Le Règlement Général sur la Protection des Données entre en vigueur le 25 mai prochain. D’emblée, ce que chacun a pu retenir sont les sanctions lourdes et dissuasives en cas de non respect de ce règlement. Mais concrètement, le RGPD, qu’est-ce que c’est ? Le 25 mai sera-t-il une date couperet ? Qu’implique sa mise en place pour les structures du spectacle vivant, notamment pour les chargés de diffusion et les bookers ?
Renforcer la protection des données personnelles
Le Règlement Général sur la Protection des Données 2016/679 est un règlement qui a été adopté en avril 2016 par le Parlement européen. Il s’agit du texte de référence européen en matière de protection des données personnelles et de la libre circulation de ces données. Les dispositions du RGPD sont directement applicables dans l’ensemble des pays de l’Union et ce, à compter du 25 mai 2018. Notez que le RGPD n’annule pas les lois nationales en vigueur et notamment la loi 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et à la liberté, laquelle sera néanmoins révisée pour l’occasion.
Le RGPD renforce le droit à l’accès et à la modification des données personnelles, le droit à l’oubli des individus et interdit la collecte de données sans consentement. Ce règlement implique donc une plus grande responsabilité de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants. Enfin, ce règlement a pour objectif de crédibiliser la régulation grâce à une meilleure coopération des autorités de protection des données.
Plus d’obligations pour les organisations
Cette responsabilité se traduit par des contraintes qui s’appuient sur les principes de « Privacy by design » (protection de la vie privée dès la conception), de « Privacy by default » (garantir par défaut le plus haut niveau possible de protection des données) et d’ « Accountability », c’est-à-dire l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Le RGPD introduit donc des changements radicaux dans la gestion des données par les organisations (entreprises, mais aussi structures, associations,…) qui seront sanctionnées (voir plus bas) si elles n’appliquent pas les directives.
Une révision de la loi “Informatiques et Libertés”
Par ailleurs, et pour adapter le droit français, la loi Informatique et Libertés a été révisée au printemps 2018, avant que le règlement européen ne soit en application : majorité numérique abaissée de 16 à 15 ans, renforcement du pouvoir de la CNIL. Les parlementaires ont également voulu renforcer les droits des citoyens en cas d’utilisation illégale de leurs données personnelles : un amendement adopté leur permettra d’intenter une action de groupe (class action) pour obtenir une réparation financière en cas de préjudice financier ou moral.
Plus de contraintes pour les structures
« Un certain nombre de principes du RGPD ne sont pas nouveaux », déclarait au journal Les Echos, Isabelle Falquer-Pierrotin, directrice de la CNIL. Par exemple, l’obligation de devoir préciser la finalité de la collecte des données personnelles demeure. Tout comme les limites relatives à la durée de conservation d’une donnée, sa pertinence, le respect des droits des personnes. Et puisque ces points existaient déjà, la CNIL continuera à les contrôler après la date du 25 mai 2018, comme elle pouvait le faire auparavant.
En revanche, il existe des principes ou de nouveaux outils tels que le droit à la portabilité des données d’un service à un autre, le registre de traitement ou encore la désignation d’un délégué à la protection des données. Et sur ces obligations nouvelles, la CNIL adoptera « une posture d’accompagnement ». Le but, précisait alors la directrice de la CNIL n’était pas de sanctionner immédiatement les manquements à ces nouvelles contraintes. Du moins, durant l’année 2018… !
Comment se traduit la responsabilisation des acteurs ?
La structure qui conserve des données personnelles doit assurer la sécurisation de leur stockage (contre tout accès non autorisé, traitement illégal, pertes…) et le prouver ! Le RGPD implique la tenue d’un registre des traitements, la nomination d’un délégué à la protection des données (DPO) pour les entreprises de plus de 250 salariés (et conseillée pour toutes les entreprises), la certification des traitements, la notification des failles sous 72h et des études d’impact sur la vie privée.
Il est à noter que les petites structures sont dispensées d’un certain nombre d’obligations telles que la désignation d’un DPO, la consignation des activités de traitement ou l’analyse d’impact et le signalement systématique de toutes les violations de données aux personnes physiques. Toutefois, nous ne pouvons que vous conseiller de vous rapprocher de votre service juridique car ces assouplissements sont sujets à nombre de conditions.
Des sanctions dissuasives
Selon l‘article 83 du règlement, des sanctions « effectives, proportionnées, et dissuasives » (en clair, des amendes) seront appliquées par l’autorité de contrôle (la CNIL en France) en cas de non-respect du RGPD :
- Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour des manquements aux obligations incombant au responsable du traitement (DPO), aux sous-traitants ou aux activités de traitements.
- Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour manquement notamment aux droits des personnes : droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.
A titre de comparaison, le montant des sanctions prévu par la Loi Informatique et Libertés du 6 janvier 1978 ne pouvait excéder 150.000 € pour un premier manquement (300.000 € en cas de récidive dans les 5 ans).
En outre, l’article 84 du règlement précise que chaque état membre peut mettre en place des sanctions supplémentaires en cas de violation du RGPD. En France sont notamment prévues des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende en cas de détournement de la finalité des données personnelles lors d’un traitement de données (articles 226-16 à 226-24 du Code Pénal)
Quel impact pour le booking et la diffusion ?
Pourra-t-on continuer à envoyer des e-mails de prospections ?
“Le RGPD, c’est la fin de cold e-mailing” entend-on depuis plusieurs mois. Alors, est-ce vrai qu’à partir du 26 mai 2018, vous ne pourrez plus envoyer un seul mail à un programmateur ? D’un point de vue juridique et pratique, ce nouveau règlement n’a pas d’impact proprement dit sur la prospection. En effet, la majorité des principes étaient déjà en vigueur avant la mise en place du RGDP : “Non, le RGPD ne change pas les règles applicables aux mails de prospection, que ces derniers soient en B2B ou B2C”, précise la CNIL dans cet article du 30 mars 2018 .
