Un nom de famille, un pseudo Facebook ou toute information permettant d’identifier une personne est une donnée personnelle.
Une personne peut aussi être identifiée via une donnée croisée, un simple prénom associé à une autre information peut s’avérer être une donnée personnelle.
Les personnes dont des données personnelles s’affichent dans les tirages au sort sont ci-après dénommées : PARTICIPANTS dans le sens participants à un tirage au sort ou GAGNANTS dans le sens gagnants du tirage au sort.
Une personne qui publie un tirage au sort est ci-après dénommées l’ORGANISATEUR dans le sens organisateur d’un tirage au sort.
Le site randomizer.uk est ci-après dénommés SOUS-TRAITANT, dans le sens fournissant un service de tirage au sort et d’hébergement du résultat.
Pour résumer ce qui suit, c’est l’ORGANISATEUR du tirage au sort qui est seul responsable du traitement des données.
Il est entendu que c’est l’ORGANISATEUR du tirage au sort qui est seul à même de traiter les données de son tirage au sort, de connaître la composition des données. De savoir si parmi ces données il y a ou non des données à caractères personnels, de connaître leur finalité et les bases contractuels qui lui permette ou non d’afficher ces données.
Il appartient à l’ORGANISATEUR dans le cas où les données affichées sont à caractères personnels d’obtenir l’accord explicite des personnes pour traiter leurs données.
Chaque ORGANISATEUR a une parfaite connaissance de sa communauté et de l’origine de la liste des participants.
Si la liste des participants est déjà publique, par exemple sur une demande de tag d’un post de réseau social, il n’y a pas de sens à ce que la liste des participants soit anonymisée dans la mesure ou l’inscription au tirage au sort est public et laisse entendre un consentement explicite de la personne à ce que le tirage au sort soit rendu public.
Dans un tel cas, nous conseillerions la démarche suivante :
- afficher la liste du ou des GAGNANTs du tirage au sort.
- pour la liste des PARTICIPANTs, anonymiser uniquement sur demande d’un participant.
Si la liste des participants est obtenue par formulaire de contact, nous conseillerions la démarche suivante :
- afficher la liste du ou des GAGNANTs du tirage au sort en ayant obtenu leur accord préalable.
- anonymiser à 40% ou 60% la liste des participants pour permettre de vérifier de l’honnêteté du tirage au sort tout en conservant l’anonymat de ceux-ci.
Dans tout les cas, nous conseillons de supprimer la liste des PARTICIPANTs après 30 jours, pour ne laisser apparaître que le nombre de PARTICIPANTs et la liste des GAGNANTs.
En effet, le RGPD invite a une « durée de conservation des données limitée au strict minimum ».
Le SOUS-TRAITANT fournit une palette d’outils pour permettre à l’ORGANISATEUR de tirer au sort, de publier, depublier, anonymiser ou détruire partiellement ou totalement les données de tirages au sort.
Le SOUS-TRAITANT est aussi chargé de délivrer ou non un certificat d’intégrité.
Des procédures automatiques du SOUS-TRAITANT attribuent ou non un certificat d’intégrité.
En cas de contestation de l'attestation, que ce soit par l’ORGANISATEUR qui n’a pas reçu d'attestation ou par un PARTICIPANT qui conteste l’honnêteté du tirage au sort, le SOUS-TRAITANT sera amener en sa qualité de sous-traitant à analyser manuellement les données du tirage.
C’est pourquoi le SOUS-TRAITANT conserve pour une durée de 30 jours les données de saisie ayant permis le tirage au sort, cela aux seuls fins de vérification de l’honnêteté du tirage au sort.
Pour chaque tirage, nous conservons aussi plusieurs données cryptées et anonymisées de la liste des participants sous la forme de chiffres hexadécimaux n’excédant pas 45 octets.
Si le tirage n’a fait l’objet d’aucun litige durant les 15 premiers jours, les données de saisie sont automatiquement détruites. Seules les données que l’ORGANISATEUR affiche sont alors conservées.
En cas de litige, nous conservons les données de saisie jusqu’à cloture du litige dans la seule finalité de nous protéger d’un contentieux.
Il est entendu qu’en cas de tirage de type SPAM, toutes les copies et copies proches du tirage au sort seront conservées jusqu’à la clôture du litige.
Depuis son espace d’administration, l’ORGANISATEUR a accès à la date de suppression des données.
Si une personne souhaite exercer son droit de retrait sur d’éventuelles données personnelles, nous l’invitons à contacter l’ORGANISATEUR du tirage, qui au sens de la loi RGPD à la qualité de responsable du traitement des données et a la possibilité d’anonymiser les données via son interface administrateur.
Il est bien évident que toutes données sensibles ou à caractère hautement personnel sont strictement interdites dans les tirages au sort.
Nous entendons par données à caractère hautement personnel, sans que cette liste soit exhaustive :
- un numéro de téléphone, une adresse physique précise, un Email…
Nous entendons par données sensibles, sans que cette liste soit exhaustive :
- une donnée de santé, une orientation sexuelle, une origine ethnique, une conviction politique…
Toute personne sans même justifier de son identité peut signaler au SOUS-TRAITANT l’infraction pour permettre de supprimer au plus vite un tirage au sort ne respectant pas ces règles.
Si un PARTICIPANT souhaite un contrôle d’un tirage au sort, ou s’il constate qu’une donnée sensible ou à caractère hautement personnel a été publiée, il peut nous contacter.
En bas de chaque tirage au sort, un lien est proposé en ce sens.
Il est possible de donner son Email si l’on souhaite un retour, l’Email sera conservé 7 jours après le dernier contact.
Pour toute demande concernant la protection des données, vous pouvez en premier lieu contacter l’organisateur du tirage au sort, seul responsable du traitement des données. Vous pouvez en second lieu nous contacter via l’interface de votre page profil. Si vos demandes ne sont pas prise en compte et que vous considérez que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.