Blog Données personnelles

Publication d’un guide pratique du RGPD à destination des professionnels des affaires publiques : une coopération entre les organismes représentatifs et la CNIL

Elaboré par plusieurs associations représentatives des professionnels des affaires et relations publiques, en concertation avec la Commission nationale de l’Informatique et des Libertés (ci-après la « CNIL »), le guide à destination des professionnels des affaires publiques a été publié le 13 mars 2024.

Ce guide a vocation à aider les professionnels de ce secteur à se mettre en conformité avec les dispositions du Règlement (UE) 2016/679, dit règlement général sur la protection des données (ci-après le « RGPD »).

Sont uniquement visés trois traitements de données à caractère personnel, lesquels sont propres aux activités des professionnels des affaires publiques, et dont les finalités sont les suivantes :

-* « pour comprendre les positions, les attentes, et le champ d’action et/ou d’influence des parties prenantes » ;

  • « pour construire et entretenir un dialogue entre les entités dont les intérêts sont représentés et les parties prenantes pertinentes, et élaborer une communication et des messages pertinents à l’égard de ces parties prenantes » ;
  • « pour le maintien des relations professionnelles créées au fur et à mesure du temps, le suivi des contacts, et l’entretien de l’expertise et de l’expérience du professionnel des affaires publiques ».

En outre, il est précisé, que ce guide ne concerne pas les traitements non spécifiques à ce secteur, tels que par exemple, la gestion des ressources humaines, la gestion commerciale, etc. Les professionnels sont invités à se référer aux guides, recommandations et outils déjà élaborés par la CNIL à ce sujet.

D’autre part, ce guide ne cherche pas à élaborer une liste exhaustive des obligations incombant aux professionnels de ce secteur pour être en conformité avec le RGPD. En revanche, il comprend un ensemble de bonnes pratiques à mettre en œuvre par ces derniers.

La qualification juridique des acteurs

Au sein du guide, est rappelée l’importance de déterminer au préalable la qualification des acteurs, afin de déterminer par la suite les obligations auxquels ils sont soumis.

Pour faciliter cette démarche des professionnels des affaires publiques, le guide présente plusieurs critères qui peuvent être utilisés par ces derniers et qui sont relatifs à la détermination du traitement, à la détermination de la finalité, à la détermination des moyens pour la mise en œuvre du traitement.

Des exemples sont ensuite présentés, ainsi que les différentes obligations qui incombent aux acteurs en fonction de la qualification retenue.

Les bases légales du traitement

Il est rappelé au sein du guide que le traitement mis en œuvre par le responsable du traitement doit nécessairement se fonder sur l’une des bases légales énoncées au sein de l’article 6 du RGPD.

En outre, il existe une interdiction de principe selon laquelle certaines données dites « sensibles » ne peuvent être ni collectées, ni traitées, sauf dans le cadre de certaines exceptions. Cela concerne entre autres les données qui révèlent « les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ».

Par exception, ces données « sensibles » peuvent faire l’objet d’un traitement, lorsque :

  • la personne concernée a donné son consentement au traitement de ces données ;
  • la personne concernée a rendu manifestement publique les données en question ;
  • le traitement de telles données est nécessaire à la sauvegarde des intérêt vitaux de la personne concernée ;
  • le traitement de telles données est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • le traitement de telles données est mis en œuvre par une fondation, une association ou par tout organisme à but non lucratif, lequel poursuit une finalité politique, philosophique, religieuse, syndicale, dans le cadre d’activités légitimes moyennant des garanties appropriées, et à condition que cela ne concerne que les membres anciens membres de ces organismes ou toutes personnes entretenant des contacts réguliers avec ces organismes.

Il convient alors pour les professionnels des affaires publiques de vérifier qu’ils s’inscrivent effectivement dans le cadre de l’une des exceptions ci-dessus, lorsqu’ils sont amenés à collecter et traiter des données « sensibles ».

L’information des personnes concernées

Conformément aux articles 13 et 14 du RGPD, les personnes concernées doivent être informées de plusieurs éléments lorsque leurs données à caractère personnel sont collectées, que ce soit directement auprès d’elles, ou indirectement. Elles doivent notamment être informées des traitements mis en œuvre à partir de leurs données personnelles, et des droits qu’elles peuvent exercer s’agissant de ces traitements.

