Elaboré par plusieurs associations représentatives des professionnels des affaires et relations publiques, en concertation avec la Commission nationale de l’Informatique et des Libertés (ci-après la « CNIL »), le guide à destination des professionnels des affaires publiques a été publié le 13 mars 2024.
Ce guide a vocation à aider les professionnels de ce secteur à se mettre en conformité avec les dispositions du Règlement (UE) 2016/679, dit règlement général sur la protection des données (ci-après le « RGPD »).
Sont uniquement visés trois traitements de données à caractère personnel, lesquels sont propres aux activités des professionnels des affaires publiques, et dont les finalités sont les suivantes :
-* « pour comprendre les positions, les attentes, et le champ d’action et/ou d’influence des parties prenantes » ;
En outre, il est précisé, que ce guide ne concerne pas les traitements non spécifiques à ce secteur, tels que par exemple, la gestion des ressources humaines, la gestion commerciale, etc. Les professionnels sont invités à se référer aux guides, recommandations et outils déjà élaborés par la CNIL à ce sujet.
D’autre part, ce guide ne cherche pas à élaborer une liste exhaustive des obligations incombant aux professionnels de ce secteur pour être en conformité avec le RGPD. En revanche, il comprend un ensemble de bonnes pratiques à mettre en œuvre par ces derniers.
Au sein du guide, est rappelée l’importance de déterminer au préalable la qualification des acteurs, afin de déterminer par la suite les obligations auxquels ils sont soumis.
Pour faciliter cette démarche des professionnels des affaires publiques, le guide présente plusieurs critères qui peuvent être utilisés par ces derniers et qui sont relatifs à la détermination du traitement, à la détermination de la finalité, à la détermination des moyens pour la mise en œuvre du traitement.
Des exemples sont ensuite présentés, ainsi que les différentes obligations qui incombent aux acteurs en fonction de la qualification retenue.
Il est rappelé au sein du guide que le traitement mis en œuvre par le responsable du traitement doit nécessairement se fonder sur l’une des bases légales énoncées au sein de l’article 6 du RGPD.
En outre, il existe une interdiction de principe selon laquelle certaines données dites « sensibles » ne peuvent être ni collectées, ni traitées, sauf dans le cadre de certaines exceptions. Cela concerne entre autres les données qui révèlent « les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ».
Par exception, ces données « sensibles » peuvent faire l’objet d’un traitement, lorsque :
Il convient alors pour les professionnels des affaires publiques de vérifier qu’ils s’inscrivent effectivement dans le cadre de l’une des exceptions ci-dessus, lorsqu’ils sont amenés à collecter et traiter des données « sensibles ».
Conformément aux articles 13 et 14 du RGPD, les personnes concernées doivent être informées de plusieurs éléments lorsque leurs données à caractère personnel sont collectées, que ce soit directement auprès d’elles, ou indirectement. Elles doivent notamment être informées des traitements mis en œuvre à partir de leurs données personnelles, et des droits qu’elles peuvent exercer s’agissant de ces traitements.
Le guide contient différents exemples de modalités d’informations afin d’aider les professionnels de ce secteur dans leur démarche. Sont également résumés les différents éléments que doivent contenir cette information préalable des personnes concernées, ainsi que les modalités de cette information.
De plus, le guide rappelle qu’il existe différentes exceptions à l’obligation d’information individuelle des personnes concernées. En cas de collecte indirecte des données personnelles, cela concerne les cas où :
Toutefois, même lorsque ces exceptions s’appliquent, les professionnels des affaires publiques devront tout de même prendre des mesures appropriées protégeant les droits et libertés des personnes concernées, ainsi que leur intérêt légitime.
Le guide précise certaines des exceptions qui seraient applicables dans le cadre des activités spécifiques aux professionnels des affaires publiques.
D’abord, cela concerne l’exception en raison d’une information individuelle qui serait impossible ou qui nécessiterait des efforts disproportionnés. Quatre critères afin de déterminer si la situation du professionnel entre dans le cadre de cette exception, sont indiqués au sein de ce guide. Ainsi, pour que l’exception soit mobilisable par le professionnel, il convient de regarder si :
Si l’ensemble de ces conditions sont remplies, l’exception est nécessairement applicable. Cependant, à l’inverse l’exception peut aussi s’appliquer si certains de ces critères seulement sont remplis. En effet, ils ne constituent que des indices afin d’aider les professionnels du secteur, mais in fine, ces derniers doivent uniquement être capables de démontrer qu’une information individuelle serait impossible en pratique ou demanderait de leur part des efforts disproportionnés qu’ils ne pourraient pas mettre.
Deux autres exceptions peuvent également être mobilisées par les professionnels de ce secteur : lorsque cela compromet gravement la réalisation des objectifs du traitement et lorsque les professionnels mettent en œuvre ce traitement en vertu d’une obligation légale ou réglementaire.
Enfin, dès lors qu’une de ces exceptions s’applique, il convient pour les professionnels de prendre des mesures appropriées afin de protéger les droits et les libertés, ainsi que les intérêts légitimes des personnes concernées. Le guide détaille davantage à ce sujet.
Le guide reprend les différents éléments auxquels les professionnels des affaires publiques doivent également porter une attention soutenue afin de s’assurer de leur conformité avec le RGPD. Cela concerne la mise en place en pratique de durées de conservation appropriée et justifiée des données personnelles collectées et traitées. Cela implique également la gestion des droits exercés par les personnes concernées ou la réalisation d’une analyse d’impact lorsque cela s’avère nécessaire.
Enfin, en annexe du guide, ont été rédigées des exemples de finalité poursuivies par les traitements concernés par ce guide afin d’accompagner les professionnels des affaires publiques dans la cartographie de leurs traitements. De plus, un modèle de politique de protection des données à caractère personnel à l’attention des personnes publiques est mis à la disposition des professionnels.
Jeanne BOSSI MALAFOSSE, associée, et Florian BUSSINET, stagiaire