En effet, les règles en matière de prospection électronique sont actuellement régies par la directive e-Privacy (*) de 2002, transposée en droit français à l’article L34-5 du Code des Postes et des communications électroniques. Autrement dit, même si le RGPD remet un coup de projecteur sur le sujet du consentement (défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »), les dispositions légales en matière d’inscription aux newsletters existent déjà depuis de nombreuses années.
Concrètement, la personne concernée doit avoir soit coché une case, soit déclaré ou avoir eu un comportement indiquant clairement qu’elle accepte le traitement de ses données. Ainsi, ne peuvent être considérés comme valides les silences, les cases pré-cochées ou encore le consentement implicite.
Une opportunité pour ré-engager vos interlocuteurs
L’application prochaine du RDGP est une bonne occasion pour vérifier si les abonnés à vos newsletters ont exprimé clairement le consentement à s’inscrire. Si vous utilisez déjà le principe du double opt-in mis en place mis en place par les principales plateformes de newsletter (MailChimp, MailJet, SendInBlue, YMLP), le consentement a été validement acquis.
Si ce n’est pas le cas, c’est une bonne occasion pour organiser une campagne dite de “ré-engagement”. La finalité de cette opération sera de recueillir un consentement valide de vos interlocuteurs – en envoyant un email à vos contacts en leur demandant de cliquer sur un bouton pour se réinscrire à votre newsletter et en ne conservant que ceux qui ont cliqué.
Mais au delà cette objectif pratique, une telle campagne est surtout une occasion de mettre en avant votre actualité, un nouveau spectacle, l’actualité d’une création, la présence de vos artistes dans les festivals de cet été !
De plus, en faisant le tri dans vos listes, vous aurez toutes les chances d’augmenter vos taux d’ouvertures et de clics, ainsi que de limiter le pourcentage de plaintes et de bounces, ce qui aura pour effet de servir positivement votre e-réputation (et la délivrabilité de vos e-mails).
Droit à l’oubli, portabilité, sécurisation du stockage
Autre mesure phare de cette nouvelle réglementation, le droit à l’oubli qui est décrit en détail dans l’article 17 du RGPD. Aussi appelé droit à l’effacement des données, il garantit à toute personne d’obtenir du responsable du traitement – c’est à dire vous ! – “sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs” d’obtenir la suppression des données personnelles le concernant.
Citons également le droit à la portabilité (article 20 du RGPD) qui garantit aux utilisateurs la possibilité de récupérer l’intégralité des données les concernant sous un format ouvert et lisible. Le G29 (le groupe des “CNIL” européennes) demande notamment aux organismes d’offrir aux personnes la possibilité de “télécharger directement leurs données personnelles” et de “ne pas faire obstacle à la transmission de ces données à un autre responsable du traitement”.
Enfin, il est de votre responsabilité d’assurer la sécurité des données que vous stockez. Sur le plan organisationnel, il s’agit de sensibiliser les utilisateurs – notamment à l’utilisation de mot de passe sécurisés, gérer les habilitations, effectuer des sauvegardes régulières. Sur le plan technique, il convient de garantir l’intégrité et la sécurité des données récoltées de manière continuelle, pour éviter tout cas de piratage ou de brèche informatiques (sécuriser les postes de travail, anticiper les atteintes à la sécurité liés au vol ou à la perte d’un équipement mobile, etc.)
Cela pose la question de la conformité et de la sécurité de votre système de stockage de votre base de données de contacts.
Si vous utilisez notre logiciel Orfeo pour stocker vos contacts et gérer votre diffusion / booking, vous êtes déjà en conformité sur ces points. En effet, Orfeo vous permet de :
- prouver la suppression des données si l’utilisateur en fait la demande (en gardant en historique la date de demande de suppression, et la preuve de la suppression effective des données)
- gérer les habilitations de manière fine, en limitant les accès aux seules données dont un utilisateur a besoin.
- mettre en place une politique de mot de passe ayant de niveau complexité suffisant (sachant qu’Orfeo ne stocke pas les mots de passe en clair mais de manière chiffrée via l’algorithme pbkdf2 /sha256; et qu’un aucun mot de passe n’est jamais envoyé par e-mail)
- bénéficier de sauvegardes régulières (effectuées sur un site distant, géré par un opérateur distinct, avec historisation sur 30 jours), exporter de manière autonome l’intégralité de vos données (au format Excel) et obtenir si vous le souhaitez un dump SQL de vos données
- sécuriser l’échange de vos données entre les serveurs d’Orfeo et votre navigateur, via un certificat SSL (Secure Socker Layer)
- vous reposer sur une infrastructure hautement sécurisée (accès aux data-centers réservé aux techniciens habilités, reconnaissance biométrique, serveurs protégés par firewall, avec bannissement automatique des IP effectuant des attaques, protection anti-DDoS avec stratégie de re-routage DNS)
Le RGPD est un sujet complexe. Mais si vous êtes un professionnel du spectacle vivant, vous pouvez commencer par une action simple : choisir de stocker votre base de données de booking / diffusion dans un logiciel prêt pour la RGPD comme Orfeo. Et n’hésitez pas à vous référer au site de la CNIL qui, consciente de l’importance du chantier, a rappelé son rôle d’accompagnateur avant d’être la structure qui sanctionne
(*) A noter, la directrive ePrivacy est en cours de remplacement par un règlement ePrivacy au Parlement Européen.