La gestion adéquate (c’est-à-dire « conforme au RGPD ») des listes de participants est une question épineuse pour de nombreuses entreprises.
Pendant la préparation de cet article, nous apprenons justement que l’Autorité néerlandaise de protection des données a infligé une lourde amende à la Fédération néerlandaise de tennis pour avoir « vendu » les données de ses membres. Un exemple pertinent pour deux raisons : « les membres » pourraient très bien être remplacés par « des participants à un événement », d’une part. Les données n’ont pas été vendues au sens propre, comme le font certaines sociétés de données, mais ont été partagées dans le cadre d’un contrat de sponsoring, d’autre part. Un cas de figure observé régulièrement avec les listes de participants.
Commençons par le commencement. À la question de savoir si les listes de participants contiennent des données à caractère personnel, tout le monde s’accordera à répondre « oui » sans réserve. Bonne réponse, évidemment. Même si une de ces listes ne contient pas de noms, mais seulement des fonctions et des noms d’entreprises, il s’agit de données à considérer comme des données à caractère personnel. Pour certaines fonctions, telles que CEO et CFO, la fonction et l’entreprise correspondante suffisent en effet pour identifier la personne concernée. Ces données sont donc à caractère personnel, sans l’ombre d’un doute.
L’objectif du traitement des données des participants est, bien sûr, qu’ils participent à un événement. Vous souhaitez pouvoir leur communiquer les modalités pratiques. Le fait qu’ils paient ou non pour assister à cet événement n’a pas d’incidence dans ce contexte. Même en cas de participation à un événement gratuit, vous pouvez partir du principe qu’un accord existe. Vous pouvez donc invoquer le « contrat » comme fondement juridique.
Aucun problème, donc, si vous utilisez les données dans le cadre même de l’événement. Les choses se compliquent, en revanche, s’il s’agit de partager les données avec d’autres participants ou des tiers.
Si vous transmettez les données aux autres participants, la question est de savoir si ce transfert est compatible avec l’objectif initial. Supposons que les participants soient invités à préparer des tâches ensemble en vue d’un cours. Ils doivent disposer logiquement des coordonnées des uns et des autres. La communication d’une liste de participants, même avec mention des adresses e-mail et numéros de téléphone, ne pose pas le moindre problème, dans ce cas. Si, en revanche, le transfert de données n’a aucun lien avec l’objectif initial, vous devez pouvoir invoquer un autre fondement juridique.
Il vous reste alors les intérêts légitimes (du responsable du traitement) et l’accord (consentement). Pour pouvoir invoquer les intérêts légitimes, le partage des listes de participants doit être d’une telle importance pour le responsable du traitement qu’il l’emporte sur le droit à la vie privée des participants. Un argument difficilement défendable. Mieux vaut, dès lors, demander aux participants, lors de l’inscription à l’événement, s’ils acceptent que vous transmettiez leurs données aux autres participants.
Autre cas de figure : la communication de listes de participants à des sponsors. Cette situation est comparable à celle de la Fédération néerlandaise de tennis. Deux fondements juridiques peuvent à nouveau être invoqués : les intérêts légitimes et le consentement. Le partage des données des participants ou des membres avec les sponsors est alors considéré comme une vente de données. Les entreprises qui ont pour principale activité la vente de données pourront, elles, bel et bien invoquer des intérêts légitimes : il s’agit, en effet, de leur activité principale. Ce n’est néanmoins pas le cas pour la transmission de données à des sponsors d’événements. Dans ce contexte, je recommande également de demander l’accord des participants.
Gardez également à l’esprit qu’en votre qualité de destinataire d’une telle liste de participants, vous obtenez les données d’un tiers et devez donc vous conformer à l’article 14 du RGPD. Cet article décrit vos obligations d’informer les personnes concernées, notamment sur la source des données. Si vous souhaitez utiliser les données reçues, vous devez donc également respecter les dispositions de cet article.
Vous avez d’autres questions sur le RGPD ? Les membres de l’UBA peuvent contacter gratuitement la GDPR line pour obtenir des conseils de première ligne. Notre partenaire QuaData se fera ensuite un plaisir de vous aider.