^

La filière musicale > Actualité

30 avril 2018

Législation européenne sur la protection des données

Le RGPD sera appliqué à partir du 25 mai 2018

A l'ère du numérique (CRM, newsletter, mailing, bdd, cashless), l'internaute européen a le droit d'avoir de la visibilité et du contrôle sur ses données personnelles. Toutes les structures, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association, doivent prendre les mesures qui s'imposent dans ce nouveau cadre légal. Les données concernées sont les informations à caractère personnel (mail, nom, adresse,...).

En remplacement de la directive datant de 1995 (époque où internet était à ses prémices), l'objectif du RGPD est d'être le nouveau texte de référence dans l'Union Européenne. L'objectif est de permettre à tous les européens d'avoir plus de visibilité et de contrôle sur leurs données personnelles. Pour les structures manipulant cette data (entreprise, sous-traitant, association, collectivités...), l'enjeu est de maîtriser le cycle de vie des données et de pouvoir les transmettre aux personnes concernées sur simple demande. 

Ce texte s'applique à l'ensemble des organisations ayant des activités de manipulation des données personnelles concernant des Européens. L'ensemble des solutions en ligne, Facebook, Amazon, Google, ou tout autre prestataire en ligne, devra se mettre en conformité. 

Une donnée à
caractère
personnelle

Ainsi ce règlement touche au traitement des données personnelles, c'est-à-dire toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. Des données que l'on pourrait considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise.

La notion de
consentement

En France, le RGPD se traduit par une loi qui a été présentée à l'Assemblée Nationale le 13 décembre 2017 et validée par le Sénat ce 19 avril 2018. La notion de consentement, centrale dans la RGPD, était déjà cardinale dans les précédents textes législatifs français. La vraie nouveauté est que ne pas recueillir ce consentement expose "en principe" le responsable de traitement à une amende pouvant aller jusqu'à 4% de son chiffre d'affaire. L'évolution est l'intégration d'un renforcement du recueil de consentement, avec le double opt-in comme principe de précaution. L'internaute valide son souhait en cochant une case non pré-sélectionnée, puis en validant un lien reçu par mail.

Le droit à
l'effacement

Au-delà du droit de visibilité, les internautes européens ont, à travers ce règlement, le droit de contrôle sur leurs données personnelles. Ce point est détaillé dans l'article 17 du RGPD : "La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant ". Les structures doivent de fait être capables de supprimer ces données personnelles ou de mettre en place un processus d'anonymisation. Cela peut paraître simple, sauf s'il y a eu des copies ou extractions de ces données personnelles faites dans le cadre de sauvegarde. C'est afin de répondre à ce cadre que l'audit sur le stockage des données prend son sens.   

Quelles sont les étapes pour se mettre en conformité ?

 

Ces étapes sont inspirées du document édité par la CNIL, les principes clé de la CNIL.

1 - Si le terme peut paraître disproportionné, il est recommandé de désigner un délégué à la protection des données (DPO). Si le premier réflexe est de nommer la personne qui traite et gère les données dans le cadre de sa fonction, cela peut générer un manque de partialité. Les différentes missions de responsable du traitement et de protecteur des données peuvent de fait générer un conflit d'intérêt au travers d'un cumul de fonctions.
La mission de délégué à la protection des données est d'informer et de conseiller les équipes qui traitent les données, de contrôler le respect du règlement, de conseiller la structure.  

2 -  Pour mesurer l'impact du règlement européen sur l'organisation interne de la structure, il convient de faire un audit du traitements des données personnelles. Quelles données sont-elles récoltées ? Pour quoi le sont-elles ? Qui peut y avoir accès ? Où et comment sont-elles stockées ? Quelles mesures de sécurité sont mises en oeuvre contre le piratage ? Combien de temps seront-elles conservées ?

3 - La mise en conformité nécessite un temps de travail sur le long terme. Il convient donc de prioriser les actions à mener. La première action est d'optimiser ses outils de récoltes en ne sollicitant que les données strictement nécessaires. La seconde est d'évaluer l'urgence juridique des différents mode de traitement des données et d'y répondre en conséquence.

