L'adéquate protection des droits des auteurs impose d’analyser des réglementations de plus en plus diverses. Après vous avoir commenté une récente décision européenne en matière de TVA, l'équipe d'IPNews.be s'intéresse aujourd'hui à la réglementation relative à la protection des données personnelles. En effet, les règles en la matière ont été récemment modifiées. Les nouvelles règles entreront en vigueur dans un peu plus d'un an. Il est donc plus que temps que nous nous penchions sur ce sujet très délicat.
INTRODUCTION
La protection des données personnelles est réglementée en Belgique par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (loi vie privée). Cette loi est la transposition belge d’une directive européenne datant de 1995. L’Europe s’est, il y a peu, dotée d’un Règlement (appelé General Data Protection Regulation ou GDPR) ayant pour objectif de mettre à jour les règles en la matière. Puisqu’il s’agit d’un Règlement, les Etats membres ne devront pas le transposer dans leur droit national. Le Règlement entrera en vigueur le 25 mai 2018. Les sociétés de gestion de droits d’auteur ou de droits voisins, puisqu’elles réalisent aussi des traitements de données personnelles (de leurs membres, de leur personnel, de leurs fournisseurs, etc.), sont aussi concernées par le GDPR.
UN RÈGLEMENT PLUTÔT QU’UNE DIRECTIVE
Le Règlement, dont la proposition de texte date de 2012 et qui a été publié en avril 2016, est le fruit de nombreux compromis. Il s’agit du texte législatif européen qui a eu le plus de propositions d’amendements. En effet, depuis internet et les succès fulgurant de Google, Facebook, Twitter et des différents réseaux sociaux, la gestion et la valorisation des données personnelles sont devenues essentielles. Et une véritable mine d’or.
Une donnée personnelle est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Sont considérés comme des données personnelles les noms et prénoms des membres de la société de gestion, leur adresse (physique et électronique), leur numéro de téléphone, etc. Les déclarations annuelles des membres à la société de gestion sont-elles aussi des « données personnelles » ? Puisque ces données (titre d’un article, d’un livre, nom de l’éditeur, année de publication, nombre de pages, etc.) se rapportent à une personne physique et que ces données permettent d’identifier, directement ou indirectement, l’auteur, tel est le cas. Sachez que même l’adresse IP de votre ordinateur est une donnée personnelle et cela suite à une récente décision jurisprudentielle européenne.
Chaque fois que la société de gestion traite (autrement dit collecte, enregistre, conserve, modifie, utilise, etc.) des données personnelles relatives à ses membres, elle doit tenir compte des règles qui protègent le titulaire de ces données autrement dit ici le membre de la société de gestion.
LICÉITÉ DE TOUT TRAITEMENT
La société de gestion doit déjà, rappelons-le, respecter la loi vie privée actuelle. Le GDPR n’est pas une révolution des principes existants mais plutôt une évolution en la matière même si, à la différence des règlements européens habituels, il laisse parfois (beaucoup trop diront certains) aux Etats membres la possibilité de préciser plusieurs de ses dispositions.
Tout traitement de données personnelles doit se réaliser sur la base d’un fondement juridique. Pour l’instant, ces fondements se retrouvent à l’actuel article 5 de la loi vie privée. Ils se retrouvent à l'article 6 du GDPR. Passons en revue les fondements juridiques qui permettent le traitement des données personnelles des membres de la société de gestion par cette dernière.
LE CONSENTEMENT
Les sociétés de gestion peuvent réaliser des traitements des données personnelles de leurs membres dans le cas où les membres ont indubitablement donné leur consentement pour le ou les traitements envisagés et précisés. Lorsque le GDPR entrera en vigueur en 2018, ce sera toujours le cas. Avec toutefois quelques précisions supplémentaires.
L'adverbe "indubitablement" n'a pas été repris dans le GDPR. Le Règlement a substitué cette formule par celle de "manifestation de volonté, libre, spécifique, éclairée, et univoque du consentement". La société de gestion devra pouvoir démontrer à tout moment (en cas de demande de renseignements de la part de la Commission vie privée par exemple) qu’elle a bien obtenu le consentement de ses membres. Si le consentement du membre est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande du consentement devra être présentée sous une forme qui la distingue clairement de ces autres questions. La demande de consentement devra aussi être exprimée sous une forme compréhensible et aisément accessible, et surtout formulée en des termes explicites, clairs et simples.
Au moment de déterminer si le consentement du membre a été donné librement, il y aura lieu de tenir compte de la question de savoir, entre autres, si l'exécution du contrat d’adhésion du membre avec la société de gestion n’a pas été subordonné ou conditionné au consentement par le membre à un ou des traitements futurs de ses données à caractère personnel par la société de gestion, traitement(s) qui n'est/sont pas forcément nécessaire(s) à l'exécution dudit contrat d’adhésion.
TRAITEMENTS NÉCESSAIRES À L’EXÉCUTION DU CONTRAT D’ADHÉSION
Les sociétés de gestion peuvent aussi traiter les données personnelles de leurs membres si ces traitements sont nécessaires à l’exécution d’un contrat que la personne concernée a signé avec les sociétés de gestion ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée. Cette possibilité n’est pas modifiée par le GDPR. Ce contrat sera le plus souvent le contrat d’adhésion qui lie l’auteur à la société de gestion. Ce contrat détaille les droits et les obligations de l’auteur mais aussi de la société de gestion. Il précise pour la gestion de quelle(s) catégorie(s) de droits, pour quel(s) territoire(s), quelle durée, etc. le membre adhère à la société de gestion concernée.
La société de gestion ne pourra réaliser des traitements qu'en respectant les choix du membre. Hors de question pour la sociétés de gestion d’effectuer des traitements pour des catégories qui n’ont pas été acceptées par le membre.
TRAITEMENTS NÉCESSAIRES AU RESPECT D’UNE OBLIGATION LÉGALE
Les sociétés de gestion sont aussi obligées de traiter certaines données personnelles lorsque ces traitements sont nécessaires au respect d’une obligation légale comme une demande policière ou judiciaire. Ce point n’est nullement modifié par le Règlement de 2016.
TRAITEMENTS NÉCESSAIRES À LA SAUVEGARDE DE L’INTÉRÊT VITAL DU MEMBRE
Le traitement est actuellement autorisé lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée. Ou « d’une autre personne physique » vient juste préciser le Règlement européen.
TRAITEMENTS NÉCESSAIRES A L’INTÉRÊT LÉGITIME DE LA SOCIÉTÉ DE GESTION
Les sociétés de gestion pourront aussi traiter les données personnelles lorsque ces traitements sont nécessaires à « la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée. ». Cette possibilité existe toujours dans le Règlement.
Nous verrons bientôt comment les règles du GDPR relatives au Data Protection Officer s’appliquent aux sociétés de gestion et quels sont les (nouveaux) droits des membres vis-à-vis de leur société de gestion sur leurs données personnelles.