GDPR – un guide du vidéaste de mariage

«Cela ne concerne que les marketeurs»… «Je ne stocke pas de données…« Ça ne m’affecte pas parce que je ne suis pas basé au Royaume-Uni »…« Les couples pourront revendiquer la propriété de leurs films »…« Je vais juste continuer comme d’habitude »…« J’ai entendu dire que vous ne pouvez plus contacter les personnes que vous rencontrez lors des mariages »…« Vais-je faire face à une amende massive? « Qu’est-ce que le RGPD? »

Le 25 mai – dans une semaine à peine – une loi entrera en vigueur sous le nom de règlement général européen sur la protection des données et il y a eu beaucoup de discussions – et de confusion – parmi l’industrie du film de mariage sur ce que cela signifie.

Ci-dessus se trouvent de véritables commentaires que j’ai rencontrés sur le sujet. L’un était probablement le mien il n’y a pas si longtemps!

Toute entreprise, grande ou petite, devra se conformer aux nouvelles réglementations. Et, de plus, les violations seront sanctionnées par des amendes – le RGPD pourra infliger jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires annuel!

Mais, la conformité au RGPD est devenue un peu comme le «bogue du millénaire», avec des tactiques effrayantes et des informations contradictoires sur ce qui et ce qui n’a pas besoin d’être fait.

Pour nous aider à maîtriser pleinement le RGPD, nous avons parlé à des experts de premier plan, notamment le Bureau du commissaire à l’information et Briffa – le cabinet d’avocats en propriété intellectuelle et en technologies de l’information – et ce sont nos principaux points à retenir.

Qu’est-ce que le RGPD?

Le règlement général européen sur la protection des données (ou GDPR en abrégé) couvre la façon dont nous traitons et protégeons les données personnelles – par exemple, la façon dont nous les collectons, les stockons et les utilisons.

Il est si important de connaître toutes les données que vous détenez, d’où proviennent ces données, où elles sont stockées et comment vous les utilisez.

Les organisations doivent conserver des enregistrements de toutes les données personnelles, être en mesure de prouver que le consentement a été donné, montrer où vont les données, à quoi elles servent et comment elles sont protégées.

Il s’agit de donner aux gens plus de contrôle sur leurs données personnelles et de simplifier les réglementations pour les entreprises internationales qui travaillent avec des personnes au sein de l’Union européenne (UE).

Le RGPD s’appliquera à toute entreprise qui traite les données personnelles des citoyens de l’UE, ce qui signifie que même si vous êtes basé en dehors de l’UE, il s’appliquera toujours si vos clients sont basés dans l’UE.

What exactly is personal data?

Personal data means any information relating to an identifiable person who can be directly or indirectly identified – eg, any information that is clearly about a particular person, such as phone numbers and email addresses.

By definition, this also means that imagery (still and video) of clearly identifiable individuals is also classed as personal data.

In some circumstances, imagery can also be seen as sensitive personal data if it provides identification of an individual.

What are ‘controllers’ and ‘processes’ the GDPR
refers to, and do I need a data protection officer?

According to the GDPR, it is essential for organisations involved in the processing of personal data to be able to determine whether they are acting as a data controller or as a data processor in respect of the processing. So, what does that mean?

Well, a controller determines the purposes and means of processing personal data. Whereas, a processor is responsible for processing personal data on behalf of a controller.

As a small business owner, you may be both a controller and a processor, but you may also store personal data with a third-party IT provider, such as MailChimp for mailing lists, or services like Google/ Dropbox for spreadsheets with the contact details of your clients and family members involved with the wedding planning.

You choose what details you are providing, for example to MailChimp, to send emails and marketing campaigns – so you are a ‘data controller’ and MailChimp is acting as a ‘data processor’ by providing its services to you.

Under the GDPR you must obviously take measures to ensure the security of any personal data being processed, so will need to ensure you have a contract in place with a processor, who also complies with GDPR.

There is a great blog by the Manchester Chamber of Commerce that explains these two data ‘roles’ really well.

