Mediartis

Localiser une vidéo, c’est prendre le risque de données personnelles qui se baladent !

Localisation et la voix

Le secteur de la localisation a connu un essor fulgurant depuis que les services de vidéo ont pris d’assaut le monde entier. Les principaux acteurs du cinéma, de l’animation, de la VOD, les publicitaires, les sociétés d’e-learning, se font concurrence pour séduire les audiences mondiales avec des contenus localisés et les fournisseurs de services de doublage et de voix-off sont plus demandés que jamais pour adapter à chaque pays des séries télévisées, des films, des dessins animés et des documentaires.

Ces mêmes fournisseurs de contenu sont confrontés à une multitude de défis opérationnels et juridiques alors qu’ils reçoivent et livrent continuellement des projets vers tous les pays, grâce à des transferts de données transfrontaliers. Les données personnelles sont souvent concernées, ce qui nécessite une bonne compréhension des lois de protection spécifiques à chaque marché et chaque pays.

LES PROJETS DE LOCALISATION DE LA VOIX ONT EN COMMUN UNE DYNAMIQUE UNIQUE ET POTENTIELLEMENT DANGEREUSE. EN EFFET, CHAQUE PROJET NÉCESSITE UN ÉCHANGE CONTINU DE DONNÉES PERSONNELLES BIOMÉTRIQUES, PROTÉGÉES DANS LE MONDE ENTIER PAR DES LOIS SUR LA PROTECTION DES DONNÉES.

Comme les technologies d’IA liées à la voix continue d’évoluer, les risques liés aux données vocales sont devenus un point central pour les autorités de contrôle de la protection des données qui gardent un œil sur tous les secteurs traitant des données vocales. Le RGPD a placé la voix au centre des discussions mondiales sur la protection des données et la majorité des législations mondiales ont élaboré des articles qui la protège spécifiquement.

Les plateformes de VOD et de supports diffusant des contenus vocaux localisés continuent de se multiplier, et le volume de données vocales en circulation est important. Si les données vocales ne sont pas correctement gérées, elles peuvent constituer une véritable bombe à retardement pour l’ensemble de la chaîne de production, des fournisseurs aux clients finaux, tant sur le plan financier que sur celui de la réputation de la marque.

Les bases de casting voix – Le cheval de Troie de l’industrie de doublage et voix-off

Si votre entreprise produit des contenus audios incluant la voix, il y a de fortes chances que les données vocales soient stockées sans sécurité ni contrôle, dans différents services internes. Les listes d’acteurs et leurs extraits de voix sont souvent conservés dans des bases de casting où les chefs de projet et les directeurs artistiques choisissent des comédiens + des extraits de leur voix pour leurs projets de casting.

De nouveaux extraits de voix sont régulièrement ajoutés à ces bases de casting, souvent éditions d’auditions, de live-castings, de plates-formes de casting voix, fournis par des directeurs artistiques ou livrés par des sous-traitants… Ces bases sont rarement nettoyées et peuvent contenir des dizaines de milliers d’enregistrements de voix. Les comédiens savent rarement qu’ils sont référencés dans ces bases.

Même s’il semble évident qu’un comédien veuille être référencé dans une base de casting… Le RGPD doit respecter ses droits et mettre en conformité le traitement de ses données.

Naviguer dans le labyrinthe complexe des lois mondiales de protection des données relatives à la voix peut être intimidant, d’autant plus que ces données personnelles sont biométriques et plus strictement protégées que les données personnelles “classiques”. L’évolution constante des législations en matière de protection des données vocales occupe les fournisseurs de services de localisation, qui doivent actualiser constamment leurs stratégies RGPD.

Bien que la plupart des fournisseurs de services de localisation appliquent leurs ressources à la production des contenus, il existe un énorme potentiel de risque si les ressources ne sont pas également utilisées pour la gestion de la protection des données vocales, qui doit être considérée comme un élément essentiel de leur stratégie commerciale. Les entreprises devraient commencer par évaluer les politiques, les contrôles, la formation du personnel et les mécanismes de contrôle exercés ont mis en place.

La circulation des données vocales dans la production doublage et voix-off

Les données personnelles des comédiens sont partagées en permanence par l’ensemble de la chaîne de production pendant la phase de casting. Les extraits sont partagés en interne et en externe, et sont envoyés par e-mail. Une fois que les données personnelles sont reçues, elles doivent être gérées de manière à ce qu’elles soient supprimées à la fin de la phase de casting ou, si elles sont sauvegardées, elles doivent être introduites dans un traitement de conformité structuré.

Qui est responsable pour la conformité?

TOUTE LA CHAÎNE DE PRODUCTION EST CO-RESPONSABLE VIS-À-VIS DU RGPD

Côté sous- traitants :

Envoyer des audios de comédiens, c’est engager sa responsabilité ainsi que celle de ceux qui les réceptionnent.

Les données partagées sont-elles produites en conformité?

La société et son client sont co-responsable de leur conformité.

Côté Client final :

Recevoir des audios de comédiens de ses sous-traitants engage également sa responsabilité : que faire avec les extraits envoyés par ses sous-traitants ? Les supprimer ? A quel moment ? Les mettre soit-même dans un traitement en conformité ?

C’est au Client de définir la ligne de conduite de ses sous-traitants. Eux ont un rôle de conseil et d’assistance !

