2.03. Quelle est la règlementation applicable aux données ?

Le traitement de données personnelles en Europe est encadré par le règlement général de protection des données (RGPD¹). Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, indépendamment de son secteur d'activité ou de sa taille. Il s’applique à tous les organismes établis sur le territoire de l’Union européenne, mais également à tout organisme implanté hors de l’UE dont l’activité cible directement des résidents européens. Les lieux culturels sont donc pleinement concernés par ce règlement. 

Qu’est-ce qu’une donnée personnelle ?
Selon la CNIL, il s'agit de "toute information se rapportant à une personne physique identifiée ou identifiable".

Il existe deux types d’identification :

• identification directe (nom, prénom, etc.)
• identification indirecte (identifiant, numéro, etc.).

Qu’est-ce qu’un traitement de données personnelles ?

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

• tenue d’un fichier de ses clients
• collecte de coordonnées de prospects via un questionnaire
• mise à jour d’un fichier de fournisseurs.

Cadre de référence pour les entreprises et organisations, le RGPD contraint les acteurs économiques à demander explicitement le consentement des personnes avant d’exploiter leurs données. Ce faisant, il a donné aux citoyennes et citoyens plus de pouvoir et de maîtrise vis-à-vis de leurs données personnelles. 

Ainsi, l'ensemble des données personnelles stockées et traitées par un équipement sont concernées par le RGPD. Cela induit donc les données relatives au public, bien-sûr, mais également celles de vos équipes et vos contacts professionnels ! Vos outils de gestion des ressources humaines, de production ou de relation fournisseurs doivent donc faire l’objet des mêmes vigilances et suivis que votre logiciel de billetterie ou de gestion de relation client (CRM)

• Toute collecte de données doit avoir une finalité, un objectif précis et légal. Il n’est pas possible de collecter d’informations personnelles ‘au cas où’ on en aurait besoin un jour.
• En tant qu’exploitant de données personnelles, il vous faut garantir aux personnes la pleine maîtrise de leurs données. Cela suppose une grande transparence dans les traitements prévus de leurs données d’une part, et d’autre part, de garantir une possibilité de rectification ou de suppression de données à ces mêmes personnes. Il vous appartient d’organiser les modalités par lesquelles elles pourront user de ces droits.
• Les données ne peuvent pas être conservées indéfiniment. Il vous faut déterminer des durées de conservation des données raisonnables et cohérentes avec la finalité déterminée pour ces données. Au-delà, ces données devront être supprimées ou anonymisées.
• Les données personnelles en votre possession doivent être sécurisées et vous devez vous assurer de prendre toutes les mesures nécessaires pour éviter le vol de données.
• Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour.
  
• La bonne gestion des données, c’est un processus d’amélioration continue. Cela dépend du bon respect des équipes amenées à effectuer les traitements de données, de la mise à jour régulière des procédures de gestion de données, et du suivi effectif des obligations, notamment en matière de traitement des demandes de suppression de données, ou d’anonymisation.
  

Constituer un registre des traitements de données

Il s’agit d’identifier l’ensemble des données et des traitements que vous effectuez déjà. À nouveau, ce registre devra recenser les traitements et données concernant le public, mais également les équipes (salariées, bénévoles, détachées…).

Pour chaque activité (le traitement de la paie ou les statistiques de vente par exemple) le registre stipulera : 

1. L’objectif poursuivi
2. Les catégories de données utilisées
3. Les personnes et structures y ayant accès dans le cadre de ce traitement (y compris les fournisseurs ou hébergeurs) 
4. La durée de conservation de ces données 

La CNIL, organe de contrôle français veillant à l’application des lois en matière de protection des données, propose un modèle de registre (lien externe) sur son site.

Triez les données en votre possession et que vous venez de recenser

Vous pouvez dorénavant interroger chaque fiche de votre registre et déterminer :

• Si les données que vous récoltez sont adaptées, nécessaires et cohérentes avec votre activité. À titre d’exemple, vous demandez peut-être au public de renseigner son adresse postale complète lors d’achats ou d’abonnements, en avez-vous réellement l’usage ? Si l’envoi par courrier d’une plaquette n’est pas systématique, la demande généralisée de cette information pourrait être reconsidérée.
• Si les accès aux données sont bien proportionnés aux justes besoins des parties prenantes (que l’entièreté de l’équipe n’a pas accès aux données personnelles des clients, à titre d’exemple).
• Si les durées de conservation des données sont adaptées aux besoins.

Vérifiez que vos supports de collecte comportent bien les modalités de collecte, d’usage des données et d’accès à celles-ci pour les personnes concernées

Chaque support de collecte doit mentionner la finalité de la collecte, le fondement juridique sur lequel s’appuie votre traitement, les personnes et structures ayant accès aux données collectées, le délai de conservation et les modalités par lesquelles les personnes concernées par les données peuvent exercer leurs droits d’accès, de rectification et de suppression.

