Rechercher dans ce blog

Envie de suivre notre actualité?

N'hésitez pas à suivre notre actualité via Facebook en cliquant sur ce lien ou via LinkedIn en cliquant sur ce lien.

jeudi 26 avril 2018

La protection des données : actions à prendre par le marché de l'art et le secteur culturel

Une nouvelle législation européenne sur la protection des données entre bientôt en vigueur. Le secteur culturel et le marché de l’art doivent également s’y préparer au plus vite : analyse.


La date circule depuis plusieurs mois déjà : une nouvelle réglementation sur la protection des données personnelles entrera en vigueur le 25 mai 2018 dans toute l’Union Européenne, plus connue sous le sigle RGPD* .

Tout professionnel est supposé intégrer dans ses activités économiques la réalité de cette nouvelle règlementation alors que les acteurs de la culture et du marché de l’art laissent penser à une certaine inertie en la matière… Comme si ce règlement ne les concernait pas.
Pourtant, tous les professionnels actifs dans le secteur (artistes, maisons de vente, galeries, éditeurs, industries culturelles et créatives, …) sont concernés ! Tous devraient prendre les mesures qui s’imposent dans les plus brefs délais. Voici pourquoi.

Champ d’application

Tout comme les autres secteurs, le secteur culturel est lui aussi concerné par le RGPD car son champ d’application est tellement large que tout professionnel est susceptible d’y être confronté. Peu importe que l’on soit une petite ASBL culturelle ou une maison de vente internationale. Et pour cause : le champ d’application vise tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Les données à caractère personnel portent sur toutes les informations se rapportant à une personne physique identifiée ou identifiable : nom, prénoms, coordonnées de contact, identité culturelle, centres d’intérêts éventuels, …

Les exemples de collecte, de conservation ou de traitement de données personnelles sont infinis. Une mailing liste d’une galerie ou d’un artiste réservée aux invitations à un vernissage constitue par exemple déjà un traitement de données.

Urgence : se conformer au RGPD

L’acteur culturel qui souhaite (ou qui doit) collecter des données dans le cadre de ses activités, devra procéder par ordre pour respecter ce règlement.

La première obligation porte sur l’acceptation (et a fortiori son information) de la personne concernée quant au fait que ses données sont collectées. Son accord doit être éclairé en ce sens où il n’est pas possible de pré-remplir le formulaire ou de présumer qu’elle a donné un accord. A ce titre, elle doit également savoir ce qui sera fait de ses données (par exemple : seront-elles transmises à des tiers ?), pourquoi ces données spécifiques sont nécessaires ou encore la durée de la conservation.
La personne concernée doit ensuite pouvoir accéder librement à ses données, les rectifier et s’opposer à une utilisation.

A certaines conditions, le RGPD prévoit également le droit à l’oubli de la personne concernée, à savoir le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.

Un mécanisme d’information doit être structuré par le professionnel lorsqu’une violation de donnée est constatée.

Enfin, citons encore l’obligation, dans certaines hypothèses, de désigner au sein de la structure un délégué à la protection des données, lequel doit avoir reçu une formation spécifique sur le sujet.

Pensez « conditions générales »

Une manière d’informer les personnes concernées quant à leurs droits découlant du RGPD est de les reprendre dans les conditions générales de la structure culturelle. C’est donc le premier document qui nécessitera d’être adapté à cette nouvelle législation dont nous allons tous bénéficier… en tant que fournisseur de données. A bon entendeur…

* Pour Règlement général sur la protection des données personnelles, lui-même faisant référence au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données