08 sept. 2022

Le sujet du jour : l’encadrement juridique des photographies à l’heure du numérique

Focus sur le RGPD et les conséquences pour les photographes professionnels

Le Livre Blanc a pour ambition de répondre, de façon synthétique et pragmatique, aux principales problématiques juridiques auxquelles peuvent être confrontées les photographes en France.

Il a été conçu avec l’expertise du cabinet AVOCONSEIL et le soutien de nos partenaires l’AG2R La Mondiale et l’Opcommerce.

Le livre blanc et les webinars associés sont consultables entièrement gratuitement sur le site www.fnp-photo.fr

Philippe PAILLAT Président.

  • Qu’est-ce que le RGPD ?

Le sigle « RGPD » est l'abréviation de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Regulation en anglais).

Il s’agit d’un règlement[1] de l’Union européenne transposant, dans l’ensemble de ses Etats-membres (dont la France), une politique commune en matière de protection des données personnelles. Depuis son entrée en application le 25 mai 2018, ce texte de référence renforce et unifie la protection des données et la vie privée des individus sur le sol européen. Pour comprendre ce qu’est le RGPD, il est intéressant de se pencher sur quelques définitions clés :

- Qu’est-ce qu’une donnée personnelle ? Il s’agit de toute information (qu’importe son support, qu’il soit papier ou numérique) qui permet d’identifier directement (nom/prénom) ou indirectement une personne (par croisement de données ou par usage d’outils technologiques). Par exemple, un numéro de plaque d’immatriculation est une donnée personnelle puisqu’il est rattaché à l’identité du propriétaire du véhicule immatriculé et permet donc, indirectement, d’identifier cette personne. Idem pour une adresse IP. 

- Qu’est-ce qu’un traitement de donnée personnelle ? Il s’agit de toute action sur la donnée personnelle. On parle de « cycle de vie de la donnée » : de sa collecte à sa destruction. Toute action entreprise entre ces deux étapes de la « vie » d’une donnée est alors un « traitement de données ». On peut alors retrouver : une copie, un enregistrement, un transfert, une importation, une sauvegarde, une modification, une utilisation etc. A titre d’exemples pour un photographe : prendre une photo est un premier traitement (la prise de vue), conserver les originaux en est un autre, vendre/transférer cette photo à un client en est un nouveau. Archiver une photo, la reproduire dans une revue, la retoucher, etc. toutes ces actions sont des traitements de données pour un professionnel de la photographie.

- Quels types d’acteurs ? On peut désigner aujourd’hui 5 grandes catégories d’acteurs en matière de traitement de données.

La personne concernée : Il s’agit de l’individu, personne physique[2], qui est identifiable par les données personnelles traitées. Pour un photographe, dans le cadre de son activité professionnelle, il s’agira principalement du ou des sujet(s) de la photographie. Cependant, le photographe ne traite pas que des photos. Par exemple, s’il a des employés, la gestion de ses ressources humaines l’amène quotidiennement à traiter des données personnelles de ses employés (nom, prénom, adresse postale, numéro de téléphone, données professionnelles, données de vie personnelle, données d’ordre économique et financier etc.). Idem lorsqu’il traite des données personnelles relatives à ses clients pour la commercialisation de ses photographies.

Le Responsable de traitement : Il s’agit du Professionnel, personne physique ou morale, qui décide de mettre en œuvre le traitement des données personnelles (de son initiative) et qui en détermine les modalités de mise en œuvre (pouvoir de décision). On le différencie du Sous-traitant qui, lorsqu’il est sollicité, est l’exécutant du traitement de données.

Le Sous-traitant agit alors pour le compte et sur instructions du Responsable de traitement. L’intervention du sous-traitant est souvent due à son expertise dans un domaine où le Responsable de traitement ne dispose pas forcément des compétences ou des ressources nécessaires. A titre d’exemple, il peut s’agir d’un prestataire de retouche, d’un prestataire d’hébergement cloud etc. mais également du Photographe lui-même, lorsqu’il intervient pour le compte d’un client qui lui passé commande.

Il peut également arriver qu’un traitement soit mis en œuvre par plusieurs responsables de traitements, sur une initiative commune et selon des modalités conjointement déterminées, dans ce cas de figure on parle de Co-responsables de traitements.

Le Destinataire : Toute personne, physique ou morale, qui reçoit communication des données personnelles (il peut s’agir, plus largement, d’un sous-traitant, d’un partenaire co-responsable ou tout simplement d’un tiers).

  • Pourquoi le photographe est concerné ?

Le photographe est concerné par le RGPD, depuis le 25 mai 2018, dès lors qu’il photographie des individus ou qu’apparaissent des données personnelles dans le champ de la photographie (exemple : une boite aux lettres, à la condition que les éléments personnels indiqués dessus soient lisibles et identifiables).

Il est également concerné lorsqu’il va répertorier son carnet de clients ou de contacts (à titre professionnel). Comme cela a été souligné dans les définitions, un grand nombre de traitements de données personnelles peuvent être mis en œuvre par un photographe professionnel puisqu’il traite les données de ses clients, de ses fournisseurs, de ses employés, de ses modèles et sujets, de ses éventuels confrères ou collègues, de ses partenaires commerciaux etc.

