Le RGPD, quels impacts concrets pour les gérants de parcs de loisirs ?

Créer un Registre des données
Vous devez recenser les activités de votre établissement qui impliquent la collecte de données personnelles dans un Registre de vos traitements de données. Ce registre doit décrire, pour chaque type de Traitement de Données :
1. L’objectif de la collecte de données
2. Quelles données sont enregistrées
3. Par qui
4. Par quels moyens
5. Pour quelle durée
6. Qui y accède.
Cas Pratique : J’inscris dans mon REGISTRE RGPD
• Nom du Processus/traitement : Réservation Anniversaires
• Objectifs des données : Enregistrer les coordonnées des clients et de l’enfant fêté en vue de la réalisation d’une prestation personnalisée d’Anniversaire
• Données collectées : Nom, Prénom, Date de Naissance de l’enfant fêté, Téléphone et Mail des Parents
• Intervenants ou destinataire des données : Les Agents d’accueil salariés de l’établissement pour la saisie des données. Le sous-traitant XYZ pour le stockage et l’archivage des données, l’agence de communication ABC pour l’envoi d’emails
• Moyens & Lieux & flux : les données sont stockées via le Logiciel ABC, sur l’ordinateur/serveur XYZ (ou par le Sous-traitant XYZ) ; Sauvegarde tous les 7 jours, sur le disque externe / serveur XYZ
• Durée : données conservées pendant une durée d’un an à compter de la collecte des données, et en tout état de cause 5 ans conformément à la prescription légale

Il vous faut, si besoin, renforcer la sécurisation de vos données : toute action visant à sécuriser les données est bonne à prendre ; par exemple renforcer vos mots de passe (éviter les 123456 ou AZERTY) ; mettre en place une charte d’utilisation des outils informatiques destinées à vos collaborateurs ; sécuriser physiquement le disque dur sur lequel pour enregistrez vos sauvegardes informatiques ; exigez de votre fournisseur de site web un cryptage SSL, si vos clients s’inscrivent ou réservent en ligne, etc…
Pensez bien à reporter ces points dans une section du Registre RGPD

Vos sous-traitants (qui stockent ou gèrent vos données, donc votre fournisseur de site Web, l’hébergeur, etc…) doivent se mettre également en conformité ; vos contrats avec eux, ou bien leurs Conditions Générales de Ventes, doivent évoluer pour garantir que la RGPD est respecté à chaque niveau de la chaine de traitement & stockage des données.
A défaut, il faudrait leur faire signer un avenant pour répercuter leurs nouvelles obligations.

Via vos CGV Conditions Générales de Ventes, pour vos Anniversaires par exemple, pour expliquer le traitement des données ci-dessus ainsi que les droits des clients.
Il est également conseillé d’ajouter une « Politique de Confidentialité » sur votre site web, afin d’expliquer votre mise en conformité et garantir cette même transparence. Il faut s’assurer que les clients soient informés des traitements de leurs données via cette politique avant que vous ne les traitiez. L’idéal est d’inclure un lien et une référence à cette politique de Confidentialité.
Vos clients ont des droits de consultation, de rectification, et un droit de suppression et d’autres ! Vous devrez y répondre dans un délai raisonnable.

Le consentement de vos clients pour enregistrer leurs données est-il obligatoire ?
NON, si c’est dans le cadre d’une prestation de service (donc un contrat, même non écrit), par
exemple un Anniversaire (voir ci-dessus) ou une Simple entrée au Parc, s’il est justifié de recueillir ces informations pour la réalisation et le bon déroulement de la prestation (par exemple : l’âge des enfants peut être nécessaire pour des questions de sécurité d’accès à certains jeux).
NON également, pour communiquer sur une prestation similaire à la prestation initiale (exemple : relance Anniversaire l’année suivante, … ou revisite du Parc pour un client déjà venu, etc.). Il faudra cependant en informer les clients dans vos CGV ou Politique de Confidentialité, en les informant de leur droit de retrait.
OUI, si c’est un prospect qui n’a jamais visité le parc, pour faire de la promotion, du marketing, de la publicité ; pour communiquer sur d’autres services auprès de client connu après la prestation de service initiale. A fortiori dans le cas de transmission des données à un partenaire / un tiers ; donc pour UTILISER les données récoltées ; il vous faudra un consentement exprès traçable (ex : case à cocher).

Vous voulez communiquer auprès de vos clients déjà enregistrés ?
• Si vous aviez obtenu un consentement (par un site web, un e-mail ou un papier signé) et en avez gardé la preuve, vous pouvez continuer à communiquer vers eux.
• Un consentement à l’époque mais pas de preuve conservée ? Vous devez redemander leur consentement à vos clients via par exemple une campagne email de requalification, en leur demandant leur consentement sur vos nouvelles conditions ou politique de confidentialité et en précisant qu’à défaut de réponse sous une certaine période, vous pourrez considérer que le consentement est donné.
• Pas de consentement à l’époque ? Vous n’avez en théorie pas le droit de les solliciter pour une requalification et obtenir de nouveau leur consentement. Normalement ces données doivent être supprimées.

Dans certains cas, les entreprises « responsable du traitement » doivent se doter d’un DPO. Est-ce obligatoire ? NON, peu de chance dans votre cas, sauf à demander des informations sensibles à vos clients (exemple : dossier de santé)

La CNIL, la DGCCRF et le gouvernement mettent en garde contre certaines pratiques abusives concernant la RGDP : https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir
Pour plus d’information :
• https://www.cnil.fr/fr/rgpd-par-ou-commencer
• https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd