RGPD spécial secteur public culturel [Règlement UE n°2016/679 du 27 avril 2016]

[14 janvier 2019] Il se dit que le « secteur public » serait en retard dans la mise en oeuvre du RGPD, cette véritable loi européenne n°2016/679 entrée en application le 25 mai 2018… Il se raconte pourtant que les entreprises à mission de service public, les établissements publics, les associations à délégation de mission de service public s’y intéressent de près. Voila pourquoi je vous propose aujourd’hui « RGPD spécial secteur public culturel« . Vous trouverez dans la présentation en BD accessible dans le slider ci-dessous (à la fin de ce post) le détail du régime légal applicable au secteur public (culturel ou non) et des principales obligations nécessaires à la protection des données personnelles collectées ou traitées par les professionnels de la culture.

RGPD spécial secteur public culturel [Ledieu-Avocats] 001


RGPD spécial secteur public culturel : pourquoi le RGPD ?

RGPD spécial secteur public culturel [Ledieu-Avocats] 002


RGPD spécial secteur public culturel : la réalité des « données personnelles » en 2019

La notion « d’informations nominatives » de la loi « Informatique et Libertés » du 6 janvier 1978 et celle de « données à caractère personnel » au sens du RGPD en 2019 n’ont plus grand chose à voir. En 1978, pas de communications électroniques comme nous les connaissons aujourd’hui (ordinateur, site web, téléphone portable, etc.).

RGPD spécial secteur public culturel [Ledieu-Avocats] 003


RGPD spécial secteur public culturel : distinguer données de « contenu » / « métadonnées » / « données à caractère personnel »

RGPD spécial secteur public culturel [Ledieu-Avocats] 004


RGPD spécial secteur public culturel : les données indirectement identifiantes ?

Si un professionnel identifie un terminal (par exemple pour lui envoyer de la pub ciblée), ce professionnel traite effectivement des données identifiant indirectement la personne qui s’en sert. Il y a alors (sans aucun doute) un traitement de « données à caractère personnel » au sens du RGPD-GDPR.

RGPD spécial secteur public culturel [Ledieu-Avocats] 005


RGPD spécial secteur public culturel : la notion de traitement

Il faut se pencher sur la notion de « traitement » : « toute opération appliquée à des données personnelles« … Difficile de faire plus large. Nous ferons un rappel sur l’exception de traitement domestique (les traitements « strictement privés » et exonérés des obligation du RGPD) et nous passerons en revue les 6 principes obligatoires  de traitement (loyal / licite / finalité déterminée / minimisation / etc.). 

RGPD spécial secteur public culturel [Ledieu-Avocats] 006


RGPD spécial secteur public culturel : responsable de traitement « data controller » vs sous-traitant « data processor »

Il est aujourd’hui peu probable que des établissements culturels soient « sous-traitants » de données personnels. Il est en revanche beaucoup plus probable que certaines personnes morales exerçant des mission de service public culturel fassent appel à des sous-traitants au sens du RGPD (prestataires de service SaaS ou hébergeurs par exemple). Il faut donc maitriser les deux notions qui sont centrales dans l’application du RGPD-GDPR. 

RGPD spécial secteur public culturel [Ledieu-Avocats] 007


RGPD spécial secteur public culturel : l’obligation d’information des « personnes concernées »

C’était obligatoire déjà sous le régime de la loi « Informatique et Libertés » du 6 janvier 1978, ça l’est tout autant avec le RGPD mais le non-respect de cette obligation est sanctionné pour les personnes publiques à hauteur de 10.000.000 €uros d’amende administrative. Pour une personne morale de droit privée qui exerce une mission / délégation de service public, le « tarif » grimpe jusqu’à 4% du chiffre d’affaires… Alors, on regarde ce que le « responsable du traitement » est tenu de faire vis-à-vis des personnes dont il collecte et traite les données personnelles ? 

RGPD spécial secteur public culturel [Ledieu-Avocats] 008


RGPD spécial secteur public culturel : la « base juridique » obligatoire pour chaque traitement

C’est une des vraies révolutions juridiques introduites par le RGPD-GDPR : l’obligation de choisir une « base juridique ». Il n’y en a que 6 « bases juridiques » et elles sont panachables. Nous ferons donc un tour d’horizon du problème.

RGPD spécial secteur public culturel [Ledieu-Avocats] 009


RGPD spécial secteur public culturel : les droits RGPD

Impossible de faire l’impasse sur ce point. Retenez que, selon les « bases juridiques » retenues, il faudra offrir certains droits RGPD (mais certainement pas tous…).

RGPD spécial secteur public culturel [Ledieu-Avocats] 010


RGPD spécial secteur public culturel : la désignation OBLIGATOIRE d’un DPO

C’est la seule et unique spécificité du RGPD pour les personnes morales de droit public et les personnes privées gérant des missions de service public : l’obligation de désigner un DPO. C’est l’occasion de faire le point sur la réalité des missions d’un agent / salarié / prestataire externe qui doit rester indépendant. 

RGPD spécial secteur public culturel [Ledieu-Avocats] 011


RGPD spécial secteur public culturel : des obligations techniques ?

Oui, des obligations techniques sont imposées dans le RGPD : pseudonymisation, chiffrement… Nous parcourrons rapidement les obligations RGPD qui s’imposent à l’identique au « secteur public » comme au « secteur privé ».

RGPD spécial secteur public culturel [Ledieu-Avocats] 012


RGPD spécial secteur public culturel : le risque de « violation de données à caractère personnel »

L’obligation de sécurisation des systèmes d’information est destinée à éviter – autant que faire se peut – les risques de faille de sécurité et de fuite de données. C’est la définition que retient l’UE, que le risque soit le fruit d’une « négligence » ou d’une action volontairement agressive (nous y reviendrons très prochainement avec une présentation sur les cyber-attaques et les données personnelles). 

RGPD spécial secteur public culturel [Ledieu-Avocats] 013


RGPD spécial secteur public culturel : la notification obligatoire des « violations » de données

Les responsables des personnes publiques, comme ceux du secteur privé, ont rarement envie de clamer sur les toits la découverte d’une faille de sécurité suivie d’une fuite de données. La déclaration de la découverte d’une « violation » de données est pourtant aujourd’hui obligatoire, dans les 72 heures de sa découverte… Le Ministère des affaires étrangères ne s’y est pas trompé en décembre 2018

RGPD spécial secteur public culturel [Ledieu-Avocats] 014


Si vous avez retenu tout ça, vous savez l’essentiel ! Si vous voulez tous les détails, la présentation dans le slider ci-dessous est là pour ça !!!


RGPD spécial secteur public culturel [Ledieu-Avocats] 015


RGPD spécial secteur public culturel [Ledieu-Avocats] 016


RGPD spécial secteur public culturel [Ledieu-Avocats] 017