Le RGPD, quels impacts concrets pour les gérants de Parcs de Loisirs ?

Contacter Commenter Site Web Page Web
Un concentré de RGPD pour les professionnels du loisir, cela vous tente ? A l’aide d’exemples concrets, de cas pratiques et de quelques définitions, nous détaillons vos obligations et les points ne méritant pas votre attention

Le RGPD, en quoi ça vous concerne ? RGPD (Règlement Général sur la Protection de Données) est un règlement européen qui s’applique à toutes les entreprises qui collectent des données personnelles (ex : nom, prénom, adresse, photos, mail, téléphone, carte de paiement, …). Le RGPD est entré en vigueur depuis le 25 Mai 2018 et donc applicable à compter de cette date, et vise notamment à :

  • Renforcer la protection des citoyens européens, leur garantir des droits sur les données les concernant (consultation, correction, suppression)
  • Responsabiliser les entreprises collectant les données à tous les niveaux de la chaîne : informations utiles et pertinentes uniquement, pour la durée nécessaire, information des personnes concernées

Vous êtes concerné. En effet, si votre Etablissement collecte des données sur ses salariés et sur ses clients ou prospects (via un fichier Excel par exemple) et plus généralement utilise des outils informatiques pour gérer ces données, vous êtes concernés. Votre société est « Responsable du Traitement » de ces données. Quels impacts concrets pour Votre Parc de Loisirs ? Créer un Registre des Données Vous devez recenser les activités de votre établissement qui impliquent la collecte de données personnelles dans un Registre de vos traitements de données. Ce registre doit décrire, pour chaque type de Traitement de Données : L’objectif de la collecte de données

  • Quelles données sont enregistrées
  • Par qui
  • Par quels moyens
  • Pour quelle durée
  • Qui y accède.

Cas Pratique : J’inscris dans mon REGISTRE RGPD Nom du Processus/traitement : Réservation Anniversaires Objectifs des données : Enregistrer les coordonnées des clients et de l’enfant fêté en vue de la réalisation d’une prestation personnalisée d’Anniversaire Données collectées : Nom, Prénom, Date de Naissance de l’enfant fêté, Téléphone et Mail des Parents Intervenants ou destinataire des données : Les Agents d’accueil salariés de l’établissement pour la saisie des données. Le sous-traitant XYZ pour le stockage et l’archivage des données, l’agence de communication ABC pour l’envoi d’emails Moyens & Lieux & flux : les données sont stockées via le Logiciel ABC, sur l’ordinateur/serveur XYZ (ou par le Sous-traitant XYZ) ; Sauvegarde tous les 7 jours, sur le disque externe / serveur XYZ Durée : données conservées pendant une durée d’un an à compter de la collecte des données, et en tout état de cause 5 ans conformément à la prescription légale

Renforcer les mesures de sécurité des Données Il vous faut, si besoin, renforcer la sécurisation de vos données : toute action visant à sécuriser les données est bonne à prendre ; par exemple renforcer vos mots de passe (éviter les 123456 ou AZERTY) ; mettre en place une charte d’utilisation des outils informatiques destinées à vos collaborateurs ; sécuriser physiquement le disque dur sur lequel pour enregistrez vos sauvegardes informatiques ; exigez de votre fournisseur de site web un cryptage SSL, si vos clients s’inscrivent ou réservent en ligne, etc… Pensez bien à reporter ces points dans une section du Registre RGPD. Gérer vos sous-traitants Vos sous-traitants (qui stockent ou gèrent vos données, donc votre fournisseur de site Web, l’hébergeur, etc…) doivent se mettre également en conformité ; vos contrats avec eux, ou bien leurs Conditions Générales de Ventes, doivent évoluer pour garantir que la RGPD est respecté à chaque niveau de la chaine de traitement & stockage des données. A défaut, il faudrait leur faire signer un avenant pour répercuter leurs nouvelles obligations. Communiquez et informez vos clients Via vos CGV Conditions Générales de Ventes, pour vos Anniversaires par exemple, pour expliquer le traitement des données ci-dessus ainsi que les droits des clients. Il est également conseillé d’ajouter une « Politique de Confidentialité » sur votre site web, afin d’expliquer votre mise en conformité et garantir cette même transparence. Il faut s’assurer que les clients soient informés des traitements de leurs données via cette politique avant que vous ne les traitiez. L’idéal est d’inclure un lien et une référence à cette politique de Confidentialité. Vos clients ont des droits de consultation, de rectification, et un droit de suppression et d’autres ! Vous devrez y répondre dans un délai raisonnable. Obtenez son consentement écrit, SI BESOIN Le consentement de vos clients pour enregistrer leurs données est-il obligatoire ? NON, si c’est dans le cadre d’une prestation de service (donc un contrat, même non écrit), par exemple un Anniversaire (voir ci-dessus) ou une Simple entrée au Parc, s’il est justifié de recueillir ces informations pour la réalisation et le bon déroulement de la prestation (par exemple : l’âge des enfants peut être nécessaire pour des questions de sécurité d’accès à certains jeux). NON également, pour communiquer sur une prestation similaire à la prestation initiale (exemple : relance Anniversaire l’année suivante, … ou revisite du Parc pour un client déjà venu, etc.). Il faudra cependant en informer les clients dans vos CGV ou Politique de Confidentialité, en les informant de leur droit de retrait. OUI, si c’est un prospect qui n’a jamais visité le parc, pour faire de la promotion, du marketing, de la publicité ; pour communiquer sur d’autres services auprès de client connu après la prestation de service initiale. A fortiori dans le cas de transmission des données à un partenaire / un tiers ; donc pour UTILISER les données récoltées ; il vous faudra un consentement exprès traçable (ex : case à cocher). Que faire de vos fiches clients existantes ? Vous voulez communiquer auprès de vos clients déjà enregistrés ?

  • Si vous aviez obtenu un consentement (par un site web, un e-mail ou un papier signé) et en avez gardé la preuve, vous pouvez continuer à communiquer vers eux.
  • Un consentement à l’époque mais pas de preuve conservée ? Vous devez redemander leur consentement à vos clients via par exemple une campagne email de requalification, en leur demandant leur consentement sur vos nouvelles conditions ou politique de confidentialité et en précisant qu’à défaut de réponse sous une certaine période, vous pourrez considérer que le consentement est donné.
  • Pas de consentement à l’époque ? Vous n’avez en théorie pas le droit de les solliciter pour une requalification et obtenir de nouveau leur consentement. Normalement ces données doivent être supprimées.

Un « DPO » (Data Protection Officer) est-il obligatoire ? Dans certains cas, les entreprises « responsable du traitement » doivent se doter d’un DPO. Est-ce obligatoire ? NON, peu de chance dans votre cas, sauf à demander des informations sensibles à vos clients (exemple : dossier de santé) Enfin, attention à quelques arnaques possibles ! La CNIL, la DGCCRF et le gouvernement mettent en garde contre certaines pratiques abusives concernant la RGDP : https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir Pour plus d’information : https://www.cnil.fr/fr/rgpd-par-ou-commencer https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd