Scroll to top

RGPD salles de spectacles réservez vos données personnelles avec un reçu pour la saison

Prendre une réservation de spectacles soit en ligne soit directement à la caisse nécessite selon les circonstances la communication de vos données personnelles à caractère personnel, DCP. Les salles de spectacles, de théâtres souhaitent vous compter parmi leurs abonnés avec toutes sortes de formules de fidélisation. Depuis le 25 mai 2018, la collecte de vos données doit se conformer aux dispositions du Règlement Général de la Protection des Données Personnelles, RGPD ou GDPR en anglais. Que ce soit directement au guichet ou par l’intermédiaire de centrale de réservation, en tant que consommateur, il est prudent de transmettre ses DCP en toute connaissance de cause : en demandant le programme, réclamez les mentions légales ou la politique de confidentialité à lire pendant l’entracte ou plutôt avant de réserver.

Quand vous réservez en ligne ou au téléphone, sachez ce qu’est une donnée à caractère personnel, DCP.

Le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 précise ce qu’il faut entendre par DCP : toute information qui permet d’identifier une personne, directement ou indirectement. Dans le contexte de salles de spectacles, cinéma, festival, les éléments suivants sont considérés comme DCP :

  • Le nom et prénom du spectateur
  • Un numéro d’immatriculation
  • Son numéro de téléphone
  • Son numéro de sécurité sociale
  • Son mail
  • L’adresse postale, sa commune, sa ville ou son pays : en fait les données de localisation.
  • L’adresse IP collectée via le site web, tout identifiant en ligne.
  • La photographie collectée pour créer le badge d’entrée par exemple dans les festivals.
  • Tout autre élément spécifique à votre identité physique, génétique, physiologique, psychique, économique, culturelle, sociale.

A ces informations pourraient s’ajouter des « données sensibles » : par exemple dans le cas de spectateurs avec « mobilité réduite » ou handicap, qui nécessitent un accueil et un placement réservés. Une donnée sensible, selon les principes du RGPD, consiste à révéler des informations individualisées, telles que :

  • L’état de santé physique ou mentale d’un spectateur
  • Les données biométriques, génétiques
  • La vie ou l’orientation sexuelle
  • Les origines raciales ou ethniques
  • Ses opinions politiques, religieuses, philosophiques
  • Son appartenance syndicale
  • Etc

Dans leurs missions habituelles et légitimes, les salles de spectacles constituent et manipulent des fichiers de données à caractère personnel. Ces derniers sont impactés par les dispositions du RGPD. Il n’est plus obligatoire de les déclarer à la CNIL. Cependant, il est désormais obligatoire de les documenter, de les mettre à jour et à la disposition de l’Autorité de protection lors de contrôle. On peut citer les types de fichiers suivants dans le milieu du spectacle : liste non exhaustive.

  • La base de données de la messagerie électronique
  • La base de données du logiciel de gestion de la relation client, CRM
  • Le système de badgeage
  • Tous les outils de gestion de la billetterie, soit numérique, soit papier
  • Annuaire interne des employés, artistes ou de spectateurs
  • Le programme de suivi des stages, formations ou congés ou toute gestion de planning nominatif
  • La base de gestion des déclarations d’accidents de travail et maladie professionnelle

Comprendre ce qu’est un traitement de données à caractère personnel

Quand un guichet de réservation collecte votre mail et le retranscrit dans le logiciel de réservation, le RGPD considère cela comme un traitement de données DCP. Il s’agit donc de toute opération manuelle ou automatisée concernant des données personnelles, incluant les traitements informatisés sous toutes ses formes, numériques ou en version papier. Les traitements peuvent être les suivants, liste non exhaustive :

  • La collecte des DCP nominatives
  • Leurs enregistrements, conservation, modification, l’effacement
  • Leurs extractions, la consultation, la communication, leur transfert
  • Toute utilisation ou interconnexion
  • Le verrouillage, la destruction
  • L’anonymisation, pseudonymisation

Ces traitements doivent avoir une finalité précise et spécifique. Il n’est pas possible de collecter des DCP dans le seul but que cela pourrait servir un jour pour une autre finalité.

