Le RGPD ou Règlement Général sur la Protection des Données prend effet aujourd’hui… Nous vous proposons ci-dessous quelques conseils et ressources… pour appliquer le règlement dans votre structure culturelle !
– C’est quoi une donnée personnelle ?
Une donnée personnelle désigne toute information se rapportant à une personne physique identifiée / identifiable (un email, des coordonnées mais aussi des données de localisation, adresse IP).
Un traitement de données peut se définir comme la collecte ou l’ enregistrement / l’effacement de données personnelle à l’aide de procédés, qu’il soient automatisés ou non. Par exemple la collecte de données pour un abonnement dans un théâtre ou l’entrée dans un musée, l’inscription à une newsletter, mais aussi la récupération de données via un site internet.
– Qui est-ce que cela concerne ?
Le RGPD concerne toute structure ou organisation qui traite des données pour son compte ou non. Elle concerne les organisations établies sur le territoire européen. Mais elle cible aussi les organisations non-européennes qui cible des citoyens européens… Enfin les sous-traitants (Mailchimp ou Sendinblue peuvent être considérés comme des sous-traitants) qui collectent des données pour vous le comptes d’autres acteurs aussi concernés (une agence digitale qui gérerait votre outil de billetterie / votre newsletter…).
Dans ce contexte, les structures culturelles (et les associations culturelles) sont évidemment concernées.
Son objectif est de responsabiliser les acteurs traitant les données, de renforcer le droits des personnes. Enfin son but est de crédibiliser la régulation (les sanctions sont beaucoup plus conséquentes.).
– Qu’est ce que cela change ?
Il existait déjà une directive concernant la protection des données. Mais celle-ci ne prenait pas en compte les nouveautés numériques (réseaux sociaux…). Par ailleurs le RGPD permet une uniformisation des règle appliquées dans les différents états européens.
Il n’annule pas la loi « informatique et libertés » de 1978. Celle-ci est révisée pour l’occasion.
Le RGPD amène un certain nombre d’obligations visant à renforcer les droits des citoyens / la transparence du traitement de leur données. Parmi celles-ci : la portabilité des données.
Il s’agit du droit de récupérer les données communiquées à une plateforme (ex : e-mails) et les transmettre à une autre (réseau social, fournisseur d’accès à internet…). Mais également la tenue d’un registre de traitement des données. Ou encore la nomination au sein de l’organisation d’un responsable du traitement des données. Pour plus d’informations vous pouvez consulter cet article de la CNIL.
– Je suis chargé.e de booking / diffusion, suis-je concerné.e ?
Le RGPD remet au centre du débat la question du consentement. Celui ci est un fondement possible du traitement de données.
Il doit être :
-Libre (on ne peut pas forcer une personne à laisser ses données (cases pré-cochées par exemple)
-Spécifique : il doit y avoir un consentement par objectif (exemple : récolte de données pour abonnement dans une salle de spectacle / pour recevoir une newsletter).
-Informé
Les traitement de données antérieurs au 25 mai et fondés sur le consentement cesseront à cette date si le consentement n’est pas conforme au RGPD ou s’il ne peut être prouvé Par ailleurs, la durée de vie d ‘un consentement est relatif à la finalité du traitement.
En matière d’emailing de marketing, il convient de mettre en place les bonnes pratiques suivantes :
– N’utilisez pas de case pré-cochée ou autre option par défaut.
– Séparez distinctement la déclaration de consentement des autres conditions.
– Formulez autrement : oui je souhaite être informé.
– Donnez le choix de consentir aux opérations de traitement indépendantes.
– Démontrez que la désinscription et l’exercice des différents droits sont faciles à exercer.
– Assurez-vous que le consentement des enfants est légalement obtenu.
– Documentez au mieux l’obtention du consentement (double opt-in par ex).
Est-ce que les chargés de diffusion ne pourront plus contacter les programmateurs sans leur consentement ? D’après cet article de la CNIL, le RGPD ne change pas les règles applicables aux mails de prospection.
– Que faire ?
Au delà de la contrainte que peut représenter ce règlement, il faut y voir l’opportunité de classer / rafraîchir ses données. Ce peut être l’opportunité de lancer un nouveau produit / de faire une promotion. La notion de consentement renforce également votre travail relation avec les publics et devrait rendre vos opérations de communication / marketing plus efficace.
Si le règlement prend effet au 25 mai 2018, la CNIL se veut rassurante : elle laissera aux organisations, le temps de mettre les choses en place.
Pour vous mettre en action, nous vous recommandons
– ce guide proposé par la CNIL et la BPI : il propose 4 étapes :
1- recensez vos fichiers de données / tenez un registre
2- faites le tri dans vos données
3- respecter le droit des personnes
4- sécurisez vos données
– cet article pour les chargés de diffusion
– ce guide sur la sécurité des données personnelles
– Et enfin ce guide en 6 étapes pour se préparer à la RGPD
[…] sur cette question de datas. Il y a évidemment à prendre en compte les contraintes amenées par la RGPD auxquelles il faut notamment faire attention (qu’est ce que l’on fait de ces données ? Combien […]
[…] RGPD : conseils et ressources pour les structures culturelles mai 25, 2018 […]
[…] la question de la méthode : comment je fais pour récolter les données ? La mise en place de la RGPD l’année dernière pose aussi des questions en termes de consentement. Désormais, lorsque l’on […]
[…] le RGPD entré en vigueur en mai 2018 ? LB : La CNIL centralise toute la réglementation autour du RGPD. C’est une excellente occasion de mettre au carré l’ensemble des méthodologies autour de la […]