Dans un cadre juridique en constante mutation, le Clic France propose chaque mois un regard d’expert sur les évolutions du droit et leur impact sur les différentes activités des lieux de patrimoine artistique, historique et scientifique.

Dans ce  second volet de la série Focus juridique, Naïma Alahyane Rogeon, Avocate et directeur du département Design et Création du Cabinet Bensoussan, analyse les conditions juridiques qui encadrent la collecte des données des visiteurs par les musées.

(c) Dallas Museum of Art

(c) Dallas Museum of Art

 1. Dans le cadre de leur activité traditionnelle relative aux visites, mais aussi de l’exploitation des boutiques en ligne, des applications mobiles, de l’envoi de newsletter … les musée et lieux de patrimoine sont amenés à collecter et traiter de nombreuses données à caractère personnel[1].

2. Loi Informatique et Libertés. La collecte et l’exploitation de ces données est réglementée en France comme dans de nombreux pays. En tant que responsable de la gestion des traitements de données[2], les musées et lieux de patrimoine sont soumis en France à Logo CNILla loi Informatique et libertés[3].

3. En synthèse, les principales obligations prévues par cette loi consistent à :

  • réaliser les formalités préalables auprès de la Commission Nationale de l’Informatique et des Libertés (Cnil);
  • informer les visiteurs ;
  • conserver les données des visiteurs pendant un délai adéquat ;
  • sécuriser les données;
  • encadrer, le cas échéant, les transferts de données en dehors de l’Union européenne.

4. Déclaration. En dehors des dérogations légales, il convient d’effectuer auprès de la Cnil les formalités préalables nécessaires. Le plus souvent il s’agit de déclarations, telle que par exemple, la déclaration de la base de données clients …. La formalité peut s’effectuer en ligne sur le site de la Cnil : www.cnil.fr

5. Information. Il convient également d’informer les visiteurs de leurs droits d’interrogation, d’accès, de rectification et de suppression des informations les concernant ainsi que de leur droit de s’opposer pour motifs légitimes à ce que les données les concernant fassent l’objet d’un traitement.

6. Conservation. La conservation de ces données n’est pas illimitée. La Loi Informatique et libertés prévoit une conservation pendant une durée pertinente au regard des finalités des traitements réalisés.

7. Sécurité. En outre, il est important de veiller à ce que ces données à caractère personnel ne soient pas endommagées, déformées ou que des tiers non autorisés y aient accès. La Cnil préconise, en effet, l’adoption de mesures de sécurité physique et logique qui doivent être adaptées en fonction de l’utilisation qui est faite de l’ordinateur, de sa configuration, de l’existence d’une connexion à Internet.

Les musées et lieux de patrimoine doivent donc être vigilants dans la collecte de ces données qui est amplifiée par l’utilisation du web.

Le développement des sites internet et application mobiles a entrainé, également, l’essor des cookies. Que dit la Loi ? Est-il possible d’utiliser ces cookies librement ?

8. Cookies. Les cookies sont des traceurs stockés dans l’équipement terminal d’un internaute et utilisées par le site pour envoyer des informations au navigateur de l’internaute, et permettant à ce navigateur de renvoyer des informations au site d’origine (par exemple un identifiant de session, le choix d’une langue ou une date).

(c) Dallas Museum of Art

(c) Dallas Museum of Art

9. Obligation. La Loi prévoit que, sauf exceptions les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé.

Dès lors, les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs doivent :

  • informer préalablement l’utilisateur ;
  • recueillir son consentement préalable.
  • Dans la pratique cette information est effectuée par l’apparition d’un bandeau sur le site lors de la première connexion de l’utilisateur.
  • En résumé, en matière de cookies les actions à mettre en œuvre sont :
  • l’identification des cookies et traceurs utilisés ;
  • l’identification de leur finalité ;
  • la détermination de leur régime ;
  • la création ou la mise à jour d’une mention d’information relative aux cookies.

Si l’exploitation des outils numériques permet de recueillir un grand nombre de données personnelles et, le cas échéant, tracer le comportement virtuel d’un visiteur d’un site, la vigilance doit rester de mise quant à la protection de ces données.

[1] Tels que les noms, adresses, coordonnées téléphoniques, adresses-mail … des visiteurs.

[2] En termes Informatique et libertés, le responsable d’un traitement de données à caractère personnel est la personne ou la société qui détermine les finalités et les moyens d’un traitement.

[3] Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés modifiée.

Auteur: Naïma Alahyane Rogeon, Avocat, Directeur du département design et Création, Cabinet Alain Bensoussan selas

Date de première publication: 29/06/2015

LA SERIE « FOCUS JURIDIQUE » SUR LE SITE DU CLIC FRANCE

Focus juridique #1: Photographier au musée (avril 2015)

Focus juridique #2: Les boutiques en ligne des musées et lieux de patrimoine (mai 2015)

a lire sur le web

. When the Art Is Watching You (The Wall Street Journal, publié le 11/12/2014)

. How Big Data is disrupting the Museum Experience (Beaconstac.com, publié le 12/02/2015)

Clic-separateur(A LIRE SUR LE SITE DU CLIC) (3)

. La ville d’Edimbourg souhaite collecter et diffuser librement la mémoire visuelle de ses habitants

. Le cycle commémoratif du centenaire de la Première Guerre mondiale s’ouvre avec une « grande collecte » populaire

. Le Dallas Museum of Art s’associe au musée Grace (Texas) pour étendre son audacieux programme de fidélisation