Privacy – Les sociétés de gestion plus transparentes vis-à-vis de leurs membres

Privacy – sociétés de gestion. A partir du 25 mai 2018, la direction des sociétés de gestion devront rendre ces dernières encore plus transparentes vis-à-vis de leurs membres et de la Commission pour la protection de la vie privée (la CPVP). En effet, le General Data Privacy Regulation (GDPR) qui entrera alors en vigueur étend les droits des personnes dont les droits sont traités à l’égard du responsable du traitement. Explications.

Les droits des Membres vis-à-vis de leur société de gestion

Le GDPR renforce et précise par rapport au contenu de la directive de 1995 les droits des personnes à l’égard des données les concernant comme le droit à la transparence, à l’information, à la rectification, à l’effacement, à la portabilité et le droit d’opposition.Voyons cela plus en détail.

Informations à fournir lors de la collecte des données

L’article 13 précise les informations que la société de gestion (en tant que responsable du traitement) doit fournir à ses membres lorsqu’elle collecte leurs données personnelles, par exemple lorsqu’elle collecte leur déclaration annuelle. Ces informations sont multiples et concernent:

1. l’identité et les coordonnées de la société de gestion et de son Data Protection Officer (nous vous rappelons notre article précédent consacré à ce nouveau venu dans l’univers des sociétés de gestion);
2. les finalités de la collecte des données (ce sera généralement afin de permettre un calcul des droits à distribuer au membre) ainsi que la base juridique du traitement (probablement le traitement nécessaire à l’exécution d’un contrat d’adhésion que le membre concerné a signé avec la société de gestion);
3. la durée de conservation des déclarations;
4. le fait que le membre peut demander à la société de gestion à tout moment d’accéder à l’ensemble des données que la société de gestion possède le concernant (dont ses déclarations), de demander à ce qu’elles soient rectifiées voire même effacées;
5. le fait que le membre peut aussi limiter les traitements que la société de gestion peut réaliser avec ses données ou s’y opposer;
6. le droit à la portabilité de ses données. Le membre pourra exiger que la société de gestion lui fournisse une copie de l’ensemble des données qu’elle possède le concernant et les transfert par exemple vers une autre société de gestion. Ce droit à la portabilité des données est une véritable révolution dans la matière de la protection des données. Il a été précisé par des Guidelines du Groupe de Travail Article 29;
7. le droit pour le membre d’introduire une réclamation auprès de la CPVP;
8. l’existence d’une prise de décision automatisée, y compris un profilage et au moins en pareils cas, des informations utiles concernant la logique sous-jacente ainsi que l’importance et les conséquences prévues de ce traitement pour le membre.

Il est commun de fournir ces informations par le biais de l’écriture d’une « clause vie privée » qui reprend l’ensemble de ces précisions. La clause sera accessible à tout instant dans l’en-tête ou le bas de page du site web via un lien qui s’intitule « Informations relatives à la vie privée » voire « Privacy policy ».

Droits des membres vis-à-vis de la société de gestion

Les articles suivant du GDPR précisent les modalités et l’étendue des différents droits:

1. droit d’accès (art. 15 – par exemple, la fourniture de la première copie des données devra être gratuite);
2. droit de rectification (art. 16);
3. droit à l’effacement (art. 17) : il s’agit ici de la consécration législative du droit à l’oubli numérique « créé » par l’arrêt de la Cour de justice de l’Union européenne dans son arrêt dit « Google Spain » de 2014. Suite à cette décision, les particuliers peuvent obtenir, sous certaines conditions, la suppression des liens vers des pages internet comportant des informations les concernant. Le droit à l’effacement du GDPR est différent de la simple demande de désindexation consacrée par la Cour de justice. En effet, après un déréférencement, les pages web et donc les données continuent à exister sur le web, simplement, leur accès est rendu moins facile. Suite à une activation de cet article 17, les données devront être effacées dans plusieurs hypothèses (dont automatiquement lorsque leur conservation n’est plus utile au regard des finalités pour lesquelles elles ont été collectées) des servers de la société de gestion;
4. droit à la limitation (ou suspension temporaire dans le temps) du traitement (art. 18);
5. droit à la portabilité des données (art. 20) : les données devront être fournies dans un format structuré, couramment utilisé et lisible par machine et transmises à un autre responsable de traitement (une autre société de gestion par exemple) lorsque cela est techniquement possible;
6. droit d’opposition (art. 21);
7. décision individuelle automatisée, y compris le profilage (art. 22): le membre a le « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. ». Toutefois, ce droit ne s’applique pas si la décision automatisée est nécessaire à l’exécution d’un contrat ou si le membre y a donné son consentement explicite. Il reste à voir si les sociétés de gestion réalisent des « décisions individuelles automatisées ».

Conclusion

La plupart de ces droits ne sont pas nouveaux. Ils étaient déjà écrits dans la directive de 1995. Toutefois, le Règlement GDPR les précise et les étend. Nous conseillons fortement aux sociétés de gestion d’écrire une clause vie privée conforme aux exigences du GDPR et de mettre en place diverses politiques internes afin de pouvoir répondre dans le mois aux demandes de leurs membres. Rappelons que en cas de défaut des sociétés de gestion, elles s’exposent à des amendes pouvant s’élever jusqu’à 20.000.000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Picture: Security Settings by iconsmind.com, GB