Entré en vigueur en mai 2018 sur le territoire de l’Union européenne, le fameux « Règlement Général sur la Protection des Données » (RGPD) donne des sueurs froides - parfois inutiles - à certains professionnels, alors que d’autres négligent totalement son importance et font totalement l’impasse sur les obligations créées, au risque de s’exposer à d’autres difficultés. Dans cet article, Joëlle Verbrugge vous propose un rapide tour d’horizon des finalités, de la philosophie générale mais aussi des effets collatéraux parfois dommageables pour votre activité en cas d’irrespect des obligations que crée ce texte.
1) Quelle est la finalité du RGPD ? À qui s’impose-t-il ?
Daté d’avril 2016 et entré en vigueur deux ans plus tard, en mai 2018, ce volumineux Règlement européen a pour finalité de protéger les personnes physiques, de façon générale, contre les abus des collectes et traitements de leurs données personnelles, à l’heure où Internet et le commerce en ligne se développent de façon exponentielle.
Le RGPD s’applique à tous les professionnels, et exclut lui-même « le traitement de données effectué par une personne physique dans le cadre d’une activité strictement personnelle et domestique » (Art. 2.2.c). Si ces notions ne sont pas définies, vous n’êtes de toute façon pas concernés par cette exception pour votre activité professionnelle de photographe. Le RGPD vous est donc applicable sans l’once d’une hésitation dans votre activité professionnelle !
2) Qu’est-ce qu’une « donnée personnelle » ?
La définition d’une « donnée personnelle » est donnée à l’article 4.1. du RGPD et vise « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».
La protection est donc instituée en faveur des personnes physiques, et non des sociétés, et pour autant que ces personnes soient « identifiables », ce critère étant un peu plus large, en pratique, que la nécessité d’être « reconnaissable » généralement utilisée en matière de droit à l’image. En effet, une personne est « identifiable » au sens du RGPD à l’aide de sa seule adresse IP, par exemple.
Notez aussi qu’un professionnel, qui est lui-même une personne physique (par exemple un artisan de votre quartier, un influenceur qui communique sur les réseaux, un avocat/médecin/assureur, etc.. (toute autre profession libérale) qui exerce en communiquant lui-même RESTE une « personne physique », comme telle protégée par le RGPD. En d’autres termes, la protection instituée n’est pas limitée aux activités de la vie privée d’une personne.
3) Certaines « données personnelles » sont-elles mieux protégées que d’autres ?
Oui, certaines données sont classées par le RGPD comme « sensibles » (RGPD, Art. 9). Parmi ces données, on trouve notamment :
- L’origine raciale ou ethnique
- La vie sexuelle ou l’orientation sexuelle
- Les convictions religieuses
- Les opinions politiques ou syndicales
- L’état de santé
- Les données biométriques ou génétiques
- Les condamnations pénales.
La conséquence de la classification d’une donnée parmi les données dites « sensibles » est l’interdiction de principe de tout traitement, sauf dans les cas expressément prévus par le RGPD, notamment lorsque le consentement de la personne a été obtenu. Et c’est en ce sens que vos documents contractuels vont revêtir une importance primordiale, du moins pour toutes les photos qui se réalisent sur commande, que ce soit pour des professionnels ou pour des particuliers.
4) En quoi les photographes sont-ils potentiellement concernés par ces « données sensibles » ?
Imaginons l’exemple suivant : Un photographe de mariage couvre la cérémonie d’un couple qui se marie dans une église/synagogue/mosquée. Les témoins du couple sont présents, et l’un d’eux se déplace en chaise roulante. En outre, il s’avère que l’un des mariés est manifestement d’origine étrangère. À la sortie de la réception, une haie d’honneur est improvisée par une série d’invités, qui arborent fièrement les couleurs et le drapeau d’un parti politique ou d’un mouvement culturel quelconque, dont l’un au moins des mariés fait partie.
Si cet exemple est un peu caricaturé, vous avez toutefois dans cette configuration qui reste plausible des données dites « sensibles » à différents égards :
- L’orientation religieuse, de par le choix du lieu de la cérémonie
- L’état de santé, pour le témoin qui se déplace en chaise roulante
- L’origine ethnique pour celui des mariés qui est d’origine étrangère
- Les orientations politiques pour l’appartenance manifeste à un mouvement politique ou culturel.
Toutes les photos sur lesquelles ces personnes sont représentées sont donc des « données sensibles » au sens du RGPD !
