Définition du RGPD et règles applicables aux jeux-concours

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il s'agit d'un texte européen imposant un certain nombre de règles à respecter en cas de traitement de données à caractère personnel.

Compte tenu de cette évolution législative importante, vous êtes très nombreux à vous poser des questions sur la nouvelle réglementation. Nous allons vous aider à comprendre de quoi il s'agit vraiment, et ce que vous devez savoir pour l'organisation de vos jeux-concours publicitaires.

À quoi sert le RGPD ?

En imposant un cadre strict, avec la prise de mesures préventives concrètes, le but du RGPD est de garantir une meilleure protection des données personnelles en responsabilisant les entreprises qui les exploitent. Ainsi, les citoyens pourront bénéficier d'une plus grande visibilité et d'un contrôle accru sur l'usage fait de leurs données personnelles.

Avec des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel, la finalité voulue est de stopper un certain nombre d'abus tels que le vol ou le marchandage de données personnelles. Dans ces conditions plus favorables, l'économie numérique pourra continuer à se développer avec une image positive, dans un contexte mieux encadré.

La CNIL et ses agents représentent l'autorité française chargée de surveiller le marché. En cas de défaut, les sanctions seront applicables par étapes :

  1. Avertissement
  2. Rappel à l'ordre
  3. Suspensions du traitement des données
  4. Amende

Qui est concerné ?

Les structures quelle soit leur forme juridique (sociétés, administrations, associations, auto-entrepreneurs, etc.) sont soumises au respect du RGPD dès lors qu'elles collectent ou traitent des données à caractère personnel. Qu'elle concerne un prospect, un client ou un salarié, toute information permettant l'identification d'une personne physique est considérée comme une donnée personnelle : nom, adresse, localisation, identifiant, etc.

Il faut savoir que toutes les entreprises des 28 états membres de l'Union européenne sont concernées par l'application du RGPD, ainsi que celles des pays tiers ayant une activité au sein de l'Union européenne.

Que doit-on faire pour être en conformité avec la loi ?

Le consentement :

Pour collecter leurs données à caractère personnel, à travers vos jeux-concours par exemple, vous devez absolument obtenir le consentement libre et éclairé de la part des consommateurs. Ils doivent accepter de vous fournir leurs données personnelles en étant informés de la nature commerciale du traitement. Pour ce faire, sur vos bulletins de participation ou vos formulaires de jeu à compléter sur internet, utilisez des cases à cocher pour obtenir le consentement. Ces cases doivent être à cocher pour donner l'autorisation (Opt-in) et non à décocher (Opt-out).

Cette règle de consentement n'est pas nouvelle : la loi Informatique et Libertés l'imposait déjà. Mais pour respecter le RGPD, veillez à être transparent avec les personnes qui vous communiquent leurs données : expliquez qui vous êtes, pourquoi et comment vous traitez leurs données. De plus, il faut toujours donner à chaque personne un droit d'accès, de rectification, de modification et de suppression de ses données personnelles.

L'intérêt légitime :

Seules les informations nécessaires à votre activité doivent être collectées. Cette notion d’intérêt légitime vous empêche donc de posséder des informations personnelles qui n'ont aucune utilité pour votre entreprise. Pensez-y lorsque vous organisez un jeu-concours. À l'inverse, il semblerait que ce même principe pourrait rendre acceptable l'accès à des données sans pour autant devoir prouver le consentement des utilisateurs (pour en obtenir la certitude, une interprétation/évolution de la législation devra toutefois clarifier ce point).

La sécurité et l'analyse des risques :

Vous devez protéger les droits des personnes dont vous possédez les données. Les serveurs de stockage doivent être fiables et sécurisés (des garanties supplémentaires sont exigées pour la protection des informations sensibles comme celles concernant la santé). En cas de risque majeur, le RGPD vous impose d'informer les personnes concernées des violations de données.

Il est nécessaire de tenir des registres si votre traitement de données est régulier ou spécial (il représente par exemple une menace pour les droits et libertés des citoyens ou porte sur des informations sensibles). Ces registres doivent comporter ces renseignements :

  • le nom et les coordonnées de l’entreprise,
  • les raisons du traitement des données,
  • la description des catégories de personnes concernées et des données à caractère personnel,
  • les catégories d’organisations recevant les données,
  • le transfert des données vers un autre pays ou à destination d’une autre organisation,
  • les délais de suppression des données, si possible,
  • la description des mesures de sécurité utilisées pour le traitement, si possible.

Enfin, les organismes publics et les entreprises faisant du traitement à grande échelle de données sensibles doivent désigner un délégué à la protection des données. Cette personne est en charge de l'information, du conseil et du contrôle en interne.


Il ne faut pas voir le RGPD comme une menace, mais bien comme une opportunité de redonner confiance aux consommateurs (cela vaut aussi pour leurs participations aux jeux-concours, comme avec le dépôt d'un règlement en bonne et due forme). Malgré toutes ces nouvelles contraintes légales visant à dynamiser l'activité commerciale, une simplification est probable : la déclaration des fichiers clients-prospects à la CNIL ne devrait plus être imposée (cette information reste à vérifier le moment venu).

Comme à chaque changement important d'un cadre juridique, beaucoup d'évolutions et d'interprétations de la loi sont à prévoir. Heureusement, la CNIL accompagne les sociétés dans cette période transitoire.

De notre côté, nous restons attentifs, et allons tenir cette page à jour. Vous repérez une erreur ou une information obsolète ? N'hésitez pas à nous prévenir en nous envoyant un e-mail.