← Retour au blog

RGPD pour les organisateurs de courses : ce que vous devez faire pour rester en conformité

Vous collectez des données personnelles : noms, emails, anniversaires, données de paiement. Le RGPD s'applique que vous le vouliez ou non. Voici la liste de contrôle de conformité pratique.

Le RGPD s'applique à vous

Si vous recueillez des données à caractère personnel auprès de résidents de l'UE (qui inclut le nom + le courriel lors de l'enregistrement), le RGPD s'applique. Peu importe. Un organisme de bienfaisance de 50 personnes 5K a les mêmes obligations qu'un marathon de 10 000 personnes, à petite échelle.

Les amendes pour non-conformité représentent jusqu'à 4 % du chiffre d'affaires annuel mondial. Pour une petite organisation, cela peut être une entreprise.

Ce guide est pratique et non juridique. Pour des questions précises, consultez un DPD.

Ce qui compte comme données personnelles dans le contexte racial

  • Nom, courriel, téléphone, adresse
  • Date de naissance
  • Sexe
  • Déclarations médicales
  • Contact d'urgence
  • Données de paiement (transigées via la couche PCI-DSS, toujours sous le RGPD)
  • Photos qui identifient les individus
  • Temps de finition associés aux coureurs identifiés
  • Adresses IP

Littéralement tout sur vos participants.

Principes fondamentaux du RGPD appliqués aux races

Limite de l'objectif : Recueillir les données uniquement à des fins spécifiées. Ne l'utilisez qu'à ces fins.

Pratique: Ne collectez pas de préférences alimentaires à moins d'offrir de la nourriture. Ne ramasse pas de chaussures à moins que tu ne donnes des chaussures.

Minimisation des données : Récupérez seulement ce dont vous avez besoin.

Pratique : Formulaires d'inscription à l'essentiel (voir le guide "Formulaires d'inscription personnalisés" pour un minimum de 10 champs).

Limite de stockage: Conserver les données aussi longtemps que nécessaire.

Pratique : Après 3-5 ans, purger les dossiers des participants à moins de s'inscrire activement aux événements futurs.

Intégrité et confidentialité : Sécuriser les données contre l'accès non autorisé.

Pratique : SSL partout, mots de passe bcrypt, sauvegardes chiffrées.

Responsabilité : Vous devez être en mesure de démontrer la conformité.

Pratique : Documentez vos flux de données. Maintenir la piste de vérification.

Le paysage du consentement

Deux bases de traitement:

Nécessité du contrat : Vous avez besoin des données pour fournir le service (inscription, facture, jour de course). C'est votre base juridique principale.

Consentement : Optez explicitement pour des choses au-delà de la nécessité du contrat. Besoin de :

  • Emails marketing après l'événement
  • Partage des données des coureurs avec les sponsors
  • Utilisation de photos dans les matériaux de marketing
  • Partage avec des partenaires de temporisation externes (exigence du contrat ou consentement)

Ne vous fiez pas au consentement pour des choses que vous pouvez justifier sous contrat. Le consentement peut être retiré; la nécessité du contrat est maintenue.

La structure de consentement du formulaire d'inscription

  • Requis: acceptation des conditions (nécessité du contrat)
  • Obligatoire: dispense médicale
  • Optionnel: consentement à la commercialisation (cochez séparément)
  • Facultatif: communications avec les auteurs
  • En option: publication du nom en résultats

Ne PAS pré-cocher les boîtes optionnelles. L'utilisateur doit choisir activement.

Droits que vous devez honorer

Les participants ont le droit:

  1. Accès : Demander toutes les données que vous avez sur eux
  2. Rectification: Corriger les données incorrectes
  3. Effacement: Supprimer leurs données ("droit à l'oubli")
  4. Restriction : Limitez la façon dont vous traitez
  5. Portabilité: Exporter leurs données au format lisible par machine
  6. Objet : Optez pour certains traitements

Vous devez y répondre dans les 30 jours. Documents et réponses.

Le "droit d'être oublié" ride

Conformité fiscale (Croatie : conservation des factures de 11 ans) CONFLITS avec effacement complet.

Résolution: pseudonyme du dossier du participant mais conserve la facture fiscale avec les détails requis. Documenter cette politique.

Time-Monkey s'en occupe : la commande « anonymiser le participant » enlève les données personnelles d'un dossier du participant tout en préservant les factures.

