Un événement de 300 personnes, c’est 300 formulaires d’inscription, des listes de présence, des scans de badges, des emails de confirmation, des photos et peut-être une newsletter de suivi. Autant de points de collecte de données personnelles, autant d’obligations RGPD. En tant qu’organisateur, êtes-vous vraiment en conformité ? La question mérite d’être posée sans détour. Cet article passe en revue les obligations concrètes qui s’appliquent à votre activité — de la collecte des données participants à la sécurité de la plateforme que vous utilisez — pour vous permettre d’agir, et non de subir.
RGPD : un règlement européen qui s’applique aussi aux événements
Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données s’applique à toute organisation traitant des données personnelles de résidents européens, quelle que soit sa taille. Pour un organisateur d’événements, cela signifie concrètement que chaque collecte de données — y compris une liste de présence papier ou un scan de badge — constitue un traitement au sens du RGPD et déclenche des obligations. Les sanctions de la CNIL sont réelles : en 2024, l’autorité a prononcé 87 sanctions représentant plus de 55 millions d’euros d’amendes cumulées (source : CNIL, rapport d’activité 2024). Ce n’est pas une raison de paniquer, c’est une raison d’agir.
Les deux acteurs clés : responsable de traitement et sous-traitant
Le RGPD repose sur une distinction fondamentale : le responsable de traitement (Data Controller) et le sous-traitant (Data Processor). En tant qu’organisateur, vous êtes le responsable de traitement : vous décidez pourquoi et comment les données sont collectées. La plateforme événementielle que vous utilisez est votre sous-traitant : elle traite les données pour votre compte, selon vos instructions. Cette distinction a une conséquence directe : même si vous déléguez à une plateforme, vous restez responsable devant la loi des pratiques de ce sous-traitant. Nous reviendrons sur ce point crucial dans la dernière section.
À retenir
En tant qu’organisateur, vous êtes le responsable de traitement.
La plateforme que vous choisissez est votre sous-traitant.
Vous répondez de ses pratiques devant la loi.
Événements B2B : des obligations souvent sous-estimées
Idée reçue courante : « les données professionnelles ne sont pas concernées par le RGPD ». C’est inexact. Les coordonnées d’un salarié — son nom, son email professionnel, son intitulé de poste — sont des données personnelles au sens du règlement. Conférences métier, salons professionnels, séminaires clients : tous sont concernés. La base légale de l’« intérêt légitime » est souvent applicable en B2B pour l’envoi d’invitations ou le suivi commercial, mais elle doit impérativement être documentée dans votre registre des traitements. Elle ne dispense pas d’informer les personnes.
Événements B2C : un niveau d’exigence encore plus élevé
En B2C, le consentement explicite est fréquemment requis, notamment dès que le traitement va au-delà de l’organisation logistique de l’événement. Photos et vidéos de l’événement diffusées publiquement, collecte de données de santé pour un événement sportif, traitement de données d’enfants mineurs : autant de cas sensibles qui requiert une attention particulière. Un point est fréquemment négligé : la communication post-événement — envoi d’un replay, questionnaire de satisfaction, newsletter de suivi — nécessite une base légale distincte de la simple inscription. Le consentement obtenu pour l’inscription ne vaut pas consentement pour des communications ultérieures.
Événement B2B2C
Certains événements B2B peuvent aussi impliquer des accompagnants comme les conjoints, voir les enfants. Par exemple sur des événements de type “family days” où l’entreprise, l’usine, la manufacture est ouverte aux proches pour faire découvrir le métier d’un parent employé.
Certaines entreprises qui font partie du patrimoine industriel peuvent aussi ouvrir leurs portes lors des journées du patrimoine.
Il y a alors un mélange de participants employés et de participants ou d’invités “grand public”
Que doit contenir une notice d’information conforme ?
L’article 13 du RGPD impose un contenu précis à toute notice d’information : l’identité et les coordonnées du responsable de traitement, les finalités et la base légale de chaque traitement, les destinataires ou catégories de destinataires des données, la durée de conservation, les droits des personnes et la manière de les exercer, les coordonnées du DPO si votre organisation en désigne un, et l’existence d’éventuels transferts hors Union européenne. Cette notice doit être rédigée en langage clair et compréhensible — le jargon juridique n’est pas un alibi, c’est un obstacle.
À quel moment l’information doit-elle être délivrée ?
Le principe est simple mais non négociable : l’information doit précéder la collecte. En pratique, cela implique de la rendre accessible sur le formulaire d’inscription en ligne (avant la soumission), dans l’email de confirmation d’inscription, sur l’application de gestion des accréditations et à la borne d’enregistrement sur site. Placer un lien vers la politique de confidentialité en pied de page d’un email n’est pas suffisant. L’information doit être visible, accessible et présentée avant que la personne ne fournisse ses données.
