Affaires publiques et lobbying : comment informer les personnes ?
Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Pour les traitements des professionnels des affaires publiques, la CNIL fait le point sur les mesures à prendre pour respecter cette obligation et précise les cas dans lesquels une information publique générale peut suffire.
Les traitements de données personnelles mis en œuvre par les professionnels des affaires publiques
Dans le cadre de leur activité, les professionnels des affaires publiques (cabinets de conseil, service interne d’une entreprise) collectent des données personnelles relatives à des individus tels que des acteurs gouvernementaux, administratifs, associatifs, parlementaires ou encore médiatiques.
Ces données (nom, prénom, données de contact, fonction ou mandat, parcours académique ou professionnel, prises de position publiques, travaux, etc.) peuvent être traitées pour plusieurs objectifs :
- Comprendre quelles sont les parties prenantes pertinentes sur un sujet donné, notamment à travers une cartographie permettant d’identifier les acteurs gouvernementaux, administratifs, associatifs, parlementaires, et médiatiques qui font partie de l’environnement de l’entité concernée.
Ces cartographies peuvent comporter certaines données personnelles (nom, prénom, fonction/mandat, etc.) mais ne contiennent généralement pas de données de contact puisqu’elles visent à ce stade à analyser les positions et à comprendre un écosystème, et non à prendre contact avec les personnes concernées à ce stade.
- Agir auprès d’acteurs identifiés lors de la cartographie, par exemple par le biais de l’élaboration d’un plan d’engagement
Lorsque la stratégie implique de prendre contact avec les parties prenantes identifiées, une fois la cartographie établie, un document opérationnel à des fins de contact peut être réalisé. Ce plan d’engagement contient généralement les données de contact des personnes qu’il aura été décidé de contacter (adresse électronique, numéro de téléphone, etc.).
Par ailleurs, la préparation des rendez-vous avec les personnes sollicitées peut impliquer la rédaction de leur biographie.
- Maintenir des relations professionnelles notamment par la constitution d’un « carnet d’adresses » (ou « capital d’intelligence ») dans les domaines d’expertise des différentes structures.
Les professionnels mettent en œuvre des actions afin de maintenir les relations professionnelles. Il peut s’agir de l’envoi de messages, d’informations, de documents, etc. Ces activités peuvent entrainer la constitution de listes de diffusion liées par exemple à une thématique ou à un événement particulier ou encore la constitution d’une base de données de suivi de ses contacts par le professionnel des affaires publiques.
Ces traitements ne peuvent être mis en œuvre que dans le respect du règlement général sur la protection des données (RGPD).
À noter : certains professionnels peuvent être qualifiés de « représentant d’intérêt », soumis à des obligations particulières en matière de transparence. Pour plus d’informations sur ce point, vous pouvez consulter ces ressources.
Pourquoi assurer la transparence des traitements ?
Le principe de transparence oblige les organismes collectant des données personnelles à en informer les personnes afin qu’elles comprennent les usages qui seront faits de leurs informations (pourquoi, comment) et soient en mesure d’exercer leurs droits (droit d’opposition, droit d’accès, droit de rectification, etc.). Il contribue ainsi à la loyauté des traitements et à l’établissement de relations de confiance entre les organismes qui en sont responsables et les individus qu’ils concernent.
Ce principe s’applique à tout traitement de données personnelles, que les données soient :
- directement recueillies auprès des personnes concernées : par exemple, dans le cadre d’interactions avec les personnes concernées ; ou
- indirectement collectées : collecte de données en libre accès sur Internet (publications sur les sites d’institutions ou d’administrations, annuaires des services publics, presse, etc.) obtention d’informations auprès de partenaires institutionnels/commerciaux, réutilisation d’une base de données déjà constituée, etc.
Quelles informations fournir et à quel moment ?
L’information doit comporter les points suivants :
- l’identité et les coordonnées du responsable du traitement ainsi que, le cas échéant, les moyens de contacter le délégué à la protection des données ;
- la finalité et la base légale du traitement avec, le cas échéant, des précisions sur « l’intérêt légitime » le fondant ;
- les destinataires ou catégories de destinataires des données, avec, le cas échéant, des précisions quant au transfert envisagé de celles-ci vers un pays tiers à l’Union européenne.
