombe de vous assurer que l'usage que vous faites des données téléchargées est bien légal, et notamment de bien tenir compte de la mention d'optin que vos spectateurs ont coché (s'ils n'ont pas donné leur accord, vous ne pouvez pas les inscrire à votre newsletter par exemple). Il vous incombe aussi d'assurer la sécurité de vos identifiants et des fichiers ainsi téléchargés.

A noter qu'une mention d'optin complémentaire peut être mise en place sur le formulaire de paiement sur votre billetterie Mapado. Nous vous proposons un texte par défaut mais si vous souhaitez le supprimer ou le modifier, vous pouvez le faire depuis votre Espace Pro dans les paramètres de la billetterie. Mettre en place cette mention avec un périmètre d'usage assez large est probablement une bonne chose à faire en prévision de la prochaine mouture du règlement e-Privacy qui pourrait entrer en vigueur d'ici fin 2018 ...

De même, lorsque un client vous confie son email lors d'une vente sur place (au guichet), nous faisons en sorte de lui envoyer automatiquement un email de confirmation pour qu'il valide l'utilisation de ses données personnelles et que votre fichier soit bien en règle.
Cet article a-t-il répondu à vos questions ?
Merci !