RGPD : Respecter les lois de protection des données personnelles

RGPD : Respecter les lois de protection des données personnelles

Depuis le 25 mai 2018 est en vigueur le Règlement Général sur la Protection des Données (RGPD) dans toute l'Union européenne.
L'esprit de ce règlement : protéger les citoyens par rapport à l'utilisation qui est faite de leurs données personnelles (nom, prénom, adresse, email, historique d'achat, préférences, photos, ...)
Si une partie des dispositifs étaient déjà plus ou moins en vigueur en France et font parti du "bon sens" (quand on se met à la place du citoyen), le RGPD renforce cependant le formalisme à suivre, notamment dans la manière dont les données doivent être conservées et les rapports avec vos prestataires traitant ce type de données.
Et la liste des prestataires concernés peut être longue : solution de billetterie, CRM, imprimeur de mailing papier, plateforme d'envoi d'email, prestataire de contrôle à l'entrée, community manager freelance, revendeurs, photographes, plateforme de suivi d'audience de votre site internet, réseaux sociaux, prestataire de paye, ... finalement n'importe quel interlocuteur qui accède à la moindre donnée personnelle de vos spectateurs, fournisseurs ou salariés.
De nombreux prestataires proposent de gérer tout cela à votre place mais attention cependant, la CNIL a appelé à la plus grande vigilance à l'encontre de nombre d'entre eux. On a aussi assisté à une frénésie d'acteurs paniqués qui ont cru bon envoyer des emails par centaines pour obtenir des consentements qui n'étaient pas toujours nécessaires ... Le plus efficace est probablement de vous approprier le sujet vous même, à partir des guides de la CNIL par exemple, qui expliquent assez bien la démarche à suivre.
Sans prétendre couvrir tous les aspects de la loi, nous avons cependant essayé de retenir quelques éléments clé appliqués à notre univers (événements, billetterie, culture, ...) et aussi tordre le cou à quelques croyances.

Ce qu'il faut faire

  1. Mettre en place une procédure claire qui permet de supprimer vraiment partout (dans ses propres fichiers mais aussi chez tous les presta avec qui vous avez partagé des données personnelles) des données personnelles liées à un spectateur qui demanderait sa suppression ou dont la durée de conservation est dépassée (36 mois faute d'accord renouvelé par le spectateur).
    Lorsqu'elle est disponible, cette information est indiquée dans une fiche contact. Pour la voir, il faut cliquer sur "Compléter la fiche" et ensuite sur "Modifier" qui se trouve à côté de l'indication du consentement. 
  1. Documenter la gestion de chaque donnée personnelle (qui / quoi / comment / où / jusque quand / comment) à l'aide d'une cartographie interne (dont un modèle peut être téléchargé sur le site de la Cnil) et garder une trace prouvant la conformité globale (notamment les contrats avec vos prestataires qui manipulent des données personnelles) et expliquer dans les grandes lignes ce que vous en faites à vos spectateurs, dans un français intelligible pour des non juristes.
  1. Vérifier les services ou modules sur votre site internet qui posent des cookies utilisant des données personnelles comme les solution de suivi d'audience, des espaces publicitaires ou des widgets de réseaux sociaux : faites en sorte que ce ne soit plus le cas sans véritable accord du visiteur au minimum tous les 13 mois (avec des services comme tarteaucitron.js) ou retirez les de votre site.
  1. Désigner un délégué à la protection des données qui sera notamment le correspondant de l'administration en cas de contrôle. Ce n'est pas toujours obligatoire (en particulier dans les petites structures) mais avoir un "pilote" pour suivre tout ça est tout de même grandement conseillé !
  1. Conserver une trace exacte et précise des accords donnés (les fameux consentements) : si votre visiteur a coché une case en face d'une mention "j'accepte de recevoir la newsletter du festival SuperRock", conservez le précisément (mention, horodatage & adresse IP). Si ce sont des consentements pris sur place (liste papier laissée à l'accueil pour recevoir la newsletter, prenez en photo le dispositif (et conservez la photo) qui doit être très précise sur l'usage qui sera fait de cette liste.
    Exemple : Si vous avez obtenu un consentement par une vente au guichet, il faut l'indiquer sur la fenêtre "Confirmer le manuellement le consentement" qui est disponible depuis le bouton "Modifier" sur la fiche de la personne.

