Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, a permis de mieux encadrer la manière dont les entreprises manipulent les données personnelles. Pour les photographes et vidéastes professionnels, la conformité au RGPD est essentielle non seulement pour éviter des sanctions financières, mais aussi pour gagner la confiance des clients. La FFPMI vous éclaire sur comment vous conformer dans l’exercice de votre activité au RGPD.
Qu’est-ce que le RGPD ?
Le RGPD est un texte réglementaire européen qui encadre la collecte, le traitement et l’utilisation des données personnelles sur tout le territoire de l’Union Européenne. Le RGPD s'applique à toute organisation qui traite des données personnelles de résidents de l'UE, qu'elle soit située dans l'UE ou non.
Par donnée personnelle, il faut entendre, selon la Commission nationale de l’informatique et des libertés (CNIL), “toute information se rapportant à une personne physique identifiée ou identifiable”. Cela inclut des éléments évidents comme le nom, l'adresse, le numéro de téléphone, mais aussi des informations moins évidentes comme des photos, des vidéos, des adresses IP, et même des identifiants en ligne. Ainsi, pour les professionnels de l’image, les images et vidéos de personnes peuvent constituer des données personnelles si ces personnes sont identifiables.
En vertu du RGPD, la collecte des données doit être licite, loyale et transparente. Pour s’y conformer, la CNIL détaille 4 actions à adopter pour tout professionnel.
Actions principales pour se conformer au RGPD
→ Constituer un registre de vos traitements de données
La première étape pour se conformer au RGPD est de constituer un registre des traitements de données. Ce registre doit inclure toutes les informations pertinentes sur les données que vous collectez, utilisez, stockez et partagez.
Voici les éléments essentiels à inclure dans votre registre :
La première étape pour se conformer au RGPD est de constituer un registre des traitements de données. Ce registre doit inclure toutes les informations pertinentes sur les données que vous collectez, utilisez, stockez et partagez.
Voici les éléments essentiels à inclure dans votre registre :
- Description des données collectées : Précisez le type de données personnelles que vous collectez, comme les noms, adresses, numéros de téléphone, adresses e-mail, images, vidéos, etc.
- Finalité du traitement : L’utilisation et le traitement de données personnelles doivent s’inscrire dans un but précis. Vous devez donc expliquer pourquoi vous collectez ces données.
- Base légale du traitement : Indiquez sur quelle base légale repose chaque traitement de données, comme le consentement des personnes concernées, l'exécution d'un contrat, le respect d'une obligation légale, etc.
- Catégories de personnes concernées : Identifiez les groupes de personnes dont vous traitez les données, comme les clients, les modèles, les employés, etc.
- Destinataires des données : Mentionnez qui a accès à ces données.
- Durée de conservation des données : Les données personnelles ne peuvent être conservées indéfiniment : vous devez déterminer une durée de conservation en fonction de l’objectif ayant conduit à la collecte de ces données. Pour cela, vous pouvez vous référer au guide pratique mis en place par la CNIL.
Votre registre doit être mis à jour régulièrement, lors de chaque modification des conditions de mise en œuvre des traitements de données.
Vous trouverez plusieurs modèles de registres mis à jour à télécharger sur le site de CNIL.
→ Faire le tri dans vos données
La deuxième action consiste à faire le tri dans les données que vous collectez et à ne conserver que celles qui sont vraiment nécessaires pour votre activité professionnelle.
→ Faire le tri dans vos données
La deuxième action consiste à faire le tri dans les données que vous collectez et à ne conserver que celles qui sont vraiment nécessaires pour votre activité professionnelle.
Cette étape implique plusieurs actions spécifiques :
- Réduire la collecte de données : Ne collectez que les données strictement nécessaires pour atteindre les objectifs déclarés dans votre registre de traitement. Par exemple, si vous n'avez pas besoin de la date de naissance d'un client pour réaliser une prise de vue, ne la demandez pas.
- Supprimer les données obsolètes : Mettez en place une politique de conservation des données qui précise combien de temps vous conservez chaque type de donnée et supprimez les données qui ne sont plus nécessaires.
- Éviter la collecte de données sensibles : Les données sensibles, comme les informations relatives à la santé, aux convictions religieuses ou politiques, nécessitent une protection particulière et doivent être évitées si elles ne sont pas essentielles à votre activité.