À quoi puis-je utiliser les données personnelles?

En vertu du RGPD, vous devez disposer d’une base légale valide pour traiter les données personnelles. Il existe six bases légales disponibles pour le traitement – la base dépendra de votre objectif et de votre relation avec la personne.

(a) Consentement: la personne a donné son consentement clair pour que vous traitiez ses données personnelles dans un but spécifique.
(b) Contrat: le traitement est nécessaire pour un contrat que vous avez avec l’individu, ou parce qu’il vous a demandé de prendre des mesures spécifiques avant de conclure un contrat.
(c) Obligation légale: le traitement est nécessaire pour vous conformer à la loi (hors obligations contractuelles).
d) Intérêts vitaux: le traitement est nécessaire pour protéger la vie de quelqu’un.
(e) Tâche publique: le traitement vous est nécessaire pour effectuer une tâche d’intérêt public ou pour vos fonctions officielles, et la tâche ou la fonction a une base juridique claire.
(f) Intérêts légitimes: le traitement est nécessaire pour vos intérêts légitimes ou les intérêts légitimes d’un tiers, sauf s’il existe une bonne raison de protéger les données personnelles de la personne qui l’emporte sur ces intérêts légitimes.

Visitez le blog ICO pour plus d’informations utiles sur ces six bases légales.

Quels droits mes clients ont-ils sur les données dont je dispose?

En vertu du RGPD, les citoyens de l’UE auront plusieurs nouveaux droits importants, y compris le droit à l’oubli, le droit d’opposition, le droit de rectification, le droit d’accès et le droit à la portabilité.

• Droit à l’oubli: une personne peut demander que vous supprimiez toutes les données de cette personne sans retard injustifié
• Droit d’opposition: une personne peut interdire certaines utilisations des données
• Droit de rectification: les individus peuvent demander que des données incomplètes soient complétées ou que des données incorrectes soient corrigées.
• Droit d’accès: les individus ont le droit de savoir quelles données les concernant sont traitées et comment.
• Droit de portabilité: les individus peuvent demander que les données personnelles détenues par une organisation soient transférées à une autre.

Comment puis-je m’assurer d’obtenir mon consentement?

En vertu du RGPD, le consentement est défini comme «  toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits de la personne concernée par laquelle il ou elle, par une déclaration ou par une action positive claire, signifie son accord pour le traitement des données personnelles la concernant. ou elle’.

Les cases à cocher opt-in pré-cochées et les brèves références aux termes et conditions ne seront plus autorisées.

Avec la vidéographie, vous pouvez avoir un formulaire de consentement où les individus conviennent que vous pouvez utiliser leurs données personnelles dans les médias sociaux et sur votre site Web.

Cependant, une personne peut retirer son consentement, même si elle l’a initialement donné.

Mais comment cela fonctionne-t-il si je produis un film de mariage et que je dépense de l’argent sur du matériel marketing autour de cela?

Si vous produisez un film de mariage sur la base du fait que vos couples ont consenti à ce que vous utilisiez leurs images, mais qu’ils retirent ensuite leur consentement, il y a des circonstances où vous pouvez toujours utiliser votre film.

Tom Broster de Briffa explique: «Vous pouvez continuer à traiter des données personnelles même si une personne a retiré son consentement à ce que votre entreprise le fasse, sur la base d’une autre base juridique pour le faire. Par exemple, vous pouvez poursuivre un «intérêt légitime» ou le traitement des données personnelles est nécessaire pour exécuter un contrat avec la personne. »

«Vous êtes susceptible d’avoir un intérêt légitime si vous poursuivez un intérêt commercial légitime, et la façon dont vous traitez les données est nécessaire pour poursuivre cet intérêt. Votre intérêt doit également être mis en balance avec les droits de la personne. Ils seront probablement équilibrés si les données personnelles sont utilisées d’une manière à laquelle elles pourraient raisonnablement s’attendre et qui ont un impact minimal sur la vie privée, ou lorsqu’il existe une justification convaincante pour le traitement.  »

«Vous pouvez être en mesure de vous appuyer sur des intérêts légitimes pour des activités de marketing si vous pouvez montrer que la façon dont vous utilisez les données des personnes est proportionnée et qu’une personne a eu la possibilité de refuser de recevoir un tel marketing au moment de la collecte et n’a pas d’impact les droits fondamentaux d’un individu. Les particuliers devraient également pouvoir à tout moment refuser de recevoir de telles communications. »

Nous vous recommandons fortement de lire ces blogs de Tom chez Briffa à ce sujet.