Blog CNIL : 6 bonnes pratiques pour respecter les données

Qui est concerné ?

  • Toutes les sociétés européennes qui traitent des données européennes
  • Toutes les sociétés hors de l’Europe qui travaillent avec des sociétés européennes ou traitent des données européennes

Quelles scénarios de casting sont assujetties au RGPD ?

  • Comédien européen + casting livré à une société européenne = RGPD s’applique
  • Comédien européen + casting livré à une société hors UE = RGPD s’applique
  • Comédien hors UE + casting livré à une société européenne = RGPD s’applique
  • Comédien hors UE + casting livré à une société hors UE = RGPD non appliqué

Les obligations RGPD & les droits des comédiens

Définir la finalité de la base et la durée de conservation des données

  • Il faut préciser que ces données seront stockées, utilisées  et partagées dans le contexte des castings.  (article 13)
  • Il faut préciser pour combien de temps ses données seront référencées dans la base de casting.

Établir le fondement légal de la base

Le fondement conseillé

La voix étant une donnée biométrique, donc assujettie aux obligations RGPD strictes, il est fortement conseillé de choisir le consentement comme base légale.

Le consentement du comédien doit être :

  • Libre et éclairé
  • Décorrélé du contrat de travail
  • Sollicité, enregistré et daté à chaque modification

La CNIL :

Le responsable du traitement doit démontrer la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat –  consentement « libre » – articles 4 et 7 du RGPD

Envoyer des rappels & renouveler le consentement

  • Rappeler au comédien la présence de ses données dans la base de casting et le contexte d’utilisation
  • Aller chercher son consentement tous les 2 ans si la durée de conservation est supérieure à 2 ans et à chaque modification (ajout d’extraits…)

Respecter les droits d’accès, de suppression, de portabilité et de rectification 

  • Accès aux données personnelles – extraits de voix inclus – dans les 30 jours suivants une demande (article 15)
  • Gestion des demandes de rectification,   modification, et suppression des données personnelles (articles 16 & 17)
  • Gestion de la portabilité des données personnelles dans la limite des autres droits (article 20)

Si les données sont correctement traitées

il faut compter ≈ 1 heure 15 / comédien / an => 1.000 comédiens > 6 mois temps plein

Sécuriser les données

Ces données sont biométriques et doivent être sécurisées

  • Centraliser les données (tenue du registre)
  • Sécuriser le réseau interne
  • Limiter l’accès
  • Ne pas envoyer d’extraits par email
  • Établir et implémenter une politique de gestion des données pour chaque service (audio, RH, dev…)

Risques et sanctions en cas de non-conformité

LORSQUE LA CNIL SANCTIONNE UNE SOCIÉTÉ, ELLE PEUT :

  • L’enjoindre de mettre le traitement des données en conformité, y compris sous astreinte
  • Limiter temporairement ou définitivement un traitement de données
  • Supprimer les données concernées (condamnation 2019 HMRC suppression de 5M d’extraits audios)
  • Appliquer une amende pouvant aller jusqu’à 10M€ ou 2% du CA annuel mondial pour des manquements de « Privacy by Design » ou « Privacy by Default » ou atteindre 20M€ ou 4 % du CA annuel (max des 2) pour tout manquement aux droits des personnes
  • Créer et rendre publique une sanction au nom de l’entreprise sanctionnée

Identifier des pratiques à risques

  • Avez-vous commencé de vous mettre en conformité ?
  • Votre société a-t-elle des bases de casting ?
  • Vos sous-traitants ont-ils des bases de casting ? Sont-ils conformes ?
  • Envoyez-vous encore des castings par mail à vos clients ? OU
  • En recevez-vous … par mail ?
  • Que font vos partenaires ou clients de ces extraits audio une fois la phase de casting terminée ? Qu’en faites-vous ?
  • Comment est faite la recherche du consentement des comédiens pour conserver leurs données ? Est-ce bien hors de tout contrat ?
  • Y a-t-il un suivi écrit permettant de justifier de ce consentement ?

Commencer la mise en conformité des données

Les fournisseurs de contenu qui n’ont pas prêté autant d’attention à la protection des données vocales qu’ils auraient dû le faire pourraient envisager les mesures suivantes pour renforcer leur jeu :

  • Effectuer un audit pour évaluer et analyser la disparité entre les exigences des lois sur la protection des données vocales et la production vocale
  • Définir et intégrer une stratégie de rectification avec des contrôles pertinents et une formation du personnel pour garantir un environnement de protection des données actif dans toute l’organisation
  • Tester l’efficacité des contrôles de conformité nouvellement mis en œuvre pour confirmer que les objectifs du plan sont atteints
  • Veiller à ce que le cadre de conformité soit suffisamment solide et à ce qu’il fasse l’objet de rapports pertinents et efficaces à un haut niveau de l’organisation
  • Se tenir informé des modifications apportées aux lois sur les données vocales et veiller à ce que les flux de production et les itinéraires vers le client soient régulièrement contrôlés au moyen d’évaluations rigoureuses des incidences sur la vie privée, de manière à ce que les risques liés à la protection des données soient pris en compte par défaut

Mediartis – La solution automatisée de mise en conformité

Share This Post

Share on facebook
Share on linkedin
Share on twitter
Share on email