En mars 2025, l’affaire PhotoRunning a secoué le monde du running français : près de 320 000 coureurs et spectateurs scannés par reconnaissance faciale lors de 48 événements, sans aucun consentement (source : Clubic, 2025). Plainte CNIL, scandale médiatique, organisateurs pointés du doigt.
Ce cas extrême illustre un problème bien plus large : la gestion des données personnelles des coureurs est un angle mort pour la majorité des organisateurs. Nom, adresse, email, certificat médical, résultats, photos… Vous manipulez des centaines — parfois des milliers — de données personnelles à chaque édition. Et oui, le RGPD s’applique à votre course, que vous soyez une association loi 1901 ou un organisateur privé.
Voici ce que vous devez savoir pour organiser votre événement en toute conformité.
Quelles données collectez-vous sur vos coureurs ?
Avant de parler de conformité, faisons l’inventaire. Voici les données personnelles qu’un organisateur de course à pied collecte typiquement :
| Catégorie | Exemples |
|---|---|
| Identité | Nom, prénom, date de naissance, sexe, nationalité |
| Coordonnées | Adresse email, téléphone, adresse postale |
| Données sportives | Numéro de dossard, temps, classement, catégorie |
| Données de santé | Certificat médical, licence FFA, questionnaire de santé |
| Données financières | Coordonnées bancaires (via plateforme d’inscription) |
| Données numériques | Historique de connexion à l’appli, notifications lues |
| Données visuelles | Photos, vidéos du parcours et de l’arrivée |
Le premier réflexe : vérifier que vous ne collectez pas plus que nécessaire. Avez-vous vraiment besoin de l’adresse postale de chaque inscrit ? Du nom de l’employeur ? Si la donnée n’est pas indispensable à l’organisation ou à la sécurité de la course, ne la demandez pas. C’est le principe de minimisation imposé par le RGPD.
Base légale : sur quel fondement traitez-vous ces données ?
Chaque traitement de données doit reposer sur une base légale. La CNIL en identifie plusieurs pour les structures sportives (source : CNIL, sport amateur hors contrat). Pour un organisateur de course, les trois principales sont :
L’exécution du contrat
Quand un coureur s’inscrit à votre course et paie ses frais d’inscription, un contrat se forme. Vous avez besoin de son nom, email et catégorie pour gérer cette inscription. Cette base légale couvre l’essentiel de la gestion courante : envoi de la confirmation, attribution du dossard, publication des résultats.
L’obligation légale
Certaines données sont collectées parce que la loi l’exige. La souscription d’une assurance responsabilité civile pour les participants, la transmission de données à la FFA si votre course est labellisée, ou encore la conservation de pièces comptables pendant 7 ans relèvent de cette base.
Le consentement
Pour tout ce qui dépasse la stricte organisation de la course — envoi de newsletters promotionnelles, partage de la base d’inscrits avec des partenaires commerciaux, envoi de notifications marketing via votre application mobile — vous devez obtenir le consentement explicite du coureur. Ce consentement doit être libre, éclairé, spécifique et révocable à tout moment.
“L’inscription à votre course ne vaut pas consentement à recevoir des offres de vos sponsors.”
Le certificat médical : une donnée de santé à traiter avec précaution
C’est le point qui surprend le plus les organisateurs. Le certificat médical d’absence de contre-indication (ou la licence FFA en tenant lieu) est une donnée de santé au sens de l’article 9 du RGPD. La CNIL précise que l’aptitude à l’exercice d’une activité sportive, associée aux circonstances de sa délivrance, constitue une donnée de santé (source : CNIL, données de santé des sportifs).
Ce que cela implique concrètement
- Accès restreint : seules les personnes habilitées (responsable inscriptions, directeur de course) doivent pouvoir consulter les certificats médicaux. Le bénévole au retrait des dossards n’a pas à y avoir accès.
- Stockage sécurisé : pas de certificats dans un dossier Google Drive partagé sans restriction, ni envoyés par email non chiffré.
- Durée de conservation limitée : le certificat n’a plus de raison d’être conservé une fois la course passée et les délais de recours expirés. La CNIL recommande de ne pas dépasser 3 ans après la fin de la relation (source : CNIL, durée de conservation).
- Pas de copie inutile : vérifiez la validité du certificat, mais ne conservez pas systématiquement une copie numérisée si ce n’est pas nécessaire. Un simple enregistrement “certificat vérifié le [date]” peut suffire.
Durées de conservation : combien de temps garder les données ?