Dois-je obtenir le consentement des invités au mariage pour être dans un film?

La plupart des invités s’attendent à ce que s’ils assistent à un mariage, il y aura probablement un photographe ou un vidéaste. Selon Briffa, tant que vous indiquez que vous filmez ou êtes susceptible de filmer à proximité, de manière à ce qu’il soit transparent pour tous les invités qu’ils sont en train de filmer, il y a moins de chances que le traitement soit considéré comme n’ayant aucune base légale. « . Cela donne également à tous les clients timides à la caméra la possibilité d’exprimer s’ils ne veulent pas être inclus dans un montage final.


Nos meilleurs conseils GDPR pour les vidéastes de mariage

1) Limitez la quantité de données personnelles que vous collectez et conservez
Demandez-vous des données qui ne sont pas réellement utiles à votre entreprise? Vous conservez peut-être des données dont vous n’avez plus besoin? Supprimer ou anonymiser des données personnelles qui ne sont plus nécessaires à une organisation.

Exemple
Conservez-vous des feuilles de calcul archivées d’anciennes demandes de renseignements et de références, afin que vous puissiez comparer chaque année comment les couples vous trouvent et pour quel lieu de mariage ils se marient? Si vous n’avez pas obtenu de réservation, vous n’avez plus besoin de conserver les noms, les e-mails et les numéros de téléphone associés à ces demandes, donc «anonymisez» ces données mais conservez d’autres informations.

2) Faites attention à la façon dont vous utilisez les données que vous collectez
Sur votre site Web, vous pouvez avoir un formulaire de demande en ligne, ou quelqu’un pourrait entrer en contact par e-mail pour vous renseigner sur les prix de votre mariage. Ils comprendront des données personnelles, comme un numéro de téléphone et une adresse e-mail, pour vous aider à fournir un devis.

Dans le cadre du RGPD, vous ne pouvez utiliser ces données personnelles que pour les contacter au sujet de vos prix et services de vidéographie. Vous ne pouvez pas ajouter ces informations à votre liste de marketing par e-mail pour commencer à recevoir des campagnes marketing sans consentement spécifique pour le traitement de leurs données à cette fin.

3) Confirmer à nouveau le consentement
Le RGPD ne s’applique pas uniquement aux inscriptions qui se produisent après le 25 mai, il s’applique à tous les abonnés existants de l’UE sur votre liste de diffusion. Si vous savez d’où proviennent toutes vos données et que vous avez toujours demandé votre consentement avant d’ajouter quelqu’un à votre liste de marketing par e-mail, c’est parfait. Si vous avez une liste de diffusion et que vous ne vous souvenez pas comment vous les avez obtenues, vous devez faire un peu de ménage.

Vous pouvez lancer une campagne de nouvelle autorisation pour actualiser ce consentement ou supprimer l’abonné de votre liste de diffusion – par exemple, demander à un abonné de confirmer qu’il souhaite toujours recevoir des e-mails en cliquant sur un lien de confirmation dans l’e-mail.

3) Mettre en place un processus de conformité des données
Le RGPD signifie que chaque élément d’information personnelle détenu par votre entreprise doit être identifié – même s’il est stocké hors ligne. Il est important de documenter la façon dont vous vous assurez de prendre soin des données de votre client. Conservez une preuve de consentement – qui, quand, comment et ce que vous avez dit aux gens. Vérifiez-le et actualisez-le si quelque chose change.

