1. #MAMA18 By IRMA
RGPD : QUELLE GESTION
DES DONNÉES
PERSONNELLES POUR
LA MUSIQUE
RGPD : WHICH MANAGEMENT OF
PERSONNAL DATA FOR MUSIC
2. RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
THOMAS PÉTILLON
(FR)
ORFEO
CEO
@OrfeoPro
ÉLÉONORE DUBOIS
(FR)
RIM
CHARGÉE DE MISSION MUSIQUE
ENREGISTRÉE ET NUMÉRIQUE
@reseaurim
MATHIAS MILLIARD
(FR)
IRMA
CONTENT MANAGER
@irmactu
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
ÉLÉONORE JOUIS
(FR)
CARAMABA
SPECTACLES
CHARGÉE DE
COMMUNICATION
@Caramba_Prod
3. RGPD
-
LES PRINCIPALES REGLES
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
4. Le texte de référence européen en matière de protection des données
personnelles
Applicable dans l’ensemble des pays de l’Union européenne depuis le 25
mai 2018
Finalité : renforcer les droits des personnes
Impact : plus de contraintes pour les organisations
Des sanctions dissuasives
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
5. #1 : FAITES LE TRI DANS VOS DONNEES
Conservez uniquement les données
dont vous avez vraiment besoin
Supprimez les données trop
anciennes
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
6. #2 : OBTENEZ LE CONSENTEMENT
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
7. #3 : SECURISEZ VOS DONNEES
Authentification des utilisateurs
Sécurité du réseau
Sauvegarde des données
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
8. #4 : RESPECTEZ LES DROITS DES PERSONNES
Nommez un Data Protection Officer
Incluez des liens de désinscription
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
9. QUI ?
QUOI ?
QUAND ?
COMMENT ?
=> RECENSEZ VOS ACTIVITES DE TRAITEMENTS
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
10. RGPD : QUEL IMPACT POUR LA
MUSIQUE ?
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
11. UN IMPACT SUR L’ENSEMBLE DE L’ACTIVITE
Billetterie
Communication
/ Marketing
Booking
Gestion
administrative
Conservation
des données
Obtention du
consentement
Sécurisation des
données
Respect du droit
des personnes
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
12. UN IMPACT SUR L’ENSEMBLE DE L’ACTIVITE
ORGANISATION OUTILS DE
COMMUNICATION
LOGICIELS UTILISES ASPECTS JURIDIQUES
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
13. RGPD : CONTRAINTE OU
OPPORTUNITE ?
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
14. RGPD & EMAILS MARKETING ?
Le RGPD ne signifie PAS la fin des emails marketing
Il durcit les sanctions en cas de non-respect des règles
Focus sur la notion d’intérêt légitime
Opportunité : campagnes de ré-engagement
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
15. RGPD = OPPORTUNITES
Saisir des occasions de communiquer
Remettre à plat vos traitements de données
Augmenter la pertinence de vos actions
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
Remettre à plat vos traitements de données
16. POUR ALLER PLUS LOIN
Guide du PRODISS - RGPD
www.cnil.fr
RGPD : QUELLE GESTION DES DONÉEES
PERSONNELLES
POUR LA MUSIQUE
RGPD : WHICH MANAGEMENT OF PERSONNAL DATA FOR MUSIC
JEUDI 18 OCT. – TRIANON FORUM – 10H > 10H40
@MAMAevent
#MaMA18
#RGPD
www.mamafestival.com
17. RGPD : Quelle gestion des données personnelles
pour la musique ?
19. REMERCIE TOUS SES PARTENAIRES
THANKS ALL ITS SPONSORS AND PARTNERS
PARIS
Notes de l'éditeur
Le RGPD (GPDR en anglais) est un règlement européen relatif à la protection des données personnelles
Règlement Général sur la Protection des Données
Adopté en avril 2016 par le Parlement européen, il est entré en vigueur le 25 mai dernier
Il vient compléter et harmoniser des réglementations nationales, notamment en France la loi dite « Informatique & Libertés » qui date de 1978 et les directives de la CNIL
La CNIL (Commission Nationale de Informatique et des Libertés) est l’autorité de contrôle qui s’assure de l’application du RGPD en France. Elle a publié notamment un ensemble de référentiels de bonnes pratiques et procédures
Le RGPD est vaste et complexe (11 chapitres / 99 articles).
