What are the specific impacts for your amusement park?
How does the GDPR impact your amusement park?
The GDPR (General Data Protection Regulation) is a European regulation that applies to all businesses collecting personal data, such as names, addresses, photos, emails, phone numbers, payment card details, etc. It has been in effect since May 25, 2018, and aims to:
– Strengthen the protection of European citizens and ensure their rights regarding their personal data (access, correction, deletion).
– Make businesses collecting data responsible at all levels: collecting only necessary and relevant information, storing data for the necessary duration, and informing individuals about their data.
You are affected by the GDPR. If your establishment collects data on employees, customers, or prospects (for example, through an Excel file) and uses computer tools to manage this data, you are subject to the regulation. Your company is considered the “data controller” for this data.
What are the specific impacts for your amusement park?
Creating a Data Register:
You need to document the activities of your establishment that involve the collection of personal data in a Data Processing Register. This register should describe, for each type of data processing:
– The purpose of data collection.
– What data is collected.
– Who collects it.
– How it is collected.
– How long it is retained.
– Who has access to it.
Practical Example: I include in my GDPR REGISTER
Process/Treatment Name: Birthday Reservations
Data Objectives: Collecting customer and celebrant’s contact information for the purpose of providing personalized birthday services.
Collected Data: Name, surname, celebrant’s date of birth, parents’ telephone and email.
Data Users or Recipients: Reception staff of the establishment for data entry. Subcontractor XYZ for data storage and archiving. Communication agency ABC for sending emails.
Means, Locations, and Data Flows: Data is stored using ABC software on computer/server XYZ (or by subcontractor XYZ). Backup every 7 days on external disk/server XYZ.
Retention Period: Data is kept for one year from the date of collection and, in any case, for five years in compliance with legal requirements.
Strengthen Data Security Measures:
If necessary, you should enhance the security of your data. Any action taken to secure the data is beneficial. For example, strengthen your passwords (avoid using common passwords like 123456 or AZERTY), implement a policy for the use of computer tools by your employees, physically secure the hard drive where you store your backups, demand SSL encryption from your website provider if your customers sign up or make online reservations, and so on.
Remember to document these points in a section of the GDPR Register.
Manage Your Subcontractors:
Your subcontractors (those who store or manage your data, such as your website provider or hosting company) must also comply with GDPR. Your contracts with them, or their Terms and Conditions of Service, should be updated to ensure GDPR compliance at every level of data processing and storage.
If necessary, you may need to have them sign an amendment to reflect their new obligations.
Communicate and Inform Your Customers:
Through your General Terms and Conditions of Sale, such as for birthday reservations, explain the data processing mentioned above and inform customers of their rights.
It is also advisable to include a “Privacy Policy” on your website to explain your compliance efforts and ensure transparency. Make sure customers are informed of the data processing through this policy before you process their data. Ideally, include a link and reference to this Privacy Policy.
Your customers have the right to access, rectify, delete, and more! You must respond to their requests within a reasonable timeframe.
Obtain Written Consent, IF NECESSARY
Is obtaining your customers’ consent to store their data mandatory?
NO, if it is within the scope of a service provision (even if not in written form), such as a birthday party (as mentioned above) or a simple park admission, and if it is justified to collect this information for the realization and smooth running of the service (for example, the age of children may be necessary for access safety to certain games).
NO, also for communicating about a similar service to the initial service (for example, a birthday reminder the following year, or revisiting the park for a customer who has already visited, etc.). However, you should inform customers in your General Terms and Conditions or Privacy Policy, informing them of their right to withdraw consent.
YES, if it is a prospect who has never visited the park, for promotional, marketing, or advertising purposes; to communicate about other services to known customers after the initial service provision. Especially in the case of data transmission to a partner/third party; therefore, for USING the collected data, you will need explicit and traceable consent (e.g., a checkbox to be ticked).
What to do with your existing customer records?
Do you want to communicate with your already registered customers?
If you obtained consent (through a website, email, or signed paper) and have kept proof of it, you can continue to communicate with them.
If you had obtained consent in the past but did not keep the proof, you need to request their consent again through, for example, an email requalification campaign, asking for their consent to your new terms or privacy policy and specifying that failure to respond within a certain period will be considered as consent given.
If no consent was obtained in the past, you theoretically do not have the right to contact them for requalification and obtain their consent again. Normally, this data should be deleted.
Is a Data Protection Officer (DPO) mandatory?
In some cases, “data controllers” must appoint a DPO. Is it mandatory? NO, it is unlikely in your case, unless you request sensitive information from your customers (e.g., health records).
Finally, be aware of possible scams!
The CNIL, DGCCRF, and the government warn against certain abusive practices concerning GDPR: [https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir].
For more information:
[https://www.cnil.fr/fr/rgpd-par-ou-commencer][https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpde]
Quels impacts concrets pour votre parc de loisirs ?