Accord de traitement des données (ADP)

Si vous utilisez un service tiers qui traite les données des participants, vous avez besoin d'un DPA avec eux. Votre inventaire DPA comprend probablement :

  • Time-Monkey (votre plateforme de course)
  • Stripe / Stripe (processeur de paiement)
  • Entreprise de calendrier / RaceRésultat
  • Service e-mail (Mailgun, SendGrid)
  • Fournisseur d'hébergement
  • Analyse (Google Analytics)

Chaque fournisseur dispose d'un DPA standard. Signez-les tous. Gardez des copies.

Politique de confidentialité (publique)

Votre page d'événement doit être liée à une politique de confidentialité qui explique :

  • Quelles données recueillez-vous
  • Pourquoi (base juridique)
  • Combien de temps tu la gardes
  • Avec qui vous la partagez (nommer spécifiquement des tiers)
  • Droits des participants et mode d'exercice
  • Votre contact (DPO ou équivalent)

Mise à jour annuelle ou lorsque les pratiques changent.

Données concernant les enfants

Les participants de moins de 16 ans ont besoin du consentement parental. Les formulaires d'inscription pour les courses pour enfants doivent recueillir :

  • Cochez la case Consentement parent/gardien
  • Nom du parent/du tuteur et contact

Les données relatives aux mineurs sont traitées selon des règles plus strictes. Consultez les règlements locaux.

Mesures de sécurité

  • HTTPS sur toutes les pages (Let's Encrypt est gratuit)
  • bcrypt mot de passe hashing (jamais de texte clair)
  • Contrôle d'accès (qui peut voir les données des participants?)
  • Registres de vérification (qui a accédé à quoi, quand)
  • Sauvegardes chiffrées
  • Plan d'intervention en cas d'incident (que faites-vous en cas de violation?)

Time-Monkey implémente tout ce qui précède par défaut.

Notification de violation

Si les données de votre participant sont compromises, vous disposez de 72 heures pour en informer l'autorité compétente en matière de protection des données (AZOP en Croatie).

Vous devez également aviser les participants touchés si la violation risque de compromettre leurs droits.

Avoir un plan écrit d'intervention. Savoir qui fait des appels de notification.

Consentement photographique

La photographie d'événements est pertinente au RGPD parce que les photos identifient les individus. Pratique courante:

  • Avis à l'inscription : « Des photos seront prises et pourront être utilisées à des fins promotionnelles. Optez pour l'enregistrement."
  • Signalisation à l'événement: "Photographie en cours. Optez en disant à tout membre du personnel."
  • Les participants peuvent demander la suppression de photos spécifiques après l'événement

Liste de contrôle rapide de conformité

  1. Politique de confidentialité publiée et liée à partir de la page de l'événement
  2. Le formulaire d'inscription a le consentement facultatif à la commercialisation (cochez séparément la case)
  3. Les DPA signés avec tous les processeurs tiers
  4. Plan de réponse à l'incident documenté
  5. Les participants peuvent demander l'accès aux données / effacement
  6. Politique de conservation des données (max. 3-5 ans après l'événement)
  7. SSL sur toutes les pages
  8. Autorisation de photographie communiquée
  9. Personnel formé aux bases du RGPD

L'angle Time-Monkey

Time-Monkey fournit:

  • Configuration par défaut conforme au RGPD
  • Accès aux données + effacement du libre-service pour les participants
  • Commande d'anonymisation pour les scénarios de rétention fiscale avec effacement
  • Suivi de vérification de toutes les opérations de données
  • DPA prêt à signer
  • Pratiques de sécurité conformes aux exigences du RGPD

L'utilisation des outils natifs du RGPD permet d'économiser des mois de travail de conformité.

Commencez par une gestion de course conforme →

Articles connexes

Comment gérer le PNF (n'a pas fini) Participants aux résultats de course

Gestion des bénévoles : Recrutement, formation et conservation des héros du jour de la course

Créer une page d'événement qui convertit les navigateurs en inscrits

Comment organiser votre première course 5K : un guide étape par étape pour les nouveaux réalisateurs

BIB Number Affectation: Sequential vs First-Free vs Manuel — Quelle stratégie convient à votre course?

Prêt à organiser votre prochaine course ?

Créez votre compte organisateur et publiez votre premier événement en moins de 10 minutes.

Commencez →