Le 24 janvier dernier, MyOpenTickets a organisé un échange au SITEM 2018 sur le Règlement Européen sur la Protection des Données Personnelles mis en application en mai 2018 et les changements à venir pour les professionnels des musées concernant leur établissement, l’impact sur leur billetterie et leurs bases de données.

Ce débat a été animé par Corinne Lefebvre, responsable des ventes free-lance avec Merwann Bensiali(ActeCil) Expert RGPD et ancien Consultant de la CNIL, Me Michelle Jean-Baptiste (Top&Win – MJB Consulting) Avocate spécialisée dans la propriété intellectuelle et industrielle, Alexandre Poltoratzsky, Directeur commercial (Irec Ticketing Technology) et Thierry Rosset, Chef du département accueil, vente, individuels et groupes (Universcience).

Merwann Bensiali a ouvert le débat en présentant le RGPD. Il est revenu sur la genèse de cette réforme qui a pour objectif de responsabiliser les acteurs, qu’ils soient responsables de Traitements ou sous-traitants, dès lors qu’ils traitent des données, de renforcer le droit des personnes, notamment par la mise en place d’un consentement par principe et d’assurer une meilleure coopération entre autorités de contrôle. L’ensemble des procédures concernant les données personnelles doivent être documentées en temps réel (accountability). La désignation d’un délégué à la protection des données (DPO) est obligatoire dans certains cas notamment pour les organismes publics.

Le RGPD met également en avant plusieurs principes à respecter, comme la minimisation des données dès la conception et par défaut des projets (privacy by design. S’agissant des traitements à risque (données sensibles, à grande échelle, ou encore d’images de vidéo surveillance …), le RGPD demande que des analyses d’impacts soient réalisées afin d’identifier les risques et de mettre en place des mesures correctives visant à les réduire.

Toutes les structures traitant des données liées à un site internet, des visites virtuelles, de la géolocalisation, newsletter, billetterie, vidéo surveillance, données clients, données collaborateurs, etc. sont également concernées par le RGPD.

Me Michelle Jean-Baptiste a rappelé que le RGPD a été adopté pour être « un dispositif légal prévoyant jusqu’ici des sanctions au plafond peu dissuasif pour les grandes entreprises qui ne respectent pas la loi. » En effet, le montant des sanctions accordés à la CNIL par la loi du 6 Janvier 1978 et du 7 octobre 2016 étaient peu dissuasives pour les entreprises. Avec le nouveau règlement, les sanctions financières applicables pourront aller jusqu’à 10 millions d’euros ou 20 millions d’euros – 2 ou 4% du chiffre d’affaires annuel mondial pour les entreprises. La différence de plafond dépendant du type de manquement (10 millions et 2% du CA dans les cas de manquements au Privacy By Design, Privacy By Default et 20 millions et 4% du CA pour des manquements notamment aux droits des personnes (droits d’accès, d’opposition, de suppression, droit à l’oubli etc.) Les sanctions sont aussi pénales avec un engagement non seulement de la personne morale concernée mais aussi dans certains cas des dirigeants eux-mêmes. Il est donc essentiel que tous les acteurs concernés appréhendent en amont les obligations qui sont les leurs.

Concernant les solutions et logiciels de billetterie, les données collectées sont le plus souvent anonymes selon Alexandre Poltoratzsky de IREC Ticketing. Cependant, les structures ont besoin de référencer de plus en plus de données de contact pour fidéliser les visiteurs, dans le cadre d’adhésion, de réservations et de vente en ligne. Dans tous ces cas, le responsable de la donnée est la structure et non l’éditeur de logiciel, qui n’est pas sous-traitant. L’éditeur de logiciel participe à déterminer les moyens techniques de collecte et de traitement des données. En revanche, les services de billetterie en mode SaaS sont à la fois hébergeur et éditeur des données collectées et doivent mettre en place des moyens de protection des données.

Thierry Rosset d’Universcience a ensuite apporté son témoignage utilisateur.  Les nouveaux usages de consommation qui engendrent des ventes Internet de plus en plus nombreuses s’appliquent également au secteur culturel. En 2017, à la Cité des Sciences et de l’Industrie, 38% des billets étaient réservés sur Internet (mobiles compris) et 20% pour le Palais de la Découverte. Cette part de ventes identifiée croissante, à laquelle s’ajoutent les abonnements multiples aux lettres d’information, génère d’importantes données personnelles.

Pour optimiser l’organisation, fiabiliser la gestion des données et mieux maîtriser les coûts d’exploitation, Universcience a engagé un projet de convergence des datas vers un outil CRM unique en mode SaaS qui offre une évolutivité bien meilleure à moindre coût car partagée par un grand nombre d’utilisateurs. A la faveur de ce projet, Universcience approche avec une plus grande sérénité le RGPD. L’analyse de convergence ainsi engagée a permis d’obtenir une bonne cartographie des éléments existants. La PSSI (politique de sécurité des systèmes d’information) présente à Universciences intègre déjà l’analyse des risques (confidentialité, intégrité, disponibilité), les fiches de sécurité et d’homologation et les registres des données. La PSSI a été malgré tout renforcée pour coller à la RGPD. Universcience s’apprête à nommer son délégué à la protection des données et poursuit sa démarche de sensibilisation aux bonnes pratiques de tous les acteurs internes qui gèrent des données personnelles.

Désormais un challenge se présente à nous :  Comment optimiser notre stratégie marketing au moyen d’une collecte de plus en plus précise de données face à une réglementation de plus en plus contrainte, « Mieux profiler pour une expérience consommateur réussie et un meilleur ROI (Retour Sur Investissement)» ?.

Par ailleurs, les intervenants ont bien rappelé que les structures devraient être aux normes le 25 mai 2018 ou avoir au moins débuté une démarche de mise en conformité sur les étapes prioritaires et à risque. Des informations sur la mise en conformité des structures au RGPD sont disponibles auprès de la CNIL. Des cabinets de conseil peuvent également proposer leur expertise pour la mise en conformité des systèmes au RGPD.

Vous pouvez écouter l’intégralité du focus ci-dessous :

Crédit : MyOpenTickets