Fiche rédigée en partenariat avec le RIM – Réseau des Indépendants de la Musique en Nouvelle Aquitaine.
+ Sources et outils complémentaires :
Vous en avez sans doute entendu parler depuis quelques mois, vous savez que cela vous concerne mais pas vraiment pourquoi ni comment, à partir du 25 mai 2018 s’applique le RGPD (Règlement général sur la protection des données). Sujet technique mais pas insurmontable pour vous labels, voici une fiche qui a vocation à vous expliquer concrètement comment vous mettre aux normes.
Alors, qu’est ce que c’est ? A la base, son objectif premier est de protéger les libertés et droits fondamentaux des personnes physiques, surtout en ce qui concerne leurs données personnelles – qu’elles soient privées (clients, prospects) ou professionnelles (fournisseurs, employés). Avec comme mots d’ordre : transparence (chacun doit pouvoir savoir ce qui est fait de ses données et s’opposer à la collecte de celles-ci) et sécurisation. La sanction financière en cas de non régularisation s’élève tout de même jusqu’à 4% du CA de l’entreprise ou 20 millions d’€.
Si cette loi est surtout importante dans le cadre des grands réseaux sociaux, accusés de sonder les faits et gestes des abonnés pour aiguiser les campagnes de publicité, sans avoir pris soin de glaner préalablement leur consentement libre – elle concerne dorénavant toutes les sociétés qui exploitent des données personnelles pour vendre, faire de la promotion etc.
Vous êtes vivement invités à parcourir le document ci-dessous et à vous mettre en conformité selon les principaux pré-requis.
Tous les acteurs économiques et sociaux collectant les données personnelles de citoyens européens. Soit les entreprises, les associations, les organismes publics et leurs sous-traitants.
➲ Vous, labels indépendants qui disposez de bases de données VPC, e-mailing, listings de contacts médias…
Donner aux citoyens de l’union européenne davantage de contrôle et de visibilité sur leur vie privée : quelles données sont collectées ? De quelle manière ? Où sont-elles ? Comment sont-elles mises à jour ? Comment les récupérer sur simple demande ?
➲ Vous, label indépendant devez à tout moment savoir de quelles données vous disposez, leur localisation, l’objectif de leur collecte, leur process de traitement, leur mode de stockage, et en assurer la portabilité.
Considéré dans son sens le plus large, « traitement » désigne tout ce qui a trait aux données personnelles, y compris la façon dont une entreprise manipule et gère des données, par exemple dans le cadre de leur collecte, stockage, utilisation et destruction. Une « donnée personnelle » correspond à toute information identifiant directement ou indirectement une personne physique (ex. nom, no de téléphone, date de naissance, commune de résidence, empreinte digitale…).
Le RGPD introduit deux nouveautés d’importance :
❶ Désigner un.e pilote/référent.e/responsable
❷ Cartographier vos traitements de données personnelles sur un document de référence.
❸ Prioriser les actions à mener : informer les personnes, mettre à jour vos mentions légales…
❹ Gérer les risques (si vous traitez des données sensibles, réaliser une étude d’impact.).
❺ Organiser les processus internes
Première étape, il convient de désigner, au sein de l’entreprise, un.e délégué.e à la protection des données qui veille, informe et conseille sur les obligations à respecter.
Il s’agira pour vous, par exemple, d’avoir un contact dédié à la question des données personnelles. Ses coordonnées (adresse mail, téléphone) devront notamment apparaître clairement sur vos supports de communication en ligne (dont le site web). En cas de demande de modification, portabilité, retrait, ou toute autre requête relative aux données personnelles, c’est aussi cette personne qui devra, en tant que responsable administratif (et non pénal), les traiter.
➲ Label TPE, si vous êtes seul employé vous serez de facto Délégué à la Protection des Données. Vous n’aurez pas besoin d’indiquer les noms et prénoms du référent sur vos sites web, une adresse email générique suffira.
Pour information, voici les missions de votre DPD (Délégué à la Protection des Données) :
Tenir une documentation interne complète sur les traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales. Objectif : établir un plan d’action.
Outil à remplir et à conserver dans vos documents administratifs en cas de contrôle : le registre des activités de traitement.
En découle le plan d’action.
Après quelques recherches, voici le modèle de registre que nous préconisons, qui nous semble le plus simple à remplir. C’est rapide, cela vous prendra 10 minutes !
Identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir.
1) La nécessité contractuelle:
Les données traitées doivent être nécessaires au service et définies dans le contrat avec la personne. (ex : collecte des adresse / date de naissance des employés).
Dans votre cas, il s’agit des données de vos employés mais aussi des informations récoltées par votre VPC. L’acte d’achat est un contrat entre vous et le client en soi.
2) Le consentement :
Un consentement doit être spécifique, éclairé, accordé librement et sans ambiguïté par une action positive claire.