La règle d’or : les données ne doivent pas être conservées au-delà de ce qui est nécessaire aux finalités pour lesquelles elles ont été collectées. Voici les durées de référence issues des recommandations de la CNIL pour le sport amateur :
| Type de données | Durée recommandée |
|---|---|
| Données d’inscription (identité, contact) | 3 ans après la dernière participation |
| Résultats sportifs | Durée illimitée si anonymisés (sans données personnelles directes) |
| Certificat médical | Saison en cours + délai de recours (max 3 ans) |
| Données comptables (factures, paiements) | 7 ans (obligation légale) |
| Données de connexion (appli, site web) | 13 mois maximum |
| Photos et vidéos identifiables | Durée de la finalité (communication, archives) avec droit d’opposition |
Passé ces délais, les données doivent être supprimées ou anonymisées. Un participant qui a couru votre 10 km en 2020 et n’est jamais revenu ne devrait plus figurer dans votre fichier d’inscrits en 2026.
Chronométrage et sous-traitance : vos obligations envers vos prestataires
Votre société de chronométrage manipule les données de tous vos coureurs : nom, dossard, temps de passage, classement. C’est un sous-traitant au sens du RGPD, et l’article 28 du règlement vous impose de formaliser cette relation par un contrat écrit (source : CNIL, guide sous-traitant).
Ce que doit contenir le contrat
- La nature et la finalité du traitement (chronométrage, publication des résultats)
- Les catégories de données concernées (nom, dossard, temps)
- La durée du traitement
- Les mesures de sécurité mises en place par le sous-traitant
- L’interdiction de réutiliser les données pour son propre compte
- Les conditions de suppression des données après la prestation
Le piège courant
Beaucoup d’organisateurs signent un devis de chronométrage sans clause RGPD. Or, si votre prestataire utilise les données de vos coureurs pour alimenter sa propre base (classements en ligne, envoi de publicités), c’est vous qui êtes responsable. Posez la question avant de signer : “Que faites-vous des données après la course ?”
Le même raisonnement s’applique à vos autres prestataires : plateforme d’inscription en ligne, photographe officiel, hébergeur de votre application événementielle, imprimeur des dossards.
Les droits des coureurs : ce qu’ils peuvent vous demander
Le RGPD confère à chaque participant des droits précis sur ses données. Vous devez être en mesure d’y répondre sous un mois maximum (source : CNIL, questions-réponses sport amateur).
Les droits à connaître
- Droit d’accès : “Quelles données détenez-vous sur moi ?” Le coureur peut demander une copie de l’ensemble des données que vous conservez.
- Droit de rectification : “Mon email a changé, mettez-le à jour.” Vous devez corriger toute donnée inexacte.
- Droit à l’effacement : “J’ai couru votre course il y a 3 ans, supprimez mes données.” Vous devez obtempérer, sauf obligation légale contraire (données comptables, par exemple).
- Droit d’opposition : “Je ne veux plus recevoir vos emails promotionnels.” Le coureur peut s’opposer à tout traitement fondé sur l’intérêt légitime.
- Droit à la portabilité : “Transmettez-moi mes données dans un format lisible.” Moins fréquent, mais prévu par le RGPD.
Comment vous organiser
Désignez une personne référente au sein de votre comité d’organisation — le secrétaire ou un responsable inscriptions — qui sera l’interlocuteur pour les demandes RGPD. Mettez une adresse email dédiée dans votre règlement et votre politique de confidentialité.
Votre plan d’action en 6 étapes
- Cartographiez vos données : listez tous les fichiers et bases de données contenant des informations sur vos coureurs (tableur d’inscriptions, CRM, appli, prestataire chrono…).
- Rédigez votre registre des traitements : pour chaque fichier, précisez la finalité, la base légale, les destinataires et la durée de conservation.
- Sécurisez les certificats médicaux : accès restreint, stockage chiffré, suppression après la course.
- Contractualisez avec vos sous-traitants : chronométreur, plateforme d’inscription, photographe, hébergeur d’application.
- Informez vos coureurs : politique de confidentialité accessible dans le règlement de la course, sur votre site et dans votre appli. Précisez les finalités, les durées de conservation et les droits.
- Purgez régulièrement : supprimez ou anonymisez les données périmées avant chaque nouvelle édition.
“Le RGPD n’est pas une contrainte administrative. C’est un engagement de respect envers chaque coureur qui vous fait confiance en s’inscrivant.”
Professionnalisez la gestion de vos données coureurs
La conformité RGPD n’est pas réservée aux grandes entreprises. En tant qu’organisateur de course, vous collectez des données sensibles — parfois de santé — et vous travaillez avec des sous-traitants qui y accèdent. Structurer cette gestion, c’est protéger vos coureurs et sécuriser juridiquement votre événement.
Une application mobile dédiée à votre course peut centraliser la communication, gérer les consentements et faciliter l’exercice des droits de vos participants — tout en leur offrant une expérience moderne et respectueuse de leur vie privée. Demandez votre démo de Runify pour découvrir comment simplifier la conformité de votre événement.
Cet article fait partie de notre Guide pour organisateurs de courses. Retrouvez tous nos conseils pour réussir votre événement running.