Le guide contient différents exemples de modalités d’informations afin d’aider les professionnels de ce secteur dans leur démarche. Sont également résumés les différents éléments que doivent contenir cette information préalable des personnes concernées, ainsi que les modalités de cette information.

De plus, le guide rappelle qu’il existe différentes exceptions à l’obligation d’information individuelle des personnes concernées. En cas de collecte indirecte des données personnelles, cela concerne les cas où :

  • une information individuelle serait impossible ou nécessiterait des efforts disproportionnés ;
  • une information individuelle serait susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;
  • la communication des données en question est prévue expressément par le droit de l’Union européenne ou de l’un des Etats membres ;
  • les données en question doivent rester confidentielles, en vertu d’une obligation de secret professionnel.

Toutefois, même lorsque ces exceptions s’appliquent, les professionnels des affaires publiques devront tout de même prendre des mesures appropriées protégeant les droits et libertés des personnes concernées, ainsi que leur intérêt légitime.

Le guide précise certaines des exceptions qui seraient applicables dans le cadre des activités spécifiques aux professionnels des affaires publiques.

D’abord, cela concerne l’exception en raison d’une information individuelle qui serait impossible ou qui nécessiterait des efforts disproportionnés. Quatre critères afin de déterminer si la situation du professionnel entre dans le cadre de cette exception, sont indiqués au sein de ce guide. Ainsi, pour que l’exception soit mobilisable par le professionnel, il convient de regarder si :

  • cela concerne un traitement dit « pour comprendre », c’est-à-dire un traitement qui ne comporte pas des données de contact des personnes concernées, mais vise uniquement à comprendre les positions, les attentes, le champ d’action et/ou d’influence des parties prenantes ;
  • le traitement concerne uniquement des personnes qui ont une forte visibilité dans l’espace public en raison de leur activité ;
  • le traitement ne porte que sur des données publiquement accessibles ;
  • le traitement est peu intrusif, c’est-à-dire qu’il n’engendre pas de conséquences négatives pour les personnes concernées, qu’il ne comporte pas de prise de décision automatisée et de profilage, etc.

Si l’ensemble de ces conditions sont remplies, l’exception est nécessairement applicable. Cependant, à l’inverse l’exception peut aussi s’appliquer si certains de ces critères seulement sont remplis. En effet, ils ne constituent que des indices afin d’aider les professionnels du secteur, mais in fine, ces derniers doivent uniquement être capables de démontrer qu’une information individuelle serait impossible en pratique ou demanderait de leur part des efforts disproportionnés qu’ils ne pourraient pas mettre.

Deux autres exceptions peuvent également être mobilisées par les professionnels de ce secteur : lorsque cela compromet gravement la réalisation des objectifs du traitement et lorsque les professionnels mettent en œuvre ce traitement en vertu d’une obligation légale ou réglementaire.

Enfin, dès lors qu’une de ces exceptions s’applique, il convient pour les professionnels de prendre des mesures appropriées afin de protéger les droits et les libertés, ainsi que les intérêts légitimes des personnes concernées. Le guide détaille davantage à ce sujet.

Durée de conservation, droits des personnes concernées, analyse d’impact

Le guide reprend les différents éléments auxquels les professionnels des affaires publiques doivent également porter une attention soutenue afin de s’assurer de leur conformité avec le RGPD. Cela concerne la mise en place en pratique de durées de conservation appropriée et justifiée des données personnelles collectées et traitées. Cela implique également la gestion des droits exercés par les personnes concernées ou la réalisation d’une analyse d’impact lorsque cela s’avère nécessaire.

Annexes

Enfin, en annexe du guide, ont été rédigées des exemples de finalité poursuivies par les traitements concernés par ce guide afin d’accompagner les professionnels des affaires publiques dans la cartographie de leurs traitements. De plus, un modèle de politique de protection des données à caractère personnel à l’attention des personnes publiques est mis à la disposition des professionnels.

Jeanne BOSSI MALAFOSSE, associée, et Florian BUSSINET, stagiaire