En principe, il est également nécessaire de préciser :
- la durée de traitement des données, ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
- le cas échéant, la mise en œuvre d’une décision entièrement automatisée, les informations utiles à la compréhension de l’algorithme, et les conséquences pour la personne concernée ;
- l'existence de leurs droits, tel que le droit d’opposition (à mentionner clairement et séparément de toute autre information) si le traitement est fondé sur l’ « intérêt légitime » ou la « mission d’intérêt public », ou de retirer son consentement à tout moment (si le traitement est fondé sur le consentement des personnes concernées).
- le droit d’introduire une réclamation auprès de la CNIL.
Lorsque les données ne sont pas collectées directement auprès des personnes concernées, des informations complémentaires doivent être fournies : il s’agit des catégories de données recueillies ainsi que de la source des données.
L’information doit, en principe, être réalisée au moment de la collecte. Lorsque les données ne sont pas collectées directement auprès des personnes, l’information doit être délivrée aussi tôt que possible, et au plus tard lors de la première prise de contact avec les intéressés ou lors de la première communication des données à un autre destinataire s’il y en a une, et dans tous les cas dans un délai ne dépassant pas un mois après la collecte.
Comment la délivrer en pratique ?
Les personnes concernées ne doivent pas rencontrer de difficultés dans l’accès à l’information comme dans sa compréhension : elle doit être bien distinguée des autres indications sans lien avec la protection des données, être aussi succincte et claire que possible (vocabulaire simple, phrases courtes, style direct, etc.) et adaptée aux conditions d’interaction avec les personnes.
Il existe ainsi plusieurs moyens pour la fournir. Pour atteindre l’objectif de concision et de bonne lisibilité, une information en plusieurs niveaux peut-être délivrée :
- Les informations essentielles (identité du responsable du traitement, objectifs du traitement et droits des personnes) peuvent être fournies dans la signature des courriers électroniques adressés à l’attention des personnes concernées. Par exemple :
Vous pouvez également vous opposer au traitement de vos données en cliquant ICI
Pour en savoir plus sur la gestion de vos données personnelles ainsi que sur la manière d’exercer vos droits, vous êtes invité(e) à consulter la politique de protection des données [lien à insérer].
- Les autres informations sont fournies dans une politique de protection des données publiée sur le site internet du responsable de traitement à laquelle il doit être renvoyé au sein du premier niveau d’information.
Quels sont les cas dans lesquels la délivrance d’une information individuelle n’est pas obligatoire ?
En principe, une information individuelle est nécessaire lorsque les données de contact sont traitées (cartographie prête à l’emploi contenant les données de contact) notamment en vue d’actions de représentation d’intérêt (dans le cadre d’un contrat de représentation d’intérêt), comme l’a rappelé la formation restreinte de la CNIL (décision n° SAN-2021-012 du 26 juillet 2021).
Toutefois, dans certains cas prévus par les textes, lorsque le responsable du traitement n’a pas directement collecté les données personnelles auprès des personnes concernées, il peut ne pas procéder à une information individuelle des personnes concernées.
En ce qui concerne spécifiquement les traitements de données à caractère personnel mis en œuvre par les professionnels des affaires publiques, il s’agit notamment des cas suivants :
Cas n° 1 : l’information exigerait des efforts disproportionnés
Une analyse au cas par cas est à réaliser, tenant compte du contexte spécifique de chaque traitement.
Il est notamment possible de considérer qu’une information individuelle des personnes concernées exigerait des efforts disproportionnés lorsque le traitement ne comporte pas les données de contact et répond aux conditions cumulatives suivantes :
- Le traitement est mis en œuvre pour comprendre quelles sont les parties prenantes pertinentes sur un sujet donné
Un traitement dit « pour comprendre » a pour objectif de construire l’environnement institutionnel et/ou médiatique d’un organisme qui souhaite représenter ses intérêts vis-à-vis de décideurs publics ou, plus largement, prendre en compte un écosystème d’opinion. Il s’agit, par exemple, d’élaborer une cartographie de parties prenantes ou encore de réaliser une veille sur un sujet donné.