Mais si on devait le résumé en deux phrases, ce serait :
1) La finalité : Renforcer les droits des citoyens
obtention du consentement
droit à l’oubli
droit à la portabilité des données
recours facilité
garantie de sécurisation des données
2) L’impact : plus de contraintes / responsabilités pour les organisations
Revoir ses procédés de collectes de données
Faire le tri parmi les données qu’on conserve (finalité, durée conservation historique...)
Sécuriser les données stockées
Adapter son organisation (DPO, politique de confidentialité & gestion des données personnelles)
Le RGPD ne révolutionne pas sur le fond des dispositions qui étaient déjà, en grande partie, présente dans le loi « Informatiques & Liberté » de 1978 (et ses révisions successives).
En revanche, il introduit des sanctions nettement plus dissuasives qui vont pousser tout le monde à l’action
Amendes administratives (article 83 du RGPD)
Une autorité de contrôle (la CNIL en France)
peut imposer une sanction administrative
Amende « proportionnelle » et « dissuasive »
Jusqu’à 4% du CA ou 20 millions d’euros
Sanctions pénales
« En cas d’atteinte aux droits de la personne »
(ex : détournement de la finalité des données personnelles)
Jusqu’à 5 ans d’emprisonnement ou 300.000 euros d’amende
Dommages & Intérêts
Les personnes lésées par une violation du RGPD (ex : fuite de données personnelles...) peuvent porter plainte pour dommage matériel et moral.
A noter également, un amendement adopté en janvier 2018 qui autorise la possibilité de « class action » (action de groupe)
Déficit d’image :
Perte de confiance de la part des clients et partenaires
1 - Conserver uniquement les données dont vous avez vraiment besoin
Les données collectées doivent servir l’objectif prévu (et pas au-delà). Notion de finalité du traitement.
Exemple à trouver.
2 – Supprimer les données trop anciennes
Ex : les données personnelles d’un salarié doivent être conservées 5 ans max. Ex : vous avez embauché un technicien intermittent il y a 5 ans et vous ne travaillez plus avec lui => vous devez supprimer les données correspondantes
Ex2 : coordonnées d’un prospect qui ne répond pas aux sollicitations => les directives de la CNIL sont de ne pas conserver ses données plus de 3 ans
Etc...
Voir à ce sujet :
https://www.cnil.fr/fr/limiter-la-conservation-des-donnees
Concerne surtout les inscriptions aux Newsletters
Donner un exemple d’opt-in (bien), de double opt-in (mieux !) : envoi d’un mail demandant de confirmer l’inscription à la NL
En tous cas, pas de case pré-cochée (sur un formulaire)
La personne concernée doit avoir soit coché une case, soit déclaré ou avoir eu un comportement indiquant clairement qu’elle accepte le traitement de ses données
Ne peuvent être considérés comme valides les silences, les cases pré-cochées ou encore le consentement implicite.
Vous récoltez des données personnelles / sensibles
Vous êtes responsable du fait qu’elle doivent être stockées de manière sécurité
Cela s’applique à votre infrastructure informatique, mais à aussi à vos sous-traitants (l’hébergeur de votre site web, les logiciels que vous utilisez : booking / paie...)
Cela concerne 3 catégories principales :
Authentification des utilisateurs (politique de mot de passe, ne pas envoyer les mots de passe en clair etc...)
Sécurité du réseau (sécurité physique – ex : contrôle d’accès – et logique – ex : firewall , certificats SSL...)
Sauvegarde des données (sur site distant
Bien que la nomination d’un Data Protection Officer ne soit pas obligatoire pour toutes les types de structures (cf. Article 37 du RGPD), c’est néanmoins recommandé pour l’ensemble des structures. En effet, cela permet de personnaliser la relation (=avoir une personne humaine à contacter) dans les cas de recours.