Il est bien sûr possible de décliner l’exemple pour tous types de photographies, en ce compris les reportages des journalistes lors des manifestations, les séries de photos documentaires de certains auteurs et/ou photojournalistes, selon le sujet traité, etc.
5) Quel est le fonctionnement global du RGPD ?
Le RGPD se base sur différents grands principes qu’il est utile de rappeler, puisque ces principes permettent déjà d’appréhender la philosophie de ce règlement de façon globale. Les principes ne sont pas parfaitement étanches : certains comportements peuvent constituer une infraction simultanée à plusieurs de ces principes.
- Le principe de limitation des finalités
Exemple : Recueillir un eMail pour l’inscription à une newsletter est légitime. Par contre, recueillir des données sur le sexe ou l’âge d’un candidat qui postule pour un emploi dans votre entreprise n’est pas légitime.
- Le principe de licéité, loyauté et transparence du traitement : vos prospects doivent être informés que leurs données sont collectées dans une finalité précise.
Exemple : N’imaginez pas récupérer les données de tous vos contacts sur un réseau social pour leur envoyer ensuite une newsletter par eMail.
- Le principe de la minimisation (de collecte) des données : la nature des données collectées doit être en lien direct avec la finalité de la collecte
Exemple : Il n’est pas légal de collecter des informations sur la couleur des yeux ou des cheveux d’un client qui commande une séance familiale. Par contre, cela devient plus légitime si vous cherchez vous-même un modèle d’art pour une série spécifique dans laquelle ces éléments ont une importance.
- Le principe de l’exactitude des données : les données que vous collectez doivent être tenues à jour.
- Le principe de limitation de conservation des données : la durée de conservation ne doit pas excéder ce qui est nécessaire à la finalité du traitement.
Exemple : Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.
- Le principe d’intégrité et de confidentialité : vous avez l’obligation de mettre en place des mesures appropriées pour éviter tout traitement illicite ou toute perte/fuite de données personnelles…
6) « C’est bon, mon webmaster a fait tout ce qu’il fallait, je n’ai rien à craindre »
Contrairement à l’opinion parfois véhiculée sur Internet, la mise en conformité du RGPD ne se limite pas à une politique de sécurité des bases de données liées à l’exploitation de votre site (notamment la liste des inscrits à votre newsletter et la possibilité effective et visible de s’en désinscrire).
La protection des données personnelles est un processus qui débute dès le moment de la collecte des données jusqu’à leur effacement.
Ce workflow doit dès lors devenir un réflexe, de la prise de commande d’un client jusqu’à la finalisation et l’archivage de sa commande, en passant par la sauvegarde des fichiers, etc.
7) Pourquoi dit-on parfois que le RGPD crée une « usine à gaz » ?
Ne nous voilons pas la face : dans sa rédaction, le RGPD a prévu la création et la mise à jour régulière de certains registres qui vont nécessairement alourdir la gestion d’une entreprise.
Lorsque l’entreprise est une importante société, elle a les moyens (et doit les consacrer à cela !) d’engager un salarié ou de faire appel à un prestataire externe pour assurer cette tâche.
Lorsque l’entreprise est une importante société, elle a les moyens (et doit les consacrer à cela !) d’engager un salarié ou de faire appel à un prestataire externe pour assurer cette tâche.
Les professionnels les plus préjudiciés par la lourdeur de ces procédures sont les TPE et PME, pour qui le respect des obligations découlant du RGPD représente une charge de travail importante au moment de la mise en conformité, et qui doivent ensuite veiller à maintenir ces différents documents à jour et s’adapter à toute évolution de leur entreprise, mais aussi des connaissances technologiques en matière, par exemple, de sauvegarde des données.
Tout cela explique la fréquente et irrésistible envie des TPE et PME de faire totalement abstraction de ces obligations.
8) Quels sont les risques légaux en cas d’irrespect ?
Les risques directs sont essentiellement matérialisés par deux types de sanctions :
- Des sanctions administratives, qui sort fort heureusement graduées : en cas de violation démontrée du RGPD, la CNIL commencerait par un avertissement, avant de faire monter éventuellement la pression jusqu’à ordonner, par exemple, la suppression des données ou la rectification de votre process. En cas de contrôle, les choses se passeront d’autant mieux que vous aurez pu répondre aux demandes de précision rapidement, en justifiant des efforts mis en place pour préserver les données personnelles collectées.