Exemple : pour l’inscription à vos newsletters, intégrer le double opt-in qui consiste à demander une double confirmation à chaque internaute pour recevoir vos campagnes d’email marketing. Toute technique de déstabilisation, comme pré-cocher la case d’opt-in ou avoir recours à une formulation trop vague ou prêtant à confusion (emploi de double négation ou incohérences) sera refusée par le RGPD.
3) Que faire de ma liste de contacts existante ?
A moins que vous ne disposiez d’une trace prouvant le consentement de vos contacts, vous ne pourrez pas leur envoyer de campagnes d’emails marketing. Si vos contacts sont consentants à recevoir vos communications mais que vous n’avez pas un document qui le prouve, vous devrez alors mener une campagne emailing pour obtenir à nouveau le consentement.
4) Qu’est-ce que l’intérêt légitime ?
Selon l’article 6, les organisations du secteur privé peuvent traiter les données de personnes sans leur consentement si elles ont une raison légitime de le faire et ne doivent pas être contrebalancées par un impact injustifié sur les individus. Les droits fondamentaux et la liberté du sujet ne devraient pas être lésés. Le traitement de données à caractère personnel dans le but de prévenir la fraude est considéré comme un intérêt légitime, ce qui n’est pas le cas du marketing direct.
Les personnes ont le droit de retirer leur consentement et doivent être informées de ce droit.
Il doit provenir d’une personne ayant atteint la majorité selon les lois de l’État membre concerné ou il doit être donné ou autorisé par un parent ou une personne responsable dans le cas d’un mineur.
Le consentement explicite peut être requis dans certains cas (par exemple, pour des catégories spéciales de données personnelles).
Labels, vous devez donc légalement envoyer une campagne d’emailing à vos contacts de marketing direct pour confirmer leur consentement. Un tutoriel qui nous parait explicite ici.
Le droit à l’information est renforcé : vous devez indiquer la base juridique sur laquelle se fonde le recueil des données, indiquer leur durée de conservation, et les modalités de mise à jour ainsi que de gestion des droits des personnes (accès, rectification, effacement, etc.), ou encore le droit pour les personnes concernées d’introduire une réclamation auprès d’une autorité de contrôle.
Sur votre site web, une mention devra comporter les informations ci-dessus, accompagnée du contact email du Délégué à la Protection des Données. Nous cherchons un modèle précis pour vous labels et l’indiquerons dès que possible, d’ici la vous pouvez vous référer au modèle CNIL.
Droit à la portabilité : toute personne peut demander à recevoir ses données dans un format structuré et lisible.
Droit à l’oubli : elle peut obtenir l’effacement des données la concernant dans certains cas.
Dans la mesure du possible, anonymisez vos données par chiffrement et pseudonymisation par exemple. Vous devrez informer au plus vite les autorités en cas de violation de données personnelles (perte, divulgation, accès non autorisé, vol d’ordinateur).
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun d’entre eux, une étude d’impact sur la protection des données.
Comment identifier les données sensibles dans le secteur culturel ?
Si vous avez répondu oui à l’une de ces questions :
Un régime spécifique s’impose parce que ce type de traitement est interdit sauf sous certaines conditions, si l’organisation a préalablement recueilli le consentement de la personne concernée ou si le traitement est nécessaire pour des motifs légitimes. (article 9 du RGPD)
Il conviendra de réaliser des analyses d’impact sur les traitements à risques élevés pour :
Modèle d’étude d’impact : 1 et 2
A priori, les labels ne seront pas concernés par les données sensibles, s’il apparait que vous en possédez quelques unes, envisagez de les supprimer pour éviter cette classification.
Dès la conception d’un nouvel outil ou du lancement d’un nouveau projet (informatique notamment), pensez à appliquer le principe de protection des données et les limiter aux données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Les accès sont restreints aux seules personnes légitimes, en raison de leur fonction ou mission. Cette démarche doit être documentée et tracée.
Mettre en place un document qui détaille les lignes directrices, auquel se reportent les collaborateurs, ainsi que les relations de votre organisation avec leurs sous-traitants (prestataires d’hébergements de site internet, routeurs).
Labels, gardez bien en tête que vous êtes co-responsables, par exemple contactez Bandcamp (qui contrairement à d’autres n’a pas encore publié d’information sur sa mise en conformité RGPD) pour leur demander ce qu’ils comptent faire.
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire en un petit dossier. Tout a déjà été détaillé dans les étapes ci-dessus. Voici un récap’ des documents à fournir en cas de contrôle.
Pour vous labels, qui n’êtes pas concernés par les données sensibles
Fiche rédigée en partenariat avec le RIM – Réseau des Indépendants de la Musique en Nouvelle Aquitaine.
+ Sources et outils complémentaires :
©AgenceTHRIVE Mentions légales