Les consentements sont automatiquement enregistrés avec tous les détails nécessaires pour les ventes en lignes via Mapado.

Pensez aussi à vérifier ce que font vos sous traitants de données, en particulier si ceux ci sont basés à l'étranger (solution d'emailing ou publicité en ligne en particulier)
Nous avons consacré un article sur le sujet consultable sur ce lien.

Ce que l'on ne doit plus faire

  1. Fin des formulaires d'inscription non explicites : on ne peut se contenter d'une mention floue du type "j'accepte les conditions générales" ou d'un charabia juridique permettait d'utiliser les données sans trop se poser de questions. Il faut expliquer clairement ce à quoi vont servir les données personnelles que vous allez collecter et conserver. Et pour les utilisations nécessitant un consentement (abonnement newsletter par exemple), il faudra mettre une case à cocher ... non précochée !
  1. Fin du fichier bricolé à la main : pour ajouter des adresses dans son fichier, il vous faut une preuve que leurs propriétaires ont bien demandé à y être (un consentement) sauf à être dans un des cas d'exception (prospection B2B, intérêt légitime, ...). Si vous avez une preuve - par exemple si un spectateur a inscrit son adresse sur sur un formulaire papier pour recevoir votre newsletter - vous devrez la conserver tant que son adresse est dans votre fichier (ou tant qu'il n'a pas re-confirmé par un autre moyen qu'il est d'accord pour en faire parti). Et pensez à prendre en photo votre dispositif complet (affiche, table, formulaire, ...) comme conseillé plus haut.
  1. Fin du partage de fichier sans y avoir été autorisé : on ne peut pas envoyer un email à propos d'une promo sur un "abonnement Deezerify" à quelqu'un qui n'a accepté que la newsletter du "concours SuperRock", ni à celui qui a acheté un billet pour le "concours SuperRock en partenariat avec Deezerify" mais qui n'aurait pas accepté de sollicitations commerciales.
  1. Fin des fichiers que l'on garde sans trop se poser de question : si elles ne vous sont vraiment pas utiles, supprimez les données personnelles que vous avez dans un coin de votre PC, dans votre boite email ou vos sauvegardes. Moins vous avez de fichiers à surveiller, documenter, ... moins il y a de risques de voir votre responsabilité engagée. Pour ceux que vous voulez conserver, vérifiez à deux fois que vous avez le droit de le faire. Vous pouvez aussi faire du ménage : si vous demandez le code postal de vos visiteurs pour savoir dans quelle ville améliorer votre communication l'année suivante, ne conservez dans votre fichier que la donnée "code postal" et supprimez le reste (nom, prénom, ...).
L'idée est de conserver que ce qui est utile dans le but poursuivi.
  1. Fin des accès partagés sur les outils permettant d'accéder à des données personnelles : pour savoir vraiment qui consulte / utilise / télécharge des données personnelles, veillez à avoir des accès nominatifs sur vos outils de marketing ou billetterie, en bloquant l'accès aux données personnelles à vos collaborateurs qui n'ont pas à y accéder. Cela vous permettra de limiter les risques.

