Le wikitrux pour les structures culturelles

Le wikitrux pour les structures culturelles est la synthèse d’un atelier mené dans le cadre d’un projet de recherche et développement, associant 3 scènes musiques actuelles de la région Centre-Val-de-Loire : l’Astrolabe à Orléans, le Chato d’O à Blois et le Temps Machine à Joué-les-Tours.

Pour organiser la logistique technique des plateaux les soirs de concert, nous avons constitué une liste de techniciens avec leurs contacts. Il s’agit de données personnelles.
Quelle est la base légale qui justifie le fait de disposer de cette liste ?

Il est légitime pour une salle de concert de disposer de ce genre de liste. Et c’est aussi dans l’intérêt des techniciens qui travaillent avec vous. La base légale est l’intérêt légitime.

Combien de temps faut-il conserver cette liste ?

C’est à vous de le convenir, en prenant soin d’informer les techniciens.

Vous pouvez « nettoyer » cette liste tous les ans. Mais la durée peut être plus élargie.

Cette liste a un intérêt professionnel. On peut imaginer une durée de 3 ans après le dernier contact : c’est ce que préconise la CNIL dans le référentiel sur la gestion commerciale dans le cadre de relations avec d’autres professionnels.

Dans notre structure, pour la gestion des plateaux, nous utilisons un ERP métier qui centralise l’ensemble des données.
Est-ce que cela nous garantit du bon respect des données à caractère personnel ?

Quoi qu’il en soit, vous restez responsable du traitement des données personnelles. Cet ERP est un sous-traitant, des clauses spécifiques à la sous-traitance des données personnelles sont à prévoir dans le contrat qui vous relie.

Est-ce qu’il faut informer les personnes ?

L’obligation de transparence est un principe immuable. Vous devez informer les personnes des finalités de l’usage de leurs données personnelles, des modalités, ainsi que des dispositions pour qu’ils puissent faire jouer leur droit à la rectification ou la suppression de leurs données.

Sommes-nous dans l’obligation d’utiliser un coffre-fort numérique ?

Le coffre-fort numérique est une solution, notamment pour les structures qui manipulent des données sensibles.

Quel format doit prendre cette information ?

C’est à vous de le convenir. Il peut s’agir d’une fiche synthétique mise à disposition, ou d’un « mode d’emploi » interne accessible sur un fichier partagé ou envoyé en pièce jointe.
Certaines informations peuvent aussi être rappelées en post-scriptum de mail, sous la signature.

Est-ce qu’il y a une précaution à prendre quand les contacts de l’intermittent du spectacle sont donnés par quelqu’un d’autres ?

Il s’agit de données partagées pour des raisons professionnelles.

Pour des contacts spécifiques, il est possible d’envoyer ce partage de données en mettant toutes les personnes concernées, y compris les tiers, en copie de l’envoi : pour contextualiser, rappeler l’identité de la personne qui partage cette information et la raison de ce partage. Dans ce cas de figure, la personne est informée.

S’il s’agit d’un fichier de contacts qui servira notamment à des mailing-list, il est quand même préférable de revenir vers les personnes concernées pour leur expliquer la finalité, les modalités et leur demander le consentement.

Quels outils est-il possible d’utiliser ?

Dans l’absolu tous : en prenant les précautions d’usage.
Pour les outils externalisés : vérifier les CGU et les clauses contractuelles de sous-traitance de données.

Pour les outils internes : mettre en place des mesures de sécurité adaptées, comme par exemple des mots de passe, des formations sur les bonnes pratiques des outils bureautiques et des boites mail, etc.

Les intermittents qui travaillent avec nous partagent régulièrement des informations via leurs ordinateurs personnels ou leurs téléphones portables. Ou encore via des réseaux sociaux.
Comment garantir alors la traçabilité des données personnelles ?

Cela implique la mise en place de procédures communes avec des règles sur ce qu’il est possible (ou pas).

Le partage des informations via des ordinateurs personnels peut être fait à partir de certains fichiers partagés, accessible grâce à un mot de passe et en prenant soin de vérifier qui peut y accéder.

Quant aux informations partagées via les téléphones portables, cela dépend déjà de la masse des informations concernées. Pour des partages de contacts, cela peut rejoindre le cas de figure ci-dessus.

Enfin, concernant les partages de données via les réseaux sociaux, l’exposition de ces données est alors accrue. L’entreprise peut le spécifier dans les procédures mises-en-place.

Les procédures : ce n’est pas dans notre “culture d’entreprise”… Les gens sont autonomes, polyvalents, débrouillards, touche-à-tout.
Tout le monde fait avec ses pratiques personnelles, calquées dans le domaine professionnel.Je vois déjà les leviers de boucliers…
Comment inciter les équipes à appliquer le RGPD ?

C’est à aborder avec pédagogie pour que les personnes prennent conscience du bien-fondé des précautions liées au respect des données à caractère personnel.
Il y a la dimension juridique du règlement.
Il y a aussi une dimension sociétale qui nous concerne toutes et tous. La prise de conscience se fera sûrement petit-à-petit.

Pour lever les freins et favoriser l’harmonisation de pratiques, l’entreprise peut mettre en place des formations en interne et instaurer des temps collectifs.

Exemple

Une formation sur les bonnes pratiques dans l’usage des boites mail puis un rendez-vous régulier où toute l’équipe « nettoie » sa boite mail.

Quand nous faisons des déclarations sociales, nous utilisons des données personnelles !

En effet, plein de données personnelles !
C’est une obligation légale pour vous, c’est donc ce qui le justifie.

Combien de temps ces données sont-elles utilisées ?

  • Sur la base active : le temps d’accomplissement des déclarations sociales.
  • Puis sur la base archive : la durée dépend alors des délais de conservation recommandés. Un tri sera à faire entre les données.

Toujours concernant les déclarations sociales, sur la fiche de registre, quels sont les tiers destinataires des données ?
Et concernant le service d’externalisation des paies ?

Les tiers destinataires sont les organismes tels que l’URSAFF, Pôle Emploi Spectacle, les congés spectacles, etc.

Le service d’externalisation des paies est un sous-traitant avec qui vous avez convenu des clauses de sous-traitance des données à caractère personnel.

Nous disposons d’une grande base de données de personnes avec qui nous ne travaillons plus, pour les informer des actualités de notre programmation, et pour les inviter lors d’événements spécifiques.
Est-ce possible ?

C’est possible si les personnes en sont informées et si elles ont donné leur consentement.
Cela s’explique car, une fois que la personne ne travaille plus dans la structure, le fait de conserver ses données n’est plus justifié pour l’exécution du contrat.
Soit elles sont alors conservées dans les archives, comme expliqué ci-dessus, avec une information explicite donnée ;
Soit elles sont conservées sous condition du consentement des personnes.
Pour les actualités de la salle de spectacles, ou pour l’organisation d’un temps festif, ce qui le légitime est donc le consentement.

Et pour les paies ?

La base légale est alors l’exécution d’un contrat (le contrat de travail). Pour la durée de conservation des données, les dispositions liées à la base active et la base archive s’appliquent.

C’est un peu compliqué mais en fait cela peut être transversal !

Oui, c’est l’occasion d’identifier ses process et de les décrire.

Cela demande quand même du temps !

Il n’y a pas de solution magique pour cela. Peut-être se dire que la mise en place de ce genre de process permet aussi de gagner du temps ensuite, de le transmettre plus facilement et avec plus de garantie de cohérence quand l’équipe change.

Et pour les salariés qui ne sont pas intermittents du spectacle ?

C’est la même démarche !