Friday 10 January 2020
ARTICLE

On-side, GDPR's Ghost protocol


Why GDPR is not just a software issue for events.
 
Dis-moi qui tu es, je te dirais qui tu es 
 

Avez-vous essayé lors de vos navigations web de cliquer juste une fois sur le paramétrage des cookies (et oui, comme il faut le faire sur chaque site, vous succombez au « j’accepte »). C’est juste fascinant de voir la pléthore de trackers installés. Toutes ces informations se « désanonymiseront » à votre première souscription email ou achat et feront partie intégrante de votre « profil ».

C’est là que la RGPD intervient : on doit vous proposer le désabonnement par défaut (genre, bien sûr ! On te traque depuis ta première visite et on va te laisser filer comme ça...).
Vous allez effectivement avoir toutes les infos et savoir tout ce qu’on va faire avec votre joli email et vos datas qui en savent plus sur vous que votre beau-frère.
Alors me direz-vous avec la RGPD : c’est « fair », on me dit tout, où est le problème ? Je n’ai qu’à ne pas accepter si je ne veux pas.
Certes, mais disons surtout que vous commencerez par ne pas lire les 20 pages de « privacy & consent », et que vous achèterez le pull en cachemire bleu ou le stylo caméra, parce que quand même il est à -40% en promo. 
Ça sert à quoi la RGP truc alors ? 
 

Honnêtement et à dire vrai, à pas grand-chose. C’est un peu comme mettre un smoking a la fête d’anniversaire du petit cousin. Ça envoie mais ce n’est pas très utile. La réalité est que -en France- les règles CNIL pré-RGPD étaient relativement proche du texte d’aujourd’hui. Pour se faire prendre dans les filets du régulateur il faut vraiment être très « Data méchant ». La réalité est d’ailleurs que les amendes qui ont été distribuées ces dernières années ont pour la plupart été liées à la sécurité des données plus qu’à leur « mauvaise » utilisation. 
Et donc, les évènements ? 
 

Pour la faire courte, la transition avec l’évènement est simple : à part le Logiciel (je sais que vous avez bien travaillé avec votre presta, votre DPO*, mis tous les champs qui vont bien, respecté les règles, fait auditer les risques d’intrusion, désabonné ceux qui le souhaitaient de TOUT l’écosystème de données…. Voilà.) A part le logiciel donc, quel pourrait bien être le maillon faible ?
Je vous le donne en mille Emile, Le ON-SITE : voila bien un détail qui passe souvent à la trappe du RGPD. Alors, chers event planeurs, organisateurs de conférences ou de salons, voici quelques points à checker pour bien faire les choses ! 
LES PERSONNELS AYANT ACCES A LA DONNEE : 
 

qu’il s’agisse de vos prestataires, de votre staff (l’administration des ventes ou les hôtesses d’accueil par exemple), savez-vous que les règles doivent être mentionnées dès la capture du premier e-mail de votre participant dans le fameux « privacy & conscent » ? Pas de panique, pas besoin de les nommer individuellement, mais pensez à ajouter les catégories susceptibles d’entrer en contact avec de la donnée participant nominative. 
LES MOTS DE PASSE PARTOUT : 
 

ah... le on-site, l’antre de la dernière minute et du « je cours partout ». Conséquences : je donne mes mots de passe, voire je les note en gros sur un post-it… Faites un process et une note à vos équipes en ce sens, il est capital de ne pas exposer l’accès à l’information. Cela vous protègera en tant que personne morale lors du procès… 
LES PORTES CA SE FERME : 
 

La sécurité des donnés ce n’est pas juste « rentrer dans l’ordinateur », c’est aussi se faire piquer l’ordinateur. Tous les accès aux serveurs et postes contenant la donnée doivent faire l’objet de surveillance continue, ou à défaut être protégés par un moyen physique (d’où la porte fermée par exemple). Pensez-y. 
MOI, J’IMPRIME ET J’AIME CA : 
 

OK, chacun son trip. Bien, tout d’abord ce n’est pas très respectueux de l’environnement, mais on sait qu’il est fréquent dans l’évènementiel d’imprimer listings et autres données. Et bien en théorie (non, en fait même en pratique) la donnée personnelle imprimée est assujettie à la RGPD : vous devez savoir ce qui a été imprimé, l’archiver et/ou le détruire selon votre process de gestion de la donnée. 
LES TECHNOLOGIES ONSITE A PAPA. 
 

Il est certes important d'avoir Audité techniquement vos prestataires Logiciel, mais avez-vous pensé au données gérées par les matériels On-Site ? (scanners, Borne de synchronisation) Comment ces donnés transitent t'elles sur l'ecosysteme materiel ?

Désolé pour le charabia tech, mais le message est simple : les technologies on-site ne se découvrent pas le jour de l’ouverture : elles sont parfois nombreuses et certaines sont soit datées, non sécurisées ou font appel à des données de manière peu orthodoxe. Bref, au-delà du jargon (et c’est bien le problème) beaucoup de technologie et de données ( donc des failles potentielles) jalonnent le On-site. Il est essentiel qu’un « contrat » garantissant la sécurité et la protection des données soit mis en place avec les prestataires. Ce contrat doit être pratique et lisible et pour chaque prestation (software et matériel) une liste des engagement de gestion de la donnée et de sécurité doit être faite, en cohérence avec le schéma directeur de votre politique RGPD. Vous voici je l’espère au minima sensibilisé au fait que la RGPD passe aussi par le On-site, un facteur que l’on a souvent tendance à négliger : on s’ouvre alors à la déconstruction de tout le travail fait en amont et on s’expose a des risques finalement assez simples à maîtriser. 
 

FEATURED ARTICLES

Léni is in motion

NEWS

2 divisions for a 360 offer : Léni, a key player in the event's technologies in France for many years, has begun a profound transformation. Léni Group is now home to two main brands: Léni Tech Services, its on-site technology services subsidiary, and Klipso, launched on the occasion of the Heavent Paris 2019 show, which brings together its software business.