À nouveau, la CNIL française propose des exemples de mention (lien externe) sur son site.

Le RGPD autorise le traitement de données personnelles lorsque celui-ci repose sur l’une des 6 bases suivantes :

• Le consentement explicite de la personne : la personne a consenti au traitement de ses données. Ce motif entre en jeu lorsque vous envoyez des campagnes promotionnelles à une personne ayant donné son accord explicite pour ces actions, en cochant la case prévue à cet effet pendant sa réservation, par exemple.
  
• L’exécution d’un contrat pour lequel le traitement est nécessaire. 
  C’est ce motif qui entre en jeu dans la conservation pour plusieurs mois des données personnelles des spectateurs et spectatrices lors d’une saison de spectacles. Les données sont soumises à un consentement par défaut (pas d'opt-in nécessaire tant qu'on s'adresse au spectateur sur un sujet en lien avec son achat, s'il s'agit de mails transactionnels (lien externe)).
• L’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.
  C’est ce motif que vous activez lors de vos campagnes de marketing digital auprès de votre base de contacts CRM de personnes ayant déjà réservé des spectacles.
• L’obligation légale de traiter ou conserver des données, prévue par la loi (ex : Code de commerce dans le cas d'une vente de billet, interdiction de surprimer les données d'un compte qui serait débiteur tant qu'il n'est pas balancé comptablement...). 

Ces trois premières bases légales sont celles qui s’appliquent principalement au spectacle vivant. Les bases suivantes s’appliquent à d’autres domaines :

• L’exécution d’une mission d’intérêt public pour laquelle le traitement est nécessaire.
• La sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Pour piloter et veiller au respect de l’ensemble de ces démarches, le RGPD créé un nouveau rôle au sein des organisations, ou en dehors : le délégué à la protection des données (DPO). Cette personne ou organisme extérieur (cabinet spécialisé, le conseil juridique habituel de la structure) prend en charge la mise en œuvre des différentes actions permettant de garantir la conformité au RGPD.

Le rôle de DPO, pour être efficacement tenu, doit être assuré par une personne ayant le niveau de compétence requis pour assurer cette conformité. Ce rôle suppose une connaissance du règlement en lui-même, et la capacité à documenter les processus en place, à comprendre les traitements de données, et à interagir avec les parties prenantes concernées.

Pour les structures culturelles ne possédant pas de fonction juridique dans leurs effectifs, il semble pertinent de désigner un DPO externe rattaché à des référents internes.

Si cette configuration n’est pas possible, la fonction de DPO peut-être confiée à un poste interne. Pour éviter les conflits d'intérêt, on veillera à désigner une personne qui n'interagit pas directement avec les données traitées dans le cadre de ses activités principales. Dans cette configuration de DPO interne, il est essentiel de doter le ou la DPO des outils nécessaires pour mener efficacement ses missions. Une formation adaptée doit ainsi lui être accordée préalablement à ses prises de fonction, et son niveau d’autorité et d’indépendance doivent faire l’objet d’une attention particulière.

En conclusion, on insiste sur le fait que la personne déléguée à la protection des données doit être considérée comme cheffe d’orchestre d’un dispositif global et transversal, reposant sur une démarche d’amélioration continue et d’entretien permanent des données. Pour parvenir à insuffler cette dynamique à l’ensemble des équipes travaillant avec ou autour de la donnée ; il est recommandé d'aborder cette démarche comme une conduite du changement et de faire appel aux mêmes étapes.

La CNIL propose un guide complet pour les DPO en français (lien externe) et en anglais (lien externe). 

Dans chaque pays de l’Union européenne, une structure est chargée de veiller au respect du RGPD.

• (FR) MOOC certifiant Le RGPD 7 ans après - fondamentaux et nouveaux enjeux proposés (lien externe) par le Conservatoire National des Arts et Métiers (CNAM) 
  
• (FR) Comprendre le RGPD en 5 questions (lien externe), Le Monde, 2018
• (EN) GDPR : What Is It And How It Might Affect You ? (lien externe) The Wall Street Journal, mai 2018
  
• (FR)  Fiche : sachez que faire quand votre entreprise communique et/ou vend en ligne (lien externe) BPI France / CNIL
• (EN) Practical Guide GDPR for Data Protection Officers (lien externe), CNIL
  
• (FR) Le guide du délégué à la protection des données (lien externe), CNIL, 2022
• (FR) RGPD : petit guide à propos du règlement général sur la protection des données à l’usage du spectacle vivant (lien externe), EntréeDirecte.fr, TMNlab, 2018