Données personnelles : ce que change le RGPD pour le secteur musical

Chloé Chatté 25/05/2018
Le règlement général européen sur la protection des données est en place depuis le 25 mai. Quelles conséquences juridiques pour les structures du secteur musical ? Conseils pratiques.
Les dispositions du nouveau règlement général européen sur la protection des données (RGPD (1)) sont directement applicables dans les Etats membres de l’Union européenne (UE), sans qu’il n’y ait besoin de loi de transposition, à l’inverse des directives européennes. Cependant, le RGPD comporte des dispositions que les Etats peuvent adapter dans leur propre législation. Un projet de loi est ainsi en cours de discussion sur certaines de ces dispositions et une ordonnance venant compléter le dispositif est aussi annoncée. Le RGPD a vocation à harmoniser au niveau européen les règles applicables à la protection des données, notamment en renforçant les droits des personnes et en responsabilisant les opérateurs concernés par le traitements de données personnelles. Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique : identité, coordonnées (cela peut être, par exemple, un numéro d’identifiant, un numéro de client, un numéro de sécurité sociale, des habitudes de consommation…). Si votre activité implique des traitements de données personnelles, il est nécessaire de vous mettre en conformité dès que possible. Le RGPD donne en effet un rôle nouveau aux entreprises, en qualité de gestionnaires de traitement de données. Les entreprises devront mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement et pouvoir le démontrer à tout moment.

Quelles structures sont concernées ?

La première question est de savoir si vous êtes dans le champ d’application de la réglementation. Dans de nombreuses situations, la réponse sera positive. En effet, le fait de traiter des données de billetterie, des données relatives aux jeunes publics, aux ressources humaines (RH), à la santé, ou encore à l’appartenance syndicale – pour ne citer que quelques exemples – entraînera l’application des nouvelles règles. Ce qui est souvent le cas dans le secteur musical. Trois critères cumulatifs permettent de vérifier si votre structure entre dans le champ du RGPD.
Critère n° 1 Votre structure met en œuvre un traitement de données à caractère personnel. A noter que la notion de traitement est entendue au sens large : collecte, enregistrement, conservation, consultation, modification…
Critère n° 2 Votre structure est responsable de traitement – ou sous-traitante – de données personnelles.
Critère n° 3 Votre structure se situe sur le territoire de l’Union européenne.

Vous êtes concernés, que faire ?

Au préalable, identifiez le type de traitements de données à caractère personnel mis en œuvre dans votre structure. Il convient également de vérifier si, pour chacun de ces traitements, les formalités nécessaires ont été effectuées auprès de la Commission nationale de l’information et des libertés (Cnil), en application des règles jusqu’alors en vigueur sur la protection des données personnelles. Pour chacun des traitement opérés, posez-vous six questions selon les recommandations (2) de la Cnil : Qui ? Où ? Quoi ? Jusqu’à quand ? Pourquoi ? Comment ? Passez ensuite à l’action. Vous devez procéder à l’identification de tous vos supports existants, correspondant à chacun de vos traitements, afin de les mettre en conformité avec les nouvelles obligations issues du RGPD. Ces documents doivent comporter les éléments suivants :
• l’identité du responsable du fichier ;
• la finalité du fichier ;
• ce qui vous autorise à traiter les données (par exemple, le consentement de la personne concernée) ;
• les destinataires des données (services internes, prestataires…) ;
• le délai de conservation des données ;
• les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (par un message sur une adresse dédiée ou par courrier postal à un service identifié) ;
les éventuels transferts de données vers des pays hors UE.
Conseil : désignez un “délégué à la protection des données” (ou DPO pour Data Protection Officer en anglais). Cette obligation s’applique pour les structures qui réalisent « un suivi régulier et systématique des personnes à grande échelle ». Dans le secteur du spectacle vivant, le traitement de données de billetterie ou de données RH peut, a priori, être considéré comme un traitement de données à grande échelle. Dès lors qu’aucune définition de cette notion n’a été à ce jour précisée par les textes, il semble prudent de désigner un DPO. Une fois que vous avez choisi le DPO, vous devez le déclarer en ligne sur le site de la Cnil (3). En outre, pour toutes les entreprises comptant au moins 250 salariés ou toutes les structures qui mettent en œuvre des traitements de données à caractère personnel destinés à être conservées, un registre des activités de traitement doit être tenu à jour. La Cnil propose un modèle de registre sur son site internet. Enfin, dans le cas où vos traitements présentent « un risque élevé pour les droits et libertés des personnes physiques », vous avez l’obligation de rédiger une analyse d’impact. Ainsi, sont notamment concernées les données dites sensibles, à savoir : révélant l’origine prétendument raciale ou ethnique ; portant sur les opinions politiques, philosophiques ou religieuses ; relatives à l’appartenance syndicale ; concernant la santé (par exemple une situation de handicap) ou l’orientation sexuelle ; génétiques ou biométriques.

