The GDPR in the events industry

Yes, the GDPR (General Data Protection Regulation) fully applies to event organizers, whether they operate in B2B or B2C. Here are the key points to remember: • Collection of personal data: Organizers systematically collect personal information (names, email addresses, preferences, etc.) during registration, badge issuance, satisfaction surveys, or post-event interactions. • Data processing: The GDPR regulates all operations involving this data (collection, storage, use, sharing, deletion), regardless of the format of the event (physical, hybrid, virtual). Penalties for non-compliance Organizers are liable to fines of up to 4% of global turnover or €20 million (whichever is higher), as well as significant reputational risks.

• Explicit consent: Participants must be clearly and accurately informed about how their data will be used (e.g., sending information, personalizing the experience, sharing with partners). Their consent must be freely given, specific, informed, and revocable at any time. • Transparency: Organizers must explain why and how data is collected, and how long it will be stored. Legal notices and privacy policies must be accessible and understandable. • Data security: Data must be protected against unauthorized access, loss, or leaks. This includes choosing a GDPR-compliant host (ideally in Europe) and implementing technical measures (encryption, audits, etc.). • Participants' rights: Organizers must allow participants to exercise their rights (access, rectification, erasure, portability, objection) over their data.

The GDPR applies to any information that can be used to identify, directly or indirectly, a natural person. In the events industry, this includes: Basic identification data • First and last name • Email address, phone number • Postal address • Badge number or unique identifier Event-related data • Registration and attendance history • Preferences (e.g., choice of workshops, dietary requirements) • Payment details (if the event is paid) • Photos, videos, or recordings (if participants are identifiable) Sensitive data (often subject to stricter rules) • Health data (e.g., allergies, accessibility) • Biometric data (e.g., facial recognition for access) Behavioral data • Online behavior (e.g., clicks on an event website, interactions on an app) • Geolocation data (if collected via an app or connected badge) Any data that can be used to track or identify a participant, even indirectly, is concerned Data that is prohibited from being collected • Political, religious, or union opinions • Ethnic origin or genetic data

a. Collection and purpose • Data minimization: Only collect data that is strictly necessary for the stated purpose (e.g., do not ask for a social security number when registering for a trade show). • Explicit purpose: Data may only be used for the purposes stated at the time of collection (e.g., if consent is given for the sending of information about the event, it may not be used for unrelated commercial solicitation). b. Storage • Limited duration: Data must not be stored for longer than necessary. For example: ◦ Contact details for an event: to be deleted after the event, unless the participant has consented to receive future communications. ◦ Payment details: to be stored only for the legal billing period. c. Sharing and subcontracting • Prohibition of resale: Data may not be sold or shared with third parties without the explicit consent of participants. • Supervision of service providers: Any subcontractor (e.g., registration platform, host) must guarantee GDPR compliance and sign a data processing agreement (DPA). d. Participants' rights • Right of access, rectification, and erasure: Participants may request to view, modify, or delete their data at any time. • Right to be forgotten: Organizers must be able to erase all traces of a participant if requested. • Right to portability: Participants may retrieve their data in a structured and commonly used format. e. Security and traceability • Enhanced protection: Data must be secured (encryption, restricted access, regular audits). • Traceability: Organizers must keep a record of data processing and be able to prove compliance in the event of an audit. These limits are intended to protect privacy and prevent abuse, while allowing for the efficient organization of events.