Quels sont les droits des spectateurs en regard du RGPD ?

Le nouveau Règlement Général de la Protection des Données Personnelles garantit les droits suivants aux consommateurs spectateurs :

  • Le droit à l’information précisé par les articles 13 et 14 du RGPD.
  • Le droit d’accès à ses données collectées et le droit de les rectifier : articles 15 et 16
  • Son droit à l’effacement et à l’oubli : article 17
  • Le droit à la limitation de la collecte et du traitement : article 18
  • L’article 20 encadre le droit à la portabilité des DCP dans un format lisible et transmissible facilement.
  • Le droit d’opposition : article 21 du RGPD
  • Son droit de recours en cas de non-respect de ses droits

Les organisations ou les sociétés sont tenues de recruter un référent de traitement des données : un DPO ou DPD : data Protection Officer ou Délégué à la protection des Données Personnelles. Le RGPD précise leurs rôles et fonctions.

Le DPO ou DPD véritable chef d’orchestre et le référent des consommateurs en matière de données personnelles

C’est l’acteur privilégié dans le RGPD, il joue le premier rôle pour faire valoir vos droits de consommateurs. Pour toute réclamation, c’est donc à lui qu’il faut s’adresser en suivant les procédures. Il s’agit d’une personne physique, chargée d’assurer le respect et le suivi de la conformité au RGPD. Elle est sous la responsabilité du responsable de traitement : elle assure le rôle de coordinateur et sert de point de contact entre la CNIL et les salles de spectacles, les centrales de réservation. C’est un véritable chef d’orchestre, comme le précise le RGPD.

Le sujet de cet article n’est pas de détailler son rôle et fonctions. Cependant, en tant que consommateur, vous devez trouver ses coordonnées sur le site web de la salle de spectacle ou cinéma, théâtre à qui vous avez communiqué vos DCP. Ses coordonnées apparaissent en premier dans la politique de confidentialité de la structure, dans les newsletters, dans les formulaires de consentement, etc. Néanmoins, citons à titre d’information un aperçu de ses missions :

  • Le DPO/DPD est chargé d’informer et conseiller le responsable de traitement ou son sous-traitant, les employés.
  • Il a pour mission de contrôler le respect du RGPD et le droit national en regard de la protection des données personnelles.
  • Le DPO/DPD conseille la structure pour réaliser l’analyse d’impact en regard de la protection des DCP. Il se charge d’en vérifier la réalisation.
  • En tant que « chef d’orchestre », il coopère avec l’autorité de contrôle et assure le lien avec celle-ci.

Que risquent les salles ou centrales qui ne respectent pas la conformité au RGPD ?

Si le responsable du RGPD, le DPO/DPD se trouve en situation de manquement à ses obligations de conformité à ce règlement qui prévaut force de loi dans l’Espace Economique Européen, il risque les sanctions suivantes :

  • Une amende plafonnée à 20 millions d’euros ou 4% du chiffre d’affaires de la structure sur le plan mondial pour un grand groupe. La CNIL veut sanctionner de façon dissuasive depuis l’application du RGPD le 25 mai 2018, suivre l’actualité sur le site de l’Autorité de contrôle se révèle très pertinent pour les professionnels.

Demandez les cookies, vous avez droit de les accepter ou de les refuser !

Tout d’abord, essayons de comprendre ce qu’est un cookie avant de les accepter ou de les refuser. Avant la Loi Informatique et Libertés et la mise en place du RGPD le 25 mai 2018, quand vous « surfez » sur le net, votre navigateur Internet Explorer ou Google Chrome, Firefox récoltait des données à l’insu de votre plein gré, selon l’expression bien connue. Cette pratique est révolue ! Vous avez remarqué qu’une fenêtre « pop-up » s’ouvre en même temps que la page que vous consultez. Selon les configurations, vous devez accepter pour continuer, mais cela n’est aucunement obligatoire. La CNIL met en place un plan d’action pour redéfinir les bonnes pratiques en matière de gestion des cookies.