4 -  Si certains traitements de données personnelles sont susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun des ces traitements, une analyse d'impact sur la protection de ces données. Ce type d'étude aide à construire des traitements de données respectueux de la vie privée. Il se fait en collaboration avec le responsable de traitement, le délégué à la protection des données, les sous-traitants et l'ensemble des parties prenantes. La CNIL a élaboré une méthode et un catalogue de bonnes pratiques pour mener ce type d'analyse nommée en anglais PIA : Privacy Impact Assessment

5 - Pour assurer un haut niveau de protection des données personnelles en permanence, il faut mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, de prendre en compte la protection des données personnelles dès la conception, de sensibiliser les équipes, de traiter les réclamations et d'anticiper les violations de données.

6 - Enfin, il convient d'être transparent et de communiquer sur le fait de posséder des données personnelles, sur les utilisations faites de ces données personnelles et sur les modes d'action possibles pour intervenir et contrôler ses propres données personnelles.

Europe Numérique

Articles similaires

Actualité

Appel à projet pour la mobilité europée…

Entre avril et sept. 2019 : 3 appels à candidatures !

Le Goethe-Institut en partenariat avec l’Institut français, Izolyatsia et Nida Art Colony de l’Académie des arts de Vilnius ont lancé un projet pilote i-Portunus, sélectionné et financé par le programme Europe créative de l’Union européenne, afin de soutenir la mobilité des artistes et des professionnels de la culture en Europe. Entre avril et sep…
Appui aux acteurs

Wah ! Du mentorat entre femmes de la mu…

12 binômes féminins vont se constituer

Les musiques actuelles innovent pour "valoriser les modèles féminins de réussite". « Wah ! – mentorat » est une expérimentation initiée par la Fédélima, en coopération avec des réseaux régionaux d’acteurs des musiques actuelles, le RIF et la FracaMA, ainsi que le SMA (Syndicat des Musiques Actuelles). L'idée est de constituer 12 binômes féminins p…
Appui aux acteurs

A Nantes, la Créative Factory accèlère.…

Un programme pour structurer des projets ICC à fort potentiel

L'accélérateur nantais Creative Factory Selection recherche sa nouvelle promotion. C'est un programme d’accompagnement destiné à structurer des entreprises ou projets à fort potentiel économique, d’innovation d’usages ou technologiques, évoluant dans le domaine des industries culturelles et créatives (ICC) : architecture, design, arts visuels, mod…

Annonces des adhérents

Adjololo Fête l'été sur 2 jour
Adjololo Fête l'été sur 2 jour
6 groupes en soirée et des animations l'après midi du samedi
Masterclass Rythme Signé
Masterclass Rythme Signé
le 13 mai avec Santiago Vazquez
Tranzistor #65
Tranzistor #65
L'art peut-il soigner ?

Le Pôle de coopération pour les musiques actuelles en Pays de la Loire est un réseau de compétences régional qui, fort de la mobilisation des structures musicales, agit au carrefour du monde culturel, de l’économie et de la recherche. Le Pôle permet aux structures musicales d’organiser leurs coopérations et de co-construire des politiques avec les collectivités territoriales, la Région des Pays de la Loire et les services de l’État. En adhérant au Pôle, les acteurs musicaux poursuivent les objectifs suivants : cultiver la diversité musicale, développer une filière économique et responsable, anticiper les mutations sociétales.

A travers ses missions, le Pôle informe et accompagne les acteurs et les collectivités. Il anime les réseaux, facilite les échanges et coordonne des chantiers thématiques. Il observe et met en valeur l’écosystème musical dans sa diversité. Au plus près des initiatives, le Pôle favorise un dialogue nécessaire permettant de trouver des solutions face aux enjeux culturels, éducatifs, sociaux, économiques et politiques. Co-Missionné par l’État et le Conseil régional des Pays de la Loire, le Pôle est cogéré par ses adhérents.

Le Pôle / Adresse : 6 rue Saint-Domingue - 44 200 Nantes - 02 40 20 03 25

  • Authentification