Identifier la bonne base légale selon le type d’événement
Chaque traitement doit reposer sur l’une des bases légales prévues par le RGPD.
Les bases légales les plus fréquentes dans l’événementiel sont les suivantes :
• Consentement : utilisé notamment pour l’envoi d’une newsletter post-événement, ainsi que pour l’exploitation de photos et vidéos. Il doit être libre, spécifique, éclairé et révocable à tout moment.
• Intérêt légitime : souvent mobilisé pour l’envoi du programme, les relances commerciales B2B ou certaines communications liées à l’événement. Son utilisation nécessite une balance des intérêts documentée entre les besoins de l’organisateur et les droits des personnes concernées.
• Exécution du contrat : concerne par exemple une inscription payante ou la remise d’un badge nécessaire à la participation. Cette base légale doit rester limitée aux données strictement nécessaires à l’exécution du service demandé.
L’erreur classique est d’utiliser le consentement comme base légale par défaut, alors que l’exécution du contrat ou l’intérêt légitime sont souvent plus adaptés — et moins contraignants à gérer. L’important est de définir la base légale en amont et de la documenter.
Minimisation des données : ne collecter que le nécessaire
Le principe de minimisation est l’un des fondements du RGPD : on ne collecte que les données strictement nécessaires aux finalités déclarées. Appliqué à l’événementiel, il conduit à se poser des questions concrètes : la date de naissance est-elle réellement nécessaire pour une conférence métier ? Le numéro de téléphone est-il indispensable si toute la communication se fait par email ? Répondre à ces questions avant chaque événement est plus efficace qu’un audit annuel.
Formulaire d’inscription : les bonnes pratiques
La conformité se joue aussi dans les détails du formulaire. Cases à cocher non pré-cochées, libellés de consentement clairs et distincts par finalité (une case pour l’inscription, une autre pour la newsletter), lien vers la politique de confidentialité visible avant soumission, absence de champ obligatoire non justifié : chaque élément compte. Une plateforme événementielle conforme doit vous permettre de configurer ces paramètres sans détournements techniques. Si votre outil ne le permet pas, c’est un signal d’alerte.
Fixer des durées adaptées à chaque finalité
Il n’existe pas de durée universelle de conservation : elle dépend de la finalité de chaque traitement. Quelques repères raisonnables : les données de facturation doivent être conservées 10 ans en application des obligations comptables légales ; les données de contact pour la prospection commerciale, 3 ans à compter du dernier contact selon la recommandation CNIL ; les données de participation à un événement, 12 mois maximum pour des besoins statistiques. Ces durées doivent impérativement être documentées dans votre registre des traitements. Beaucoup d’organisateurs conservent des données indéfiniment faute de procédure : c’est une non-conformité en soi.
Chez Appcraft nous recommandons de conserver les données 3 mois après l’événement. Dans 90% des cas, c'est largement suffisant.
Accréditations, badges et données de présence : le cas particulier
Les données collectées lors du scan de badges méritent une attention particulière. L’heure d’entrée, les sessions visitées, les interactions avec des exposants : ce sont des données comportementales à part entière. Elles doivent être couvertes par une base légale explicite, mentionnées dans la notice d’information, et supprimées selon une durée définie. Ce point est fréquemment ignoré lors d’événements professionnels, y compris dans des organisations qui considèrent par ailleurs leur conformité RGPD bien maîtrisée.
Droit d’accès, de rectification et d’effacement
Les articles 15, 16 et 17 du RGPD garantissent aux participants le droit d’accéder à leurs données, de les faire rectifier et d’en demander la suppression. Vous disposez en principe d’un mois pour répondre à une demande (extensible à 3 mois pour les demandes complexes). Cas concret : un participant demande la suppression de ses données après l’événement. Vous devez être en mesure d’effacer son profil de votre plateforme, des listes d’emailing associées et de toute base tiers à qui vous auriez transmis ses informations. Si votre plateforme ne permet pas cette suppression à la demande, c’est un problème.
Droit d’opposition et retrait du consentement
Le droit d’opposition s’applique aux traitements fondés sur l’intérêt légitime : le participant peut s’y opposer à tout moment, et vous devez cesser ce traitement sauf motif impérieux. Le retrait du consentement concerne les traitements fondés sur le consentement : il doit être aussi simple que son octroi. Un lien de désinscription dans chaque email ne suffit pas si d’autres traitements fondés sur le consentement sont en cours. L’exercice de ces droits doit s’appliquer à l’ensemble des traitements concernés, pas seulement à l’envoi d’emails.
Comment organiser le traitement de ces demandes en pratique ?