Sécurisez vos données

Pensez à mettre en place des mesures simples pour garantir l’intégrité de vos données, en minimisant les risques de pertes ou de piratage. Voici les bonnes pratiques :
pensez régulièrement à mettre à jour vos antivirus et logiciels ;
protégez les comptes utilisateurs internes et externes par des mots de passe d’une complexité suffisante ;
changez régulièrement les mots de passe, ou le chiffrement de vos données dans certaines situations ;
autorisez l’accès aux données uniquement en cas de besoin, en créant par exemple des profils distincts pour accéder aux données ;
pensez à mettre en place une procédure de sauvegarde et de récupération des données en cas d’incident ;
sécurisez les accès wifi de votre entreprise ;
protégez vos données pendant vos déplacements (n’utilisez jamais des clés USB offertes car elles peuvent contenir des programmes malveillants).
En cas de faille dans votre système de sécurité, notifiez cet incident à la Cnil sous 72 heures.

Le cas particulier du transfert de données hors Union européenne

Si votre entreprise souhaite exporter des données personnelles hors de l’Union européenne (par exemple dans le cas d’une tournée aux Etats-Unis), vous devez y porter une attention particulière. Les transferts de données vers des Etats non membres de l’Union européenne ne peuvent être réalisés que s’ils répondent à des conditions particulières, visant à assurer que des précautions appropriées sont mises en œuvre pour garantir les droits et libertés des personnes.
Quelles sanctions sont encourues ?
La Cnil peut, d’une part, prononcer des mesures correctives (avertissement, rappel à l’ordre, demande de mise en conformité, limitation temporaire ou définitive du traitement…) et, d’autre part, prononcer des amendes administratives.
Le montant des amendes administratives encourues est particulièrement élevé. On en identifie de deux types :
• d’une part, les amendes de type « 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel total de l’exercice précédent », pour sanctionner l’entreprise qui ne serait pas organisée de manière conforme à la réglementation ;
• d’autre part, les amendes de types « 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel total de l’exercice précédent », pour sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées, ainsi qu’en cas de non-respect des règles de transfert de données hors Union européenne.

Un contrôle pragmatique dans les premiers mois de mise en œuvre du RGPD

La Cnil a constaté que la grande majorité des entreprises ne sera pas en conformité avec le RGPD au 25 mai 2018. Ainsi, dans les premiers mois de mise en œuvre du RGPD, la Cnil annonce qu’elle distinguera lors de ses contrôles deux types d’obligations s’imposant aux professionnels. Les principes fondamentaux sur la protection des données personnelles, déjà en vigueur avant le 25 mai 2017, continueront de faire l’objet de vérifications rigoureuses. En revanche, les nouvelles obligations ou les nouveaux droits résultant du RGPD feront l’objet d’un accompagnement pour aider les entreprises à la mise en œuvre concrète de la réforme. Ainsi, la Cnil souhaite chaperonner les entreprises, mêmes celles qui n’en seront qu’au début du chemin si elles ont un plan d’actions établi (4).

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) .
2. Guide de la Cnil : Pratique de sensibilisation au RGPD pour les TPE et PME.
3. Guide de la Cnil : RGPD : se préparer en 6 étapes.
4. Rapport d’activité 2017 de la Cnil.

Abonnement à La Lettre du Musicien

abonnement digital ou mixte, accédez à tous les contenus abonnés en illimité

s'abonner
Mots clés :

Commentaires

Aucun commentaire pour le moment, soyez le premier à commenter cet article

Pour commenter vous devez être identifié. Si vous êtes abonné ou déjà inscrit, identifiez-vous, sinon Inscrivez-vous