Ce petit fichier texte déposé par votre navigateur a pour finalité de collecter des informations sur vos comportements sur le site web vitrine de votre salle de spectacle préféré ou la centrale de réservation. On veut analyser et comptabiliser les statistiques de vos clics et saisies dans le but de connaitre vos pages préférées : on vous proposera lors de la prochaine visite d’autres pages similaires contenant les mêmes thématiques ou d’autres produits. De plus, les responsables marketing veulent savoir si vous partagez les pages et informations sur les réseaux sociaux.

Un bandeau d’information doit s’afficher dès la première page du site web vous prévenant de son activation : vous avez la possibilité d’accepter les cookies ou de refuser. En cas de refus, la règle voudrait que vous puissiez continuer la navigation. Actuellement, certains procédés contraignent l’internaute à cliquer sur le bouton accepter pour continuer. Le bouton « en savoir plus » ou « paramétrer les cookies » doit être présent et accessible facilement sur ce pop-up d’accueil. Les dispositions du RGPD exigent désormais que l’internaute donne son consentement pour la collecte des informations par les cookies. Sachez que votre adresse IP est une donnée à caractère personnel, selon la jurisprudence. Accepter ou refuser des cookies, là est la question ! En toute connaissance de cause.

Combien de temps sont conservées vos données à caractère personnel par les salles de spectacles ?

Les données collectées des spectateurs dans les fichiers clients sont conservées pendant le temps de la relation ou transaction commerciale, par défaut. Si la finalité a été précisée et consentie par le client, elles peuvent servir à des fins de relance, de prospection pendant une période maximale de 3 ans. Cette base de données de prospection et de gestion de prospects peut être constituée et conservée pendant également 3 ans. Il est évident que le consentement du consommateur dont les DCP ont été collectées est présent et mis à jour.

La traçabilité des mesures d’audience stockées dans les outils (smartphones, ordinateurs, etc.) des internautes ne peut être conservée au-delà de 13 mois selon les préconisations des règles de « E-PRIVACY ». Quant aux newsletters et autres envois de sollicitations, il est possible de les garder 3 ans ou jusqu’à la fin de l’abonnement exprimée par l’internaute. C’est le rôle du DPO/DPD de vérifier que ce consentement est effectif ainsi que le respect des durées de conservation.

Que se passe-t-il en cas de violation des données ?

L’article 33 du RGPD précise les démarches à suivre en cas de violation ou détérioration de l’intégrité des données personnelles. La violation doit être notifiée à l’Autorité de Protection dans les 72 heures, simultanément au consommateur concerné (article 34). Cette notification décrit la nature de la violation et communique les coordonnées du DPO/DPD, les éventuelles conséquences ou impacts sur la vie privée du consommateur. Les mesures prises pour corriger le problème sont documentées, de même le protocole en vigueur dans la structure pour éviter la récurrence de la violation.

Conclusion

Quand vous achetez un billet en ligne ou au guichet de votre salle de spectacle favori, d’une façon ou d’une autre, vous communiquez toute ou une partie de vos données à caractère personnel à cette structure. En tant que consommateur pressé, il est peu important de savoir si vous avez affaire à la structure elle-même ou à un sous-traitant. Dans toutes les étapes de « booking », réservation, votre consentement doit être clair, spécifique et univoque : case à cocher, opt-in, double opt-in, etc. Le RGPD ne fait pas la différence, les deux entités, maison mère ou sous-traitant, sont soumises aux obligations du Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il impacte tous les organismes intervenant dans l’Union Européenne ou fournissant des services à des ressortissants européens.

Avant de prendre des cookies, prenez le temps de lire, outre les conditions générales de vente, les mentions obligatoires de politique de confidentialité sur le site vitrine ou de réservation en ligne de votre salle de spectacle. Les règles de E-commerce ou E-privacy vous protègent en plus du RGPD. Mais dans la réalité, vous recevrez dans votre boite mail des sollicitations de sociétés que vous ne connaissez pas et à qui vous n’avez pas, semble-t-il, donné votre consentement. Dans ce cas, ne désespérez pas, parcourez vite l’article que nous avons rédigé pour vous désinscrire efficacement avec les termes et articles de loi adéquats : les courriers pour agir.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-huit − un =

Obtenez le guide directement dans votre boîte e-mail





Obtenez le guide RGPD