Pas besoin d’un DPO à temps plein pour traiter efficacement les demandes de droits. Une gouvernance légère suffit dans la majorité des cas : désigner un référent RGPD interne (même à temps partiel), créer une adresse email dédiée aux demandes (du type privacy@votreentreprise.fr), documenter chaque demande et sa réponse dans un registre simple, et s’assurer que votre plateforme permet l’export et la suppression des données à la demande. Pour les organisations de taille moyenne, un DPO externalisé peut apporter le conseil juridique nécessaire sans les contraintes d’un recrutement dédié.
Le DPA (Data Processing Agreement) : le premier document à exiger
L’article 28 du RGPD impose la signature d’un contrat de sous-traitance (Data Processing Agreement, ou DPA) entre l’organisateur et toute plateforme qui traite des données personnelles pour son compte. Ce document doit préciser l’objet et la durée du traitement, sa nature et sa finalité, le type de données traitées, les obligations du sous-traitant en matière de sécurité et de confidentialité, les conditions de sous-traitance ultérieure et les modalités d’audit. L’absence de DPA est une non-conformité en soi — elle vous expose en cas de contrôle, indépendamment de la qualité des mesures techniques en place. Une plateforme qui ne propose pas de DPA ne peut pas être qualifiée de conforme.
Hébergement européen et sécurité technique : les critères non négociables
Au-delà du DPA, plusieurs critères techniques doivent être vérifiés. L’hébergement des données sur des serveurs localisés dans l’Union européenne est un préalable indispensable. Les transferts hors UE — notamment vers des sous-traitants américains soumis au Cloud Act — exposent à des risques juridiques réels qui doivent être encadrés par des clauses contractuelles types (CCT) ou d’autres mécanismes.
À ce titre un hébergement même sur des serveurs en Europe ou même en France chez un acteur étasunien comme AWS pour Amazon ou Azure pour Microsoft vous expose au Cloud Act américain. Le chiffrement des données en transit et au repos, la gestion des droits d’accès, la traçabilité via des journaux d’audit, un plan de réponse aux incidents (avec notification à la CNIL sous 72 heures en cas de violation) et des certifications reconnues comme l’ISO 27001 sont des indicateurs sérieux de maturité sécurité.
Chez AppCraft, ces exigences sont intégrées à l’architecture de la plateforme : hébergement en France sur des serveurs OVH (société française), données participants inaccessibles au moteur IA, anonymisation garantie par architecture et DPA disponible pour chaque client.
Checklist pour choisir une plateforme vraiment conforme au RGPD
Avant de signer avec un prestataire, vérifiez point par point :
1. Le prestataire propose-t-il un DPA (contrat de sous-traitance RGPD) signé et à jour ?
2. Les données sont-elles hébergées exclusivement au sein de l’Union européenne ?
3. La société d’hébergement est-elle soumise à une législation incompatible avec la législation européenne, comme le Cloud Act américain par exemple ?
4. Le chiffrement des données est-il assuré en transit (TLS) et au repos ?
5. La plateforme propose-t-elle des journaux d’audit et une traçabilité des accès ?
6. Dispose-t-elle d’une procédure de notification en cas de violation de données (72h CNIL) ?
7. Le formulaire d’inscription est-il configurable pour respecter la minimisation et le consentement ?
8. La suppression des données d’un participant peut-elle être réalisée à la demande, rapidement ?
9. La plateforme dispose-t-elle d’une certification reconnue (ISO 27001 ou équivalent) ?
10. Les sous-traitants de la plateforme sont-ils identifiés et couverts par des garanties contractuelles ?
11. L’équipe commerciale ou juridique peut-elle répondre à vos questions RGPD sans délai excessif ?
La conformité RGPD dans l’événementiel n’est pas une affaire de juriste : c’est une affaire d’organisateur. Les obligations sont concrètes, les risques réels, et les solutions existent — y compris pour des organisations sans DPO dédié. L’essentiel est de structurer sa démarche : documenter ses traitements, choisir une plateforme réellement conforme, informer les participants et se donner les moyens de répondre à leurs droits.
Au-delà de la conformité stricte, la protection des données est aussi un levier de confiance. Des participants qui savent que leurs données sont traitées avec sérieux s’inscrivent plus facilement, partagent des informations plus pertinentes et reviennent aux éditions suivantes. La rigueur RGPD, bien menée, est un avantage concurrentiel autant qu’une obligation légale.
Pour aller plus loin : la mise en conformité RGPD soulève naturellement d’autres questions connexes, comme la gestion des cookies sur votre site événementiel, la politique de conservation des données CRM entre deux éditions d’un même événement, ou encore les enjeux spécifiques des événements hybrides où les participants en ligne et en présentiel ne sont pas soumis aux mêmes traitements. Autant de sujets que nous continuerons d’explorer.
