Lorsque vous accumulez les contacts, vous conservez de nombreuses adresses e-mail et informations personnelles sur vos spectateurs, vos partenaires, ou les artistes que vous engagez. Une somme d’informations qui, dans certains cas, doit être déclarée à la Commission Nationale Informatique et Libertés (CNIL). En effet, la CNIL exerce son autorité sur toutes les organisations utilisant les données des internautes, et cela comprend celles du spectacle vivant. Mais alors, devez-vous déclarer vos fichiers ?
Qui doit déclarer ses fichiers à la CNIL ?
Tous les utilisateurs de données personnelles se doivent de déclarer leurs fichiers et leur traitement de données à la CNIL, sauf exceptions (activité personnelle d’un particulier, liste de membres d’un parti politique…). La déclaration est obligatoire pour les producteurs, diffuseurs, gestionnaires dans le monde du spectacle vivant. Néanmoins il faut d’abord connaître les définitions de la CNIL concernant les données personnelles et le traitement de données :
-
Données personnelles :
“Les données sont considérées comme à caractère personnel dès lors qu’elles permettent d’identifier directement ou indirectement des personnes (ex. : nom, n° d’immatriculation, n° de téléphone, photographie…)”.
-
Traitement de données :
“Un traitement de données vise la collecte, l’enregistrement, l’utilisation, la transmission ou la communication d’informations personnelles ainsi que toute exploitation de fichiers ou bases de données, notamment des interconnexions”.
Par ailleurs, vous devrez déclarer votre site internet à la CNIL en même temps que les fichiers et traitements de données. C’est pourquoi, ces deux actions ne représentent qu’une seule et même démarche. Il y a toutefois trois cas principaux de dispense de déclaration de site internet :
- les sites personnels (blogs) ;
- les sites institutionnels (orientés vers la communication, à l’opposé des sites commerciaux) ;
- les sites d’associations loi 1901.
Pour plus d’informations, consultez la liste des dispenses sur le site de la CNIL.
Comment remplir sa déclaration ?
Vous ne déclarerez pas sur un même formulaire les données qui concernent vos contacts de spectateurs, les artistes qui participent à vos spectacles, ou vos partenaires professionnels. En effet, la CNIL demande de faire une déclaration séparée si la finalité des données n’est pas la même. Selon la finalité, chacun ira dans une case différente : les spectateurs et partenaires sont considérés comme des clients, les artistes (intermittents ou non) sont considérés comme des salariés. C’est sur la page “Finalité” que vous devrez signifier le type de données que vous souhaitez déclarer.
Pour déclarer vos fichiers de clients (spectateurs, partenaires), et vos fichiers de prospects, le site de la CNIL bénéficie d’une déclaration déjà optimisée, en référence à la norme simplifiée 48. Néanmoins, les artistes ou autres employés devront faire l’objet d’une déclaration “normale” qui vous demandera de préciser plusieurs points :
- le responsable de la gestion des fichiers ;
- la mise en oeuvre (organisme chargé de l’utilisation des fichiers) ;
- la finalité du traitement des fichiers ;
- les droits d’accès aux données ;
- la sécurité des données (mot de passe) ;
- les interconnexions entre bases de données (partage, échange) ;
- le contact référent (la personne qui a rempli la déclaration).
À ne pas oublier : les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent être soumis à l’autorisation de la CNIL avant leur mise en oeuvre .
Fichier en ligne ou fichier hors-ligne, quelle différence ?
Selon la loi n°78-17 du 6 janvier 1978, la déclaration à la CNIL est obligatoire autant pour des fichiers utilisés dans le cadre d’un logiciel en ligne que pour un fichier géré en local (tableur, traitement de texte…). Il n’y a pas de cas particulier si vous utilisez l’une ou l’autre des méthodes pour gérer vos fichiers. Voici ce que dit l’article 2 du texte : “La loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers”
La réglementation et les risques pour manquement
Déclarer ses fichiers est une chose, mais pour ne pas être en infraction, vous devez aussi respecter la réglementation que la CNIL divise en 6 points :
– L’obligation de sécurité : tout responsable de fichiers d’informations personnelles doit s’assurer de la sécurité physique(sécurité des locaux) et logistique (sécurité des systèmes d’information). Ces conditions doivent être adaptéesà la nature des données et aux risques présentés par le traitement.
Risque en cas de manquement : le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.
– L’information des personnes : le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient de connaître son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, et les transmissions envisagées. Risque en cas de manquement : le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.
– La confidentialité des données : seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Les destinataires désignés dans la déclaration, et les «tiers autorisés» qui peuvent accéder au fichier ponctuellement par une action motivée (ex : la police, le fisc).
Risque en cas de manquement : la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.
– La durée de conservation des informations : Les données personnelles ont une date de péremption. Une durée de conservation raisonnable doit être choisie en fonction de l’objectif du fichier, lors de la déclaration.
Risque en cas de manquement : le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.
– L’autorisation de la CNIL : Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l’autorisation de la CNIL.
Risque en cas de manquement :le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende.
– La finalité des traitements : Un fichier doit avoir une finalité, un objectif défini. Les informations qui sont exploitées dans un fichier doivent être cohérentes par rapport à son objectif. De plus, les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Un exemple serait des données collectées dans le but d’informer, mais utilisées dans un but commercial.
Tout détournement de finalité est passible de 5 ans d’emprisonnement et de 300 000 € d’amende.
Concernant les mentions légales, la loi Informatique et Libertés vous oblige, au moment où vous renseignez le dossier de votre client, à l’informer de ses droits par des mentions précises.
Pour plus de détails sur les réglementations et pour déclarer vos fichiers, consultez le site de la CNIL.
Source image à la Une : Flickr – Marie-II