Ce qu'on peut continuer de faire

  1. Recontacter les spectateurs de l'édition 2019 d'un festival pour leur permettre d'acheter une place pour l'édition 2021 pour peu de prendre quelques précautions : on est dans le cas légitime de personnes déjà clientes dont vous avez conservé les coordonnées et à qui vous proposez une offre analogue. Dans les précautions à prendre : les informer (pas besoin de case à cocher : une mention claire suffit et nous nous en occupons côté Mapado), ne pas leur proposer une offre pour un événement qui n'a rien à voir avec leurs précédentes emplettes et vérifier qu'elles ne s'y sont pas opposées.
  1. Importer vos fichiers clients dans votre CRM Mapado pour optimiser votre prospection : à partir du moment où les personnes présentes dans vos fichiers vous ont acheté des places ou produits, vous pouvez en conserver un historique (sauf si elles s'y opposent évidemment) pour peu de les informer explicitement. Si ça n'a pas été le cas lors de la commande, vous pouvez leur envoyer un email pour leur expliquer que leurs données sont conservées suite à l'achat en question, en leur expliquant comment s'y opposer si elles le souhaitent (nous pouvons vous y aider au besoin).
    Le CRM Mapado vous permet aussi de dédoublonner et tenir à jour les informations, qui est une des dispositions de la RGPD. En effet, en dédoublonnant, vous conserver un fichier propre ce qui rend votre gestion des données plus simple. Cela vous aide à répondre aux obligations du RGPD.
    Exemple : Si vous avez une demande de suppression des données venant de "Jean Dupont", vous supprimez bien toutes les données de cette personne, qu'elles soient rattachées à la fiche de "jean Dupont / jean1980@gmail.com" ou "Jean Dupond / jean1980@gmail.com" (mal orthographié) ou "jean1980@gmail.com" (qui n'avait pas complété son nom/prénom lors d'un achat antérieur). 
  1. Faire du contrôle à l'entrée alternatif : vos spectateurs n'ont pas imprimé leur billet et leur téléphone n'a plus de batterie ? vos spectateurs viennent retirer leurs billets à l'entrée sans disposer de numéro de réservation ? Dans ces deux cas, vous pouvez les retrouver instantanément et valider leur billet en n'entrant que leurs nom dans l'interface sécurisée de la solution de contrôle d'accès Mapado. Vous pouvez continuer à le faire car vous êtes bien dans le cas d'une obligation contractuelle ou d'un intérêt légitime pour délivrer la prestation.
  1. Continuer d' envoyer votre newsletter : dans la plupart des cas, votre base d'abonnés est probablement déjà "conforme", notamment si vous utilisez une solution du marché qui envoie un email de demande de confirmation d'abonnement et conserve un historique du consentement initial. C'est aussi probablement le cas si vous avez un public de professionnels B2B et que votre newsletter vous sert à prospecter ces derniers. Inutile dans ces cas d'envoyer à vos correspondants un énième email pour leur demander leur consentement (ce pourrait même être dans certains cas illégal de le faire !). Vous pouvez par contre leur rappeler dans un coin de votre newsletter qu'ils font partie de votre listing et comment s'en désinscrire.
  1. Rester vigilent sur le sujet : de nouvelles réglementations sur le sujet arrivent comme la nouvelle mouture du règlement ePrivacy, qui vont encore un peu changer la donne ... mais rassurez-vous, nous serons là pour vous accompagner, et on peut d'ors et déjà préparer le terrain ensemble !

Et Mapado Pro dans tout ça ?

Nous avons à coeur depuis notre lancement de respecter la réglementation en terme de données personnelles. Avec l'entrée en vigueur de la RGPD, nous avons simplement amélioré le formalisme des bonnes pratiques que nous avions mis en oeuvre.

Par exemple, nous continuerons de conserver dans les conditions d'archivages durables et sécurisées les données personnelles liées à la billetterie prévues par la loi, tout comme nous gérons des niveaux d'autorisation différents au sein de votre équipe pour permettre de limiter qui a accès aux données personnelles depuis l'Espace Pro. Nous conservons également les historiques des achats dans le CRM pour vous permettre une prospection future dans le respect du cadre fixé par la CNIL. Nos prestataires de paiement conservent également les données bancaires au moins 5 ans dans le cadre de la LCB-FT Européenne.
Nous vous permettons de télécharger des listings (export des utilisateurs) depuis l'Espace Pro pour les utiliser par ailleurs (export newsletter notamment) mais il vous incombe de vous assurer que l'usage que vous faites des données téléchargées est bien légal, et notamment de bien tenir compte de la mention d'optin que vos spectateurs ont coché (s'ils n'ont pas donné leur accord, vous ne pouvez pas les inscrire à votre newsletter par exemple). Il vous incombe aussi d'assurer la sécurité de vos identifiants et des fichiers ainsi téléchargés ou synchronisés sur des solutions tiers (emailing ou autre).