- Des sanctions pénales existent également, puisque des dispositions ont été ajoutées au Code pénal (sous le titre « Des atteintes à la personnalité), avec des peines pouvant aller jusqu’à 5 ans de prison et 300.000 € d’amende… PAR INFRACTION constatée… (section "Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques" - Articles 226-16 à 226-24 du Code pénal). Bien sûr, ces plafonds de peine sont réservés aux infractions les plus graves, mais il n’est pas inutile de garder à l’esprit que la matière est aussi évoquée dans le droit pénal !
9) Comment le RGPD est-il parfois utilisé comme une arme ?
Au-delà des sanctions à proprement parler, la conformité au RGPD peut, dans certains cas, devenir un enjeu important dans certains litiges. Laissez-moi vous résumer les faits d’un dossier dont j’ai été personnellement chargée.
- Un photographe répond à une demande de photos émanant d’une modèle d’art établie à l’étranger, dans l’Union européenne.
- Les parties se mettent d’accord (mais sans réellement formaliser leur accord par un contrat, juste quelques échanges SMS et What’s app) sur le tarif que le photographe demandera pour réaliser les photos destinées à servir dans le book de la modèle.
- Le shooting est organisé, les photos sont faites et transmises à la modèle, qui toutefois ne paie pas le montant convenu. C’est à ce moment que le photographe me contacte, pour adresser une mise en demeure.
- Un très vif litige survient ensuite entre les parties, chacune ayant des reproches importants à faire valoir à l’autre.
- La modèle consulte un avocat en Allemagne. Ce dernier m’écrit un courrier dans lequel, après avoir répondu à différents arguments du photographe, termine par les propos suivants : « Par ailleurs, nous constatons que le site web de votre client ne respecte pas le RGPD pour telle et telle raison. Nous envisageons de déposer plainte à ce sujet ». Traduisez de la façon suivante : « Si votre client continue à réclamer le paiement de sa facture malgré le litige qui oppose les parties, nous déposerons aussi plainte pour que la CNIL soit saisie de cet irrespect du RGPD ». En pratique, dans ce cas précis, la modèle aurait dû déposer plainte en Allemagne auprès de l’équivalent allemand de notre CNIL, lequel aurait transmis le dossier à la CNIL en France.
Même si le litige était important et le climat fort tendu, cet exemple démontre que le respect (ou l’irrespect) du RGPD peut être utilisé comme une arme soit dans le cadre d’une relation concurrentielle classique hors de tout litige, soit, comme ce fut le cas ici, comme moyen de pression (voire de chantage) destiné à faire plier un adversaire pour qu’il abandonne ses prétentions de peur de faire l’objet d’un contrôle complet de la CNIL, lequel contrôle serait en tout état de cause chronophage et stressant, et potentiellement suivi de sanctions en cas d’irrespect des dispositions du RGPD.
10) Cela signifie-t-il que je dois obligatoirement effacer toutes mes photos après un certain délai ?
NON !!!
Les impératifs découlant, essentiellement, des nécessités de démontrer vos droits de propriété intellectuelle sur vos photos, et de pouvoir les exploiter aussi longtemps que nécessaire sont en conflit potentiel avec tout ce que nous venons d’examiner.
Mais cela ne veut pas dire que les règles du RGPD prévalent sur les autres règles de droit !
Mais cela ne veut pas dire que les règles du RGPD prévalent sur les autres règles de droit !
Si la CNIL, sur son site, ne reproduit que le texte des articles du RGPD (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article1), il faut aussi prendre connaissance - car il est important ! - du préambule qui, lui, est reproduit sur le site de l'UE à l'adresse https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679).
Vous lirez notamment ceci, dans lequel je vous souligne les arguments qui vous aideront à préserver vos propres droits :
« (4) Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité. Le droit à la protection des données à caractère personnel n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d'entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique. (4ème considérant du préambule du RGPD).
Tout est donc question de mise en balance.
Par contre, le RGD induit nécessairement l’importance de vous prémunir, autant que possible, par voie contractuelle.
* * *
Enfin, gardez à l’esprit que la création et la mise à jour périodique des différents documents que le RGPD vous demande de créer ne peut pas se réaliser en quelques heures. Il faut du temps, mais l’opération, si le mécanisme est bien compris, n’est pas insurmontable et aura au moins le mérite de susciter chez chaque professionnel quelques nouveaux automatismes qu’il pourra ensuite mettre en œuvre.
J’espère que ce petit tour d’horizon vous a permis d’y voir plus clair sur la philosophie générale du RGPD.
Me Joëlle Verbrugge
Pour aller beaucoup plus loin et réaliser votre mise en conformité pas à pas :
Pour aller beaucoup plus loin et réaliser votre mise en conformité pas à pas :