Créer un Registre des données
Vous devez recenser les activités de votre établissement qui impliquent la collecte de données personnelles dans un Registre de vos traitements de données. Ce registre doit décrire, pour chaque type de Traitement de Données :
1. L’objectif de la collecte de données
2. Quelles données sont enregistrées
3. Par qui
4. Par quels moyens
5. Pour quelle durée
6. Qui y accède.
Cas Pratique : J’inscris dans mon REGISTRE RGPD
• Nom du Processus/traitement : Réservation Anniversaires
• Objectifs des données : Enregistrer les coordonnées des clients et de l’enfant fêté en vue de la réalisation d’une prestation personnalisée d’Anniversaire
• Données collectées : Nom, Prénom, Date de Naissance de l’enfant fêté, Téléphone et Mail des Parents
• Intervenants ou destinataire des données : Les Agents d’accueil salariés de l’établissement pour la saisie des données. Le sous-traitant XYZ pour le stockage et l’archivage des données, l’agence de communication ABC pour l’envoi d’emails
• Moyens & Lieux & flux : les données sont stockées via le Logiciel ABC, sur l’ordinateur/serveur XYZ (ou par le Sous-traitant XYZ) ; Sauvegarde tous les 7 jours, sur le disque externe / serveur XYZ
• Durée : données conservées pendant une durée d’un an à compter de la collecte des données, et en tout état de cause 5 ans conformément à la prescription légale
Renforcer les mesures de sécurité des données
Il vous faut, si besoin, renforcer la sécurisation de vos données : toute action visant à sécuriser les données est bonne à prendre ; par exemple renforcer vos mots de passe (éviter les 123456 ou AZERTY) ; mettre en place une charte d’utilisation des outils informatiques destinées à vos collaborateurs ; sécuriser physiquement le disque dur sur lequel pour enregistrez vos sauvegardes informatiques ; exigez de votre fournisseur de site web un cryptage SSL, si vos clients s’inscrivent ou réservent en ligne, etc…
Pensez bien à reporter ces points dans une section du Registre RGPD
Gérer vos sous-traitants
Vos sous-traitants (qui stockent ou gèrent vos données, donc votre fournisseur de site Web, l’hébergeur, etc…) doivent se mettre également en conformité ; vos contrats avec eux, ou bien leurs Conditions Générales de Ventes, doivent évoluer pour garantir que la RGPD est respecté à chaque niveau de la chaine de traitement & stockage des données.
A défaut, il faudrait leur faire signer un avenant pour répercuter leurs nouvelles obligations.
Communiquez et informez vos clients
Via vos CGV Conditions Générales de Ventes, pour vos Anniversaires par exemple, pour expliquer le traitement des données ci-dessus ainsi que les droits des clients.
Il est également conseillé d’ajouter une « Politique de Confidentialité » sur votre site web, afin d’expliquer votre mise en conformité et garantir cette même transparence. Il faut s’assurer que les clients soient informés des traitements de leurs données via cette politique avant que vous ne les traitiez. L’idéal est d’inclure un lien et une référence à cette politique de Confidentialité.
Vos clients ont des droits de consultation, de rectification, et un droit de suppression et d’autres ! Vous devrez y répondre dans un délai raisonnable.
Obtenez son consentement écrit, SI BESOIN
Le consentement de vos clients pour enregistrer leurs données est-il obligatoire ?
NON, si c’est dans le cadre d’une prestation de service (donc un contrat, même non écrit), par
exemple un Anniversaire (voir ci-dessus) ou une Simple entrée au Parc, s’il est justifié de recueillir ces informations pour la réalisation et le bon déroulement de la prestation (par exemple : l’âge des enfants peut être nécessaire pour des questions de sécurité d’accès à certains jeux).
NON également, pour communiquer sur une prestation similaire à la prestation initiale (exemple : relance Anniversaire l’année suivante, … ou revisite du Parc pour un client déjà venu, etc.). Il faudra cependant en informer les clients dans vos CGV ou Politique de Confidentialité, en les informant de leur droit de retrait.
OUI, si c’est un prospect qui n’a jamais visité le parc, pour faire de la promotion, du marketing, de la publicité ; pour communiquer sur d’autres services auprès de client connu après la prestation de service initiale. A fortiori dans le cas de transmission des données à un partenaire / un tiers ; donc pour UTILISER les données récoltées ; il vous faudra un consentement exprès traçable (ex : case à cocher).
Que faire de vos fiches clients existantes ?
Vous voulez communiquer auprès de vos clients déjà enregistrés ?
• Si vous aviez obtenu un consentement (par un site web, un e-mail ou un papier signé) et en avez gardé la preuve, vous pouvez continuer à communiquer vers eux.
• Un consentement à l’époque mais pas de preuve conservée ? Vous devez redemander leur consentement à vos clients via par exemple une campagne email de requalification, en leur demandant leur consentement sur vos nouvelles conditions ou politique de confidentialité et en précisant qu’à défaut de réponse sous une certaine période, vous pourrez considérer que le consentement est donné.
• Pas de consentement à l’époque ? Vous n’avez en théorie pas le droit de les solliciter pour une requalification et obtenir de nouveau leur consentement. Normalement ces données doivent être supprimées.
Un « DPO » (Data Protection Officer) est-il obligatoire ?
Dans certains cas, les entreprises « responsable du traitement » doivent se doter d’un DPO. Est-ce obligatoire ? NON, peu de chance dans votre cas, sauf à demander des informations sensibles à vos clients (exemple : dossier de santé)
Enfin, attention à quelques arnaques possibles !
La CNIL, la DGCCRF et le gouvernement mettent en garde contre certaines pratiques abusives concernant la RGDP : https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir
Pour plus d’information :
• https://www.cnil.fr/fr/rgpd-par-ou-commencer
• https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