A savoir : Vous avez la possibilité de personnaliser le champ RGPD de vos formulaires via le menu Paramétrage -> Eléments de communication -> Emails -> Consentement RGPD

Comment retrouver les fiches qui n'ont pas été "actives" depuis 3 ans sur Mapado ?

Selon les organisations, cette définition de fiche active varie. Certains vont considérer que c'est la dernière participation, d'autres la dernière commande, d'autres la dernière fois qu'ils ont cliqué sur une newsletter, ...

Pour retrouver toutes les fiches "inactives" sur Mapado, il vous faut d'abord marquer les fiches que vous considérez actives aujourd'hui :

Pour cela réalisez une segmentation correspondant à vos propres critères de toutes les fiches que vous voulez garder. Dans l'exemple ci dessous :
  1. tous ceux qui ont acheté un spectacle il y a moins de 3 ans (a commandé à partir du 1er juin 2018 si nous sommes le 31 mai 2021)
  2. PLUS ceux qui ont participé aux spectacles de ces 2 dernières saisons 
  3. PLUS ceux qui font partie d'une organisation


On remarque bien que l'on a choisi de "compléter" les segments.

Cela nous donne alors une sélection de fiches qui sont celles que vous considérez actives. Vous pouvez alors les sélectionner puis les modifier :



et ajouter à cette sélection un mot clé par exemple : "Actif Juin 2021" :



Ensuite si vous voulez retrouver au contraire ceux qui ne sont pas actifs ... il suffit de faire une segmentation inverse : Ne contient par le mot clé "Actif Juin 2021" :



Et vous aurez alors bien tous les contacts que vous considérez "inactif" aujourd'hui.
Libre à vous à ce moment là de faire le ménage sur cette sélection (supprimer les fiches, retirer certaines informations des fiches, ...)

Accorder le consentement RGPD à la création d'un nouveau contact

Pour donner le consentement RGPD à un spectateur après son accord voici la démarche à suivre : 

      1. Allez dans la fiche du spectateur et cliquez sur "Compléter la fiche". Une pop-up s'affiche, rendez-vous en bas de celle-ci et cliquez sur "Modifier" : 


      2. Confirmez manuellement le consentement en complétant les informations demandées :


      3. Le consentement du spectateur est donné. Il n'est pas visible sur la fiche du spectateur, pour le voir il faut cliquez sur "Compléter la fiche" et se rendre en bas de la pop-up: 


On voit alors que le consentement a été donné par le spectateur. 

    • Related Articles

    • Impact dans le choix de ses prestataires utilisant des données personnelles

      La mise en application de la RGPD en 2018 au niveau européen consiste à harmoniser - et durcir suite à de nombreux abus - la législation concernant la manipulation de données personnelles de toute personne interagissant avec votre structure. Cela a ...

    • Personnaliser les informations de votre structure et les frais de location

      Dans l'espace pro vous avez la possibilité de personnaliser les informations relatives à votre structure ainsi que les frais de location. Pour cela il faut vous rendre dans le menu Paramétrage > Identité et renseigner les informations qui se trouvent ...

    • Réglementation française des taux de TVA sur les événements

      La TVA en terme de billetterie est parfois complexe à appréhender et il existe de nombreux cas où des taux réduits sont applicables. Dans cette fiche pratique rédigée par l'équipe de Mapado (logiciel de billetterie et CRM), nous faisons une lecture ...

    • Comment utiliser les contingents pour mettre de côté des places

      Les contingents sont un puissant outil pour bloquer des places dans votre jauge sans toutefois avoir à créer une réservation. On peut voir les contingents comme des places condamnées temporairement car affectées à une possible future utilisation. ...

    • Générer des étiquettes d'envoi postal

      Rendez-vous sur la page d'accueil du fichier de contacts. 1 - Définir les listes de diffusion de chaque contact Cette étape est facultative mais très fortement utile pour associer une liste de diffusion à des contacts précis et les retrouver ...