Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018.
Le RGPD renforce la loi informatique et liberté du 6 janvier 1978
Il consacre le fait que chacun a le droit de décider et de contrôler les usages qui sont faits de ses données personnelles.
L’utilisation des données personnelles dans l’édition et la production musicales
Le RGPD conduit à un changement des pratiques dans la production et l’édition musicales. Cela est aussi le cas dans le spectacle vivant. Une mise en conformité est devenue nécessaire face à ces nouvelles responsabilités et sanctions.
En effet, publier une œuvre ou un enregistrement nécessite de réaliser une fiche promotionnelle et de rédiger une biographie. Des éléments de la vie de l’auteur ou de l’artiste seront collectés (une adresse, son histoire, ses origines, des évènements concernant son enfance, sa photo, etc.).
Pour rédiger le contrat, on demandera à l’auteur ou à l’artiste ses adresse, nom et prénom, pseudonyme, date de naissance, son numéro de sécurité sociale, ses coordonnées bancaires…, qui figureront ainsi dans le contrat lui-même. Celui-ci sera imprimé, scanné pour un archivage plus ou moins sécurisé.
Pour effectuer les paiements, les salariés des services copyright et royalties auront accès à ces éléments.
Les attachés de presse comme les directions marketing seront amenés à traiter ces données collectées pour l’organisation d’un évènement autour de la sortie d’un album.
Mais également les cessionnaires de droits, agents, partenaires promo, agences de publicité, journalistes, chaînes de télé ou de radio…
L’utilisation de ces données se fait généralement sans le consentement de l’auteur ou de l’artiste. Ce qui pose problème au regard du RGPD qui vise à permettre à chaque personne physique de décider et de contrôler les usages qui sont faits de ses données personnelles.
Les règles générales à appliquer pour respecter le RGPD
En France, la CNIL veille au respect du RGPD. Elle a édicté les grandes règles du traitement de données applicables à chaque collecte. Il faut notamment :
- prendre en compte la finalité du traitement des données, c’est-à-dire l’objectif en vue duquel les données sont collectées. Cet objectif doit être précis, déterminé et légitime ;
- ne collecter que ce qui est nécessaire (principe de minimisation). Les données traitées devront donc être pertinentes, adéquates et limitées au regard de l’objectif poursuivi ;
- respecter les règles spécifiques relatives aux données sensibles comme le numéro de sécurité sociale ;
- définir des règles de durée de conservation de ces données et des règles de sécurité ;
- rappeler à l’auteur ce qui justifie le traitement et lui permettre de bénéficier d’un droit d’accès, de rectification voire d’effacement.
Il faudra surtout que le traitement soit licite et repose sur une base légale (par exemple nécessaire à l’exécution d’un contrat d’édition ou d’enregistrement).
Mais le simple contrat d’édition ou d’enregistrement n’est pas une justification suffisante.
Le RGPD appliqué au contrat d’édition et au contrat d’enregistrement
La règle essentielle pour l’éditeur et le producteur est de respecter les principes de loyauté et de transparence.
Ainsi ils permettront à leurs auteurs et artistes de connaître précisément ce qui justifie la collecte. Ceux-ci doivent comprendre les conditions dans lesquelles leurs données sont traitées.
L’auteur et l’artiste doivent conserver la maîtrise de leurs données.
Les informations communiquées à l’auteur et à l’artiste doivent être concises, transparentes, compréhensibles et aisément accessibles.
Il ne suffit plus de prévoir un article « Données personnelles » dans le contrat. Cet article devra renvoyer vers un document séparé qui apportera le niveau de précision nécessaire et adapté aux traitements effectivement réalisés.
Chaque traitement doit être recensé en faisant apparaître :
- sa finalité : par exemple réalisation des opérations de presse ou marketing, élaboration du contrat, gestion comptable et financière, mise à jour des bases professionnelles type SACEM, SCPP ou des bases internes, etc.
- le caractère obligatoire ou non de la collecte
- son fondement ;
- le bénéficiaire des données collectées (URSSAF, Agessa ou des tiers pour un usage promotionnel ou commercial) ;
- la durée de conservation des données qui doit être limitée et cohérente avec l’objectif poursuivi ;
- les droits de l’auteur et de l’artiste (accès, rectification, opposition)
L’application du RGPD est complexe. Les sanctions peuvent atteindre plusieurs dizaines de milliers d’euros.
Contactez-nous pour réaliser votre mise en conformité.