Ce traitement ne doit pas comporter les données de contact des personnes concernées.
- Le traitement ne concerne que des personnes qui, de par leur activité, ont une forte visibilité dans l’espace public
Les personnes suivantes peuvent notamment être considérées comme ayant, de par leur activité, une forte visibilité dans l’espace public : les personnalités politiques (par exemple, les personnes membres ou ayant été membres du gouvernement et/ou du Parlement, d’établissements publics, d’autorités administratives), les personnalités publiques, le personnel encadrant à partir d’un certain niveau de responsabilité (par exemple, chef de service, directeur, etc.) qui figure sur les sites internet ou dans les organigrammes des entités concernées ou encore les personnes exerçant des fonctions officielles (par exemple, dans le cadre de nominations).
- Le traitement ne porte que sur des données publiquement accessibles
Il s’agit notamment des informations accessibles sur les sites Internet ou encore dans les publications des entités (institution, organisation, administration, etc.) auxquelles elles sont rattachées, des informations qui ont manifestement été rendues publiques par les personnes concernées (par exemple, la rédaction par la personne concernée d’une tribune dans la presse dévoilant certaines de ses données personnelles, les données volontairement communiquées par la personne concernée à un journaliste dans le cadre d’une interview publiée), les données personnelles qui figurent dans des newsletters spécialisées, dans des bases de données professionnelles ou dans les annuaires des services publics.
- Le traitement est peu intrusif
Cette dérogation devrait être applicable aux traitements de données personnelles qui se contentent d’utiliser des informations publiques des personnes, à l’exclusion de toute forme de profilage sur des opinions non publiques de la part des professionnels des affaires publiques.
En revanche, par principe, la constitution de bases de données pérennes et spécifiques (c’est-à-dire n’étant pas liées à une entreprise ou à un secteur en particulier) doit faire l’objet d’une information individuelle des personnes. Il s’agit, par exemple, des bases de données généralistes qui vont au-délà des données de fonctions professionnelles et de contacts et comprennent des informations détaillées sur le positionnement d’une personne. Elle sont parfois constituées par des courtiers qui en commercialisent l’accès à leurs clients (entreprises, administrations, cabinets de conseil, etc.).
Cas n° 2 : l’information compromettrait gravement la réalisation des objectifs du traitement
Certains traitements de données personnelles mis en œuvre par les professionnels des affaires publiques poursuivent des objectifs qu’une information individuelle des personnes concernées viendrait gravement compromettre. Cela peut se produire, par exemple et sous réserve d’une analyse au cas par cas, lorsque ces professionnels travaillent sur des informations confidentielles dans le cadre d’une opération boursière ou dans le cadre d’une restructuration sociale.
Lorsque l’information des personnes n’est plus susceptible de compromettre gravement la réalisation des objectifs poursuivis, l’information individuelle de ces personnes devra, en principe, être réalisée lors de la prise de contact.
Cas n° 3 : l'obtention ou la communication des informations est prévue par un texte
Cette exception ne s’appliquera que dans le cas où l’organisme soumis aux dispositions en cause (texte législatif ou réglementaire) est le responsable du traitement et sous réserve de mettre en œuvre des garanties appropriées.
Quelles garanties doivent être mises en œuvre lorsque l’information individuelle n’est pas requise ?
Lorsque les professionnels considèrent qu’une exception au principe de l’information individuelle est possible, ils doivent mettre en œuvre des garanties appropriées pour protéger les droits et libertés des personnes concernées. Le responsable du traitement doit en principe publier une information générale (par exemple sur un site web).
D’autres garanties peuvent être envisagées :
- une période de conservation très courte des données en base active ;
- la publication, par le professionnel des affaires publiques, de son registre de traitement ; et/ou
- la multiplication des canaux renvoyant à sa politique de protection des données à caractère personnel (lien intégré sur les pages des réseaux sociaux du responsable du traitement, etc.).
Ces mesures doivent faire l’objet d’une analyse au cas par cas.