En outre, c’est souvent cette personne là qui prend en main le chantier RGPD dans sa globalité (notamment conduite du projet / gestion du changement etc...)
Finalement, la synthèse de tout ça consiste à établir un Registre des Activités de Traitement.
Prévu par l’article 30 du RGPD, ce registre doit permettre de répondre aux questions suivantes :
QUI : qui intervient dans le traitement des données : votre organisation, des sous-traitants etc... Identifier les responsabilités
QUOI : quelles sont les catégories de données traitées / à quoi servent les données (finalité / ce que vous en faites)
QUAND : combien de temps pour conservez les données
COMMENT : comment les données sont recueillies / stockées / sécurité
Au delà de cette obligation(*), le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.
Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.
(*) L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Le RGPD a un impact sur l’ensemble des activités des tourneurs / producteurs & festivals :
- communication & marketing (inscription aux newsletters etc...)
- billetterie (ex : conservation historique d’achat)
- booking (prospection commerciale...)
- gestion administrative (ex : conservation d’informations personnelles de salariés)
L’impact du RGPD se manifeste sur à plusieurs niveaux :
ne conserver que les données qui sont nécessaires
- s’assurer d’obtenir le consentement des utilisateurs (ex : double opt-in pour inscription NL)
s’assurer que ses données sont sécurisées
s’organiser pour donner des possibilités de recours
Pour les producteurs, tourneurs et labels, le RGPD a un impact à plusieurs niveaux :
Organisation : nomination d’un DPO, point sur les process, sur les données stockées, tri etc...
Outils de communications : mise en place d’opt-in, de liens de désinscription, ...
Logiciels utilisés : s’assurer qu’ils sont conformes aux exigences du RGPD
Aspects réglementaires : mentions légales, politique de données personnelles
Non, le RGPD ne signifie pas la fin des emails marketing
CNIL « Non, le RGPD ne change pas les règles applicables aux mails de prospection, que ces derniers soient en B2B ou B2C »
La prospection commerciale B2B est autorisée dans la mesure où la personne :
est informée que son adresse électronique sera utilisée à des fins de prospection
Est en mesure de s’opposer à cette utilisation de manière simple et gratuite
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
Notion de « legitimate interest »
Le responsable de traitement peut invoquer son « intérêt légitime » à traiter des données sans consentement des personnes concernées
Attention néanmoins : l’intérêt légitime de la personne prime sur l'intérêt du responsable de traitement.
Divergence entre la CNIL et le réglement sur le sujet de la prospection commerciale
Mais, le règlement européen ne conditionne pas la prospection hors client au recueil du consentement, à l’instar de la CNIL.
« Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime » (considérant 47).
https://www.trustandprivacy.eu/interet-legitime-consentement/
Une opportunité : les campagnes de réengagement
Si ce n’est pas le cas, c’est une bonne occasion pour organiser une campagne dite de “ré-engagement”. La finalité de cette opération sera de recueillir un consentement valide de vos interlocuteurs – en envoyant un email à vos contacts en leur demandant de cliquer sur un bouton pour se réinscrire à votre newsletter et en ne conservant que ceux qui ont cliqué.
Mais au delà cette objectif pratique, une telle campagne est surtout une occasion de mettre en avant votre actualité et l’actualité de vos artistes (nouveaux albums, nouvelles tournées, dates...)
De plus, en faisant le tri dans vos listes, vous aurez toutes les chances d’augmenter vos taux d’ouvertures et de clics, ainsi que de limiter le pourcentage de plaintes et de bounces, ce qui aura pour effet de servir positivement votre e-réputation (et la délivrabilité de vos e-mails).
En conclusion, le RGPD c’est surtout un ensemble d’opportunités
Améliorer votre organisation / remettre à plat un certain nombre de choses => pour gagner en efficacité / pertinence
Saisir des occasions de communiquer
Affiner / améliorer vos bases => améliorer vos taux d’ouverture / de clics c...