Les spécialistes des affaires publiques sont soumis à certaines obligations lorsqu’ils collectent des données sur les personnes qu’ils ciblent, notamment celle d’informer leurs contacts. Un guide pratique a été créé par la CNIL et les principales associations professionnelles du secteur.
Dans le cadre de leur activité, les professionnels des affaires publiques (cabinets de conseil en affaires publiques ou en lobbying, service interne d’une entreprise…) collectent des données personnelles relatives à des individus tels que des acteurs gouvernementaux, administratifs, associatifs, parlementaires, médiatiques, etc. Ces données (nom, prénom, données de contact, fonction ou mandat, parcours académique ou professionnel, prises de position publiques, travaux, etc.) peuvent être traitées pour plusieurs objectifs.
Le premier d’entre eux est de comprendre quelles sont les parties prenantes pertinentes sur un sujet donné, notamment à travers une cartographie permettant d’identifier les acteurs gouvernementaux, administratifs, associatifs, parlementaires, et médiatiques qui font partie de l’environnement de l’entité concernée. Ces cartographies peuvent comporter certaines données personnelles (nom, prénom, fonction/mandat, etc.), mais ne contiennent généralement pas de données de contact puisqu’elles visent à ce stade à analyser les positions et à comprendre un écosystème, et non à prendre contact avec les personnes concernées.
Le deuxième objectif est d’agir auprès d’acteurs identifiés lors de la cartographie, par exemple par le biais de l’élaboration d’un plan d’engagement. Lorsque la stratégie implique de prendre contact avec les parties prenantes identifiées, une fois la cartographie établie, un document opérationnel à des fins de contact peut être réalisé. Ce plan d’engagement contient généralement les données de contact des personnes qu’il aura été décidé de contacter (adresse électronique, numéro de téléphone, etc.). Par ailleurs, la préparation des rendez-vous avec les personnes sollicitées peut impliquer la rédaction de leur biographie.
Le troisième objectif est de maintenir des relations professionnelles, notamment par la constitution d’un « carnet d’adresses » dans les domaines d’expertise des différentes structures. Les professionnels mettent en œuvre des actions afin de maintenir les relations professionnelles. Il peut s’agir de l’envoi de messages, d’informations, de documents, etc. Ces activités peuvent entrainer la constitution de listes de diffusion liées par exemple à une thématique ou à un événement particulier ou encore la constitution d’une base de données de suivi de ses contacts par le professionnel des affaires publiques.
Assurer la transparence des traitements
Le principe de transparence, défini aux articles 12, 13 et 14 du RGPD, oblige les organismes collectant des données personnelles à en informer les personnes afin qu’elles comprennent les usages qui seront faits de leurs informations (pourquoi, comment) et soient en mesure d’exercer leurs droits (droit d’opposition, droit d’accès, droit de rectification, etc.). Il contribue ainsi à la loyauté des traitements et à l’établissement de relations de confiance entre les organismes qui en sont responsables et les individus qu’ils concernent.
Ce principe s’applique à tout traitement de données personnelles, que les données soient directement recueillies auprès des personnes concernées (par exemple, dans le cadre d’interactions avec les personnes concernées) ou indirectement collectées : collecte de données en libre accès sur Internet (publications sur les sites d’institutions ou d’administrations, annuaires des services publics, presse, etc.) obtention d’informations auprès de partenaires institutionnels / commerciaux, réutilisation d’une base de données déjà constituée, etc.
Il existe cependant certains cas dans lesquels la délivrance d’une information individuelle n’est pas obligatoire, notamment lorsque le responsable du traitement n’a pas directement collecté les données personnelles auprès des personnes concernées. Il est notamment possible de considérer qu’une information individuelle des personnes concernées exigerait des efforts disproportionnés lorsque le traitement ne comporte pas les données de contact et répond aux conditions cumulatives suivantes :
- Le traitement est mis en œuvre pour comprendre quelles sont les parties prenantes pertinentes sur un sujet donné
- Le traitement ne concerne que des personnes qui, de par leur activité, ont une forte visibilité dans l’espace public
- Le traitement ne porte que sur des données publiquement accessibles
- Le traitement est peu intrusif
Une autre exception concerne les cas où l’information compromettrait gravement la réalisation des objectifs du traitement. Certains traitements de données personnelles mis en œuvre par les professionnels des affaires publiques poursuivent en effet des objectifs qu’une information individuelle des personnes concernées viendrait gravement compromettre. Cela peut se produire, par exemple lorsque ces professionnels travaillent sur des informations confidentielles dans le cadre d’une opération boursière ou dans le cadre d’une restructuration sociale.
Enfin, un dernier cas dérogatoire est prévu par la réglementation : quand l’obtention ou la communication des informations est prévue par un texte. Cette exception ne s’appliquera que dans le cas où l’organisme soumis aux dispositions en cause (texte législatif ou réglementaire) est le responsable du traitement et sous réserve de mettre en œuvre des garanties appropriées.
Un guide pour accompagner les professionnels du secteur
De nombreuses autres obligations incombent aux professionnels des affaires publiques et du lobbying. C’est la raison pour laquelle la CNIL a accompagné l’Association française des Conseils en Lobbying et affaires publiques (AFCL), l’Association des professionnels des affaires publiques (APAP), l’Association des Avocats-Conseils en Affaires publiques (A-CAP) et le Syndicat du Conseil en relations publics. Après des échanges ayant eu lieu pendant plus de deux années, un guide pratique a été élaboré en vue de favoriser l’application du RGPD par les professionnels de ce secteur.
Le guide propose d’accompagner les professionnels du secteur dans la compréhension de certains principes clés de la réglementation :
- La qualification juridique des acteurs (responsable ou coresponsable de traitement, sous-traitant)
- Les bases légales et les conditions de traitement des données « sensibles »
- L’information et les conditions dans lesquelles il est possible de déroger à l’obligation d’informer individuellement les personnes concernées
- Les durées de conservation des données
Cette démarche s’inscrit dans le cadre de l’accompagnement sectoriel de la CNIL. Ce dernier se traduit notamment par la mise en œuvre d’une collaboration avec des « têtes de réseaux » destinée à faciliter l’appropriation du RGPD par les professionnels d’un secteur donné. Ces partenariats permettent l’élaboration d’outils pratiques et opérationnels (guides, fiches pratiques, recommandations, etc.) qui contribuent à favoriser une utilisation responsable des données, dans le respect des droits des personnes.
Pour aller plus loin, découvrez comment notre solution logicielle deepeo peut vous aider grâce à ses fonctionnalités
Suppression des données
Supprimez toutes les données relatives à la personne concernée que vous n’avez plus de raison commerciale ou juridique de conserver, conformément aux règles sur les données personnelles..
Anonymiseur de Données
Rendre anonymes les données d’une personne concernée au lieu de les supprimer.