Voici une synthèse des bonnes pratiques pour garantir la conformité RGPD dans l’organisation d’événements, adaptées aux enjeux spécifiques du secteur en 2025 : 1. Avant l’événement : Préparation et transparence 1. Avant l’événement : Préparation et transparence a. Cartographie des données • Identifier les données collectées : Lister toutes les données personnelles recueillies (inscriptions, badges, enquêtes, photos, etc.) et leur finalité (ex : gestion des inscriptions, envoi d’informations, personnalisation). • Classer par niveau de sensibilité : Distinguer les données basiques (nom, e-mail) des données sensibles (santé, opinions politiques) pour adapter les mesures de protection. b. Informations claires et consentement • Mentions légales accessibles : Rendre disponibles une politique de confidentialité et des conditions générales d’utilisation, rédigées en langage simple. • Consentement explicite et granulaire : ◦ Utiliser des cases à cocher non pré-cochées. ◦ Permettre aux participants de choisir quelles communications ils acceptent (ex : infos sur l’événement, offres partenaires). ◦ Expliquer clairement la finalité de chaque type de collecte. • Droit de retrait : Faciliter la possibilité de retirer son consentement à tout moment. c. Choix des outils et prestataires • Plateformes conformes : Sélectionner des solutions événementielles (inscription, gestion des badges, CRM) certifiées RGPD, avec des serveurs hébergés en Europe et des fonctionnalités dédiées (journal des activités, droit à l’effacement). • Contrats avec les sous-traitants : Exiger des prestataires (hébergeurs, agences) qu’ils signent un accord de traitement des données (DPA) et garantissent leur conformité RGPD. 2. Pendant l’événement : Sécurité et respect des droits a. Protection des données • Chiffrement : Sécuriser les données en transit (ex : formulaires en ligne) et au repos (ex : bases de données). • Accès restreint : Limiter l’accès aux données aux personnes autorisées et former les équipes aux bonnes pratiques (ex : ne pas partager de listes de participants sans anonymisation). • Gestion des badges et QR codes : Éviter d’y inclure des données sensibles non nécessaires et prévoir des procédures pour les désactiver après l’événement. b. Respect des droits des participants • Point de contact RGPD : Désigner une personne référente (ex : DPO) pour répondre aux demandes des participants (accès, rectification, effacement). • Signalétique claire : Informer les participants de la présence de caméras, de badges connectés ou de toute collecte de données comportementales, et leur proposer une alternative si possible. c. Traçabilité • Journal des activités : Tenir un registre des accès et modifications des données pour prouver la conformité en cas de contrôle. 3. Après l’événement : Conservation et clôture a. Nettoyage des données • Suppression des données inutiles : Effacer les données collectées pour l’événement (ex : listes de présence, photos non utilisées) après un délai raisonnable, sauf si un consentement a été donné pour une conservation prolongée. • Archivage sécurisé : Pour les données à conserver (ex : factures), les stocker de manière sécurisée et limitée dans le temps. b. Retour d’expérience et amélioration • Audit post-événement : Analyser les processus de collecte et de gestion des données pour identifier les axes d’amélioration. • Feedback des participants : Leur demander leur avis sur la gestion de leurs données et leur niveau de satisfaction concernant la transparence. 4. Outils et ressources pour faciliter la conformité • Solutions logicielles : Utiliser des plateformes événementielles intégrant des modules RGPD (ex : gestion des consentements, droit à l’oubli automatisé) . • Formations : Former régulièrement les équipes aux enjeux du RGPD et aux procédures internes. • Ressources externes : S’appuyer sur les guides de la CNIL ou des webinaires spécialisés pour rester à jour sur les évolutions réglementaires. 5. Exemples concrets • Inscription en ligne : Proposer un formulaire avec des cases distinctes pour chaque type de communication (ex : « Je souhaite recevoir des infos sur cet événement », « J’accepte de recevoir des offres partenaires »). • Photos/vidéos : Afficher un panneau informant de la prise de vue et proposer un bracelet ou un autocollant « Pas de photo » pour ceux qui refusent. • Partage avec des sponsors : Anonymiser les données avant tout partage ou obtenir un consentement spécifique des participants. En résumé : La conformité RGPD repose sur la transparence, la minimisation des données, la sécurité, et le respect des droits des participants. En intégrant ces bonnes pratiques dès la conception de l’événement, les organisateurs peuvent non seulement éviter les sanctions, mais aussi renforcer la confiance et la satisfaction des participants.