L’enregistrement vidéo peut fournir un enregistrement permanent d’un mariage, il est donc important que vous mettiez en place des mesures pour vous assurer qu’il n’y a aucun risque d’accès non autorisé si votre appareil photo ou vos cartes mémoire sont perdus ou volés.

Vous devrez démontrer que vous avez pris des mesures pour réduire le risque de vol – par exemple, vous transférez des images de l’appareil photo vers un emplacement sécurisé et les supprimez en toute sécurité de la carte mémoire dès que vous le pouvez.

4) Créez un avis de confidentialité pour votre site Web
En vertu du RGPD, vous devez décrire aux individus ce que vous faites avec leurs données personnelles. Selon l’ICO, votre avis de confidentialité doit indiquer pourquoi vous traitez leurs données personnelles, y compris la base juridique que vous avez et la liste des destinataires auxquels vous pouvez envoyer les données personnelles (par exemple, un fournisseur), combien de temps vous conserver les données ou les critères utilisés pour déterminer ces périodes. Vous devrez également informer les individus de l’existence de leurs droits en matière de données personnelles.

5) Avoir une politique de cookies
Lorsque les cookies sont utilisés pour identifier de manière unique un appareil ou (combinés à d’autres données) utilisés pour identifier une personne, ils doivent être traités comme des données personnelles en vertu du RGPD. Les cookies sont utilisés par les systèmes d’analyse Web pour vous montrer les performances de vos pages Web. Il est donc probable que la plupart des sites Web les utilisent. Même les adresses IP utilisées pour identifier les appareils connectés à Internet peuvent, dans certaines circonstances, être considérées comme des données personnelles.

Assurez-vous de savoir si votre site utilise des cookies et toutes les façons dont vous, ou une société d’hébergement Web tierce, utilisez ces données.

6) Si vous êtes piraté, signalez-le
Les violations de la sécurité des données doivent être signalées immédiatement aux autorités de protection des données telles que le bureau du commissaire à l’information (ICO) au Royaume-Uni. Idéalement, les infractions devraient être signalées dans les 24 heures si possible, mais au moins dans les 72 heures.

7) Respecter le retrait du consentement
Si un client vous demande de ne pas partager ses images ou détails, vous devrez accepter. Vous devez agir sur les retraits de consentement dès que possible et vous ne pouvez pas pénaliser les personnes qui souhaitent retirer leur consentement.

8) Passez en revue vos pratiques de consentement
Assurez-vous que la façon dont vous obtenez le consentement est conforme aux normes du RGPD. Pensez à utiliser un paramètre de double opt-in. C’est là qu’une personne, lors de son inscription, reçoit un e-mail avec un lien de vérification pour confirmer que c’est bien elle qui a entré son adresse e-mail dans la boîte d’inscription.

9) Envisagez un avis de consentement lors des mariages
Filmer lors des mariages peut inclure l’obtention du consentement des lieux et des autorités, mais vous pouvez également faire de bonnes pratiques pour conseiller les invités également. Lorsque vous photographiez dans une zone publique, les personnes en arrière-plan peuvent être capturées par la caméra et il n’est tout simplement pas possible de faire signer un formulaire de décharge de photo par chaque personne entrant dans cette zone. Mais vous pouvez afficher des avis à toutes les entrées pour informer les invités que le tournage aura lieu.

10) Ne paniquez pas!
En tant que vidéastes de mariage, il est important de ne pas ignorer le RGPD, mais en réalité, nous ne traitons pas le même volume de données personnelles que les grandes organisations, il n’est donc pas nécessaire de commencer à paniquer.

Elizabeth Denham, la commissaire à l’information du Royaume-Uni, a même déclaré: «Les prévisions d’amendes massives en vertu du RGPD qui augmentent simplement les sanctions que nous avons imposées en vertu de la loi sur la protection des données sont absurdes. Cette loi ne concerne pas les amendes. Il s’agit de donner la priorité au consommateur et au citoyen.  »

Organisez-vous et répondez à ce que vous devez faire. Lisez certains des liens utiles que nous avons fournis et continuez votre magnifique tournage de mariage!

Facebooktwitterredditpinterestlinkedinmail