Pour que le RGPD soit applicable au photographe, il suffit qu’il exerce sa profession sur le territoire de l’Union Européenne (domiciliation) ou qu’il traite des données (photographie) de ressortissants de l’Union européenne.

 

Globalement, les champs d’application du RGPD sont les suivants :

 

livre blanc
  • La photographie comme traitement de données personnelles

Aujourd’hui, de nombreux traitements de données existent dans le secteur de la photographie. Si l’on met de côté les traitements dits « classiques », propres à toute entreprise (comme les ressources humaines, la gestion clients et prospects, gestion fournisseurs etc.), le secteur de la photographie est sujet à de multiples interactions avec des données personnelles. Cela va de la simple prise de vue à l’archivage des originaux physiques (anciennement les pellicules ou négatifs) ou numériques à des fins historiques.

Le Photographe peut également récolter des données personnelles en amont d’une séance de photographie, par exemple par l’organisation de casting, où il réceptionnera un certain nombre de candidatures de modèle, avec leur nom et une ou plusieurs de leurs photographies. 

Aujourd’hui, la photographie peut même être, dans certains cas, qualifiée de « donnée sensible[3] » puisque la photographie peut avoir un usage biométrique[4] mais également révéler des informations personnelles et intimes comme la vie sexuelle d’une personne, son état de santé ou encore ses convictions politiques ou religieuses.

Attention, une donnée peut en cacher une autre ! La photographie identifiant une personne physique n’est pas nécessairement la seule donnée personnelle recueillie. Aujourd’hui, du fait des développements technologiques et de l’interconnexion des équipements photographiques, la photographie ne se résume plus à un tirage argentique figeant dans le papier un instant, un décor, des individus.

A l’ère des smartphones et des appareils numériques connectés, la photographie se compose d’une multitude de données techniques, aussi appelées « métadonnées ». Si certaines de ces métadonnées sont purement techniques et impersonnelles, d’autres peuvent aisément être qualifiées de « données personnelles »[5] . Les principales, souvent rencontrées, sont les coordonnées GPS et l’horodatage. Certains appareils permettent également de renseigner les coordonnées du photographe (nom, téléphone, mail etc.) et l’identité du sujet. D’autres vont même plus loin en utilisant des technologies de reconnaissance faciale et d’indexation automatique par intelligence artificielle. On retrouve également des données dites « de navigation » directement sur les photos (informations sur l’ouverture de l’image, le temps de consultation, l’exam d’un détail de l’image etc.).

Toutes ces informations doivent impérativement être prises en considération lorsque l’on cherche à se mettre en conformité au RGPD. Il faut pour cela déjà avoir conscience que ces données existent.

 

[1] Conformément à l’article 9 du RGPD, les données dites « sensibles » sont celles qui ont attrait à la santé, la vie sexuelle ou l'orientation sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des informations génétiques ou biométriques d’une personne physique. Le traitement de ces données est, par principe, interdit. En revanche, le RGPD prévoit un bon nombre d’exceptions telles que le consentement explicite de la personne concernée, l’obligation légale de traiter de ces informations, la sauvegarde des intérêts vitaux de la personne concernée, l’intérêt légitime de traiter ces informations (dans un but purement non-lucratif), le caractère manifestement public de ces informations, l’exercice ou la défense d’un droit en justice, un motif d’intérêt public important ou dans le domaine de la santé, à des fins de médecine préventive, à des fins archivistique dans l’intérêt public ou à des fins de recherche scientifique ou historique.

[1] Tel est le cas lorsqu’on photographie un visage avec pour finalité de permettre une identification unique par une technologie spécifique (photo d’une pièce d’identité biométrique)

[1]  Indirectes, par croisement ou par un intermédiaire technologique.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[2] Attention, la personne concernée ne peut jamais être une personne morale. Le RGPD vise à protéger les données personnelles qui, par définition, sont des données de personnes physiques (individus), qu’ils soient des particuliers, des consommateurs, des usagers etc. mais également des professionnels.

[3] Conformément à l’article 9 du RGPD, les données dites « sensibles » sont celles qui ont attrait à la santé, la vie sexuelle ou l'orientation sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des informations génétiques ou biométriques d’une personne physique. Le traitement de ces données est, par principe, interdit. En revanche, le RGPD prévoit un bon nombre d’exceptions telles que le consentement explicite de la personne concernée, l’obligation légale de traiter de ces informations, la sauvegarde des intérêts vitaux de la personne concernée, l’intérêt légitime de traiter ces informations (dans un but purement non-lucratif), le caractère manifestement public de ces informations, l’exercice ou la défense d’un droit en justice, un motif d’intérêt public important ou dans le domaine de la santé, à des fins de médecine préventive, à des fins archivistique dans l’intérêt public ou à des fins de recherche scientifique ou historique.

[4] Tel est le cas lorsqu’on photographie un visage avec pour finalité de permettre une identification unique par une technologie spécifique (photo d’une pièce d’identité biométrique)

[5]  Indirectes, par croisement ou par un intermédiaire technologique.

Vous pouvez consulter l’article sur l’encadrement juridique des photographies et son webinar gratuitement en cliquant sur le lien suivant...

Cliquez ici