→ Respecter les droits des personnes
Le RGPD accorde aux individus plusieurs droits en matière de protection des données, en renforçant l’obligation de transparence et d’information à l’égard des personnes dont les données sont traitées. Pour respecter notamment cette obligation de transparence, chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter les mentions d’information suivantes :
Le RGPD accorde aux individus plusieurs droits en matière de protection des données, en renforçant l’obligation de transparence et d’information à l’égard des personnes dont les données sont traitées. Pour respecter notamment cette obligation de transparence, chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter les mentions d’information suivantes :
- La finalité : pourquoi vous collectez les données
- Le fondement juridique : ce qui vous autorise à traiter ces données, que ce soit le consentement de la personne concernée, l’exécution d’un contrat, le respect d’une obligation légale qui s’impose à vous, ou votre « intérêt légitime ».
- Les destinataires des données : qui a accès aux données.
- La durée de conservation : combien de temps vous conservez les données
- Les modalités d’exercice des droits : Décrivez comment les personnes concernées peuvent exercer leurs droits, que ce soit via leur espace personnel sur votre site internet, par un message à une adresse email dédiée, ou par un courrier postal à un service identifié.
Vous êtes également autorisés, afin d’éviter les mentions trop longues, à fournir un premier niveau d’information et renvoyer à une politique de confidentialité sur votre site internet.
Vous devez également permettre aux personnes dont vous traitez les données de pouvoir exercer facilement leurs droits sur leurs données, à savoir :
Vous devez également permettre aux personnes dont vous traitez les données de pouvoir exercer facilement leurs droits sur leurs données, à savoir :
- Droit d'accès : Les individus ont le droit de savoir quelles données personnelles vous détenez à leur sujet et comment elles sont traitées. Vous devez être prêt à fournir cette information sur demande.
- Droit de rectification : Si les données sont inexactes ou incomplètes, les individus ont le droit de demander leur rectification.
- Droit à l'effacement (droit à l'oubli) : Les personnes peuvent demander la suppression de leurs données personnelles dans certaines conditions, par exemple si les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
- Droit à la portabilité : Les individus ont le droit de recevoir les données personnelles qu'ils ont fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.
- Droit d'opposition : Les individus peuvent s'opposer au traitement de leurs données personnelles dans certaines situations, notamment en cas de marketing direct.
Pour cela, vous devez mettre en place des procédures claires pour répondre aux demandes des personnes concernées, en prévoyant par exemple un formulaire de contact en ligne spécifique, ou en mettant à disposition une adresse email ou un numéro de téléphone dédié. Et vous devez fournir une réponse dans un délai d’un mois.
→ Sécuriser vos données
La sécurisation des données personnelles est une obligation majeure sous le RGPD. Vous devez adopter des mesures techniques appropriées pour protéger les données contre le piratage, la divulgation, la perte ou la destruction de ces données.
En fonction de la sensibilité des données que vous traitez, vous pouvez :
→ Sécuriser vos données
La sécurisation des données personnelles est une obligation majeure sous le RGPD. Vous devez adopter des mesures techniques appropriées pour protéger les données contre le piratage, la divulgation, la perte ou la destruction de ces données.
En fonction de la sensibilité des données que vous traitez, vous pouvez :
- Limiter l’accès des données que vous traitez ;
- Mettre régulièrement à jour vos antivirus et logiciels ;
- Utiliser des mots de passe forts et les changer régulièrement ;
- Effectuer des sauvegardes régulières ;
- Utiliser des technologies de chiffrement pour protéger les données stockées.
Retrouvez toutes les précautions à prendre afin de sécuriser les données personnelles dans ce guide élaboré par la CNIL.
Conclusion
La conformité au RGPD est essentielle pour les professionnels de l’image qui collectent et traitent des données personnelles. En cas de non-respect, une procédure de sanction peut être engagée par la CNIL, qui peut notamment enjoindre l’entreprise à se mettre en conformité sous astreinte d’un montant de 100 euros de retard et prononcer une amende administrative pouvant atteindre un montant de 20 000 euros.
En suivant les quatre actions principales élaborées par la CNIL, vous pouvez vous assurer que votre entreprise respecte les exigences légales et protège les droits de vos clients. Non seulement cela vous permet d'éviter des sanctions potentielles, mais cela renforce également la confiance de vos clients en montrant que vous prenez la protection de leurs données au sérieux.