RGPD pour parcs de loisirs : ce qu'il faut savoir avant 2027
La CNIL a annoncé une vague de contrôles ciblés sur le secteur loisirs en 2027. Amendes jusqu'à 150 000 € possibles. Voici le minimum vital à avoir en place.
1. Registre des traitements
Obligatoire dès le premier client. Un simple Google Sheet liste :
- Nom du traitement (ex : "CRM clients", "Vidéosurveillance")
- Finalité
- Base légale (contrat, consentement, intérêt légitime)
- Données collectées
- Destinataires
- Durée de conservation
15 min à rédiger, obligatoire en cas de contrôle.
2. Bandeau cookies conforme
Il FAUT :
- Un bandeau au premier affichage
- Un bouton "tout accepter" et un bouton "tout refuser" avec le même visuel
- Un lien "personnaliser"
- Aucun cookie tiers déposé avant le choix
Piège : beaucoup de parcs ont "accepter" en gros et "refuser" caché. Amende CNIL type : 10 à 50 k€.
3. Mentions légales + politique de confidentialité
Pages obligatoires à jour. Template conforme dispo chez Pulzar (/confidentialite.html). Mentions légales avec :
- Raison sociale, SIRET
- Adresse
- Directeur publication
- Hébergeur
- DPO (ou délégué) si > 250 salariés
4. Consentement email
Pas d'opt-in implicite. La case "je souhaite recevoir la newsletter" doit être :
- Décochée par défaut
- Distincte du CGV
- Conservée dans les logs
5. Données clients
- Durée max conservation : 3 ans après dernière transaction (B2C)
- Droit d'accès / rectification / effacement : à répondre en 30 jours
- Portabilité : export CSV client sur demande
6. Vidéosurveillance
- Affichette visible en entrée : "Zone sous vidéosurveillance"
- Durée max conservation : 30 jours
- Registre des visionnages
- Pas d'enregistrement dans les toilettes ou vestiaires
7. Paiement
- PCI-DSS géré par ton PSP (Stripe, Adyen) : OK
- Ne stocke JAMAIS un numéro de CB en base
- Log d'accès aux transactions
8. Waivers / décharges digitaux
Si tu fais signer une décharge (activité sportive, trampoline), stocke :
- Version PDF horodatée
- IP signataire
- Consentement explicite
Durée légale : 10 ans (responsabilité civile).
9. Violation de données
Si fuite → notification CNIL en 72h. Template à avoir sous le coude.
10. Sous-traitants
Contrat DPA signé avec CHAQUE sous-traitant qui touche aux données :
- SaaS de résa (Pulzar DPA dispo sur demande)
- Mailchimp / Brevo
- Google Analytics (via le GDPR addendum)
- Zapier
Sans DPA, tu es responsable à leur place.
Pulzar est conforme RGPD out-of-the-box : DPA dispo, mentions légales templates, bandeau cookies conforme, CRM avec opt-in propre.
Tester Pulzar gratuit 14 jours
Sans CB. Sans engagement. Import data concurrent en 1 clic.
Démarrer →