Après plus de deux ans d’échanges avec les équipes de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’Association des Avocats-Conseils en Affaires publiques (A-CAP), l’Association Française des Conseils en Lobbying et affaires publiques (AFCL), l’Association des Professionnels des Affaires Publiques (APAP) et le Syndicat des Conseils en Relations Publics (SCRP) ont rédigé un guide pratique du RGPD à destination des professionnels du secteur des affaires publiques.
Ce Guide, détaillé sur plus de 70 pages et illustré d’exemples concrets, permet d’apporter des réponses opérationnelles aux questions des professionnels, quant à l’application du RGPD, du fait notamment de la spécificité des publics avec lesquels ils interagissent, décideurs publics et plus largement intervenants dans la sphère publique. Ces réponses s’organisent autour de trois axes :
- La base légale des traitements de données à caractère personnel : la mise en œuvre des traitements de données « cœur de métier » en affaires publiques (cartographies, plans d’engagement, biographies, notes de veille, newsletters, organisation d’évènements, …) est légitime mais n’exonère bien entendu pas les professionnels de leurs obligations en matière de protection des données ;
- La responsabilité du traitement des données et l’attribution en particulier de cette responsabilité dans le cas où ce traitement est sous-traité : le client est en règle générale considéré comme responsable du traitement mais la qualification de chacun des acteurs dépendra du rôle qui leur est effectivement attribué et il est donc recommandé de détailler les rôles de chacun dans les documents contractuels ;
- L’information des personnes concernées : le guide rappelle que, par principe, une information individuelle sur les traitements de données mis en œuvre doit être fournie aux personnes concernées – notamment à travers une politique de protection des données qui doit être accessible depuis les pavés de signature des courriels. Toutefois, trois exceptions à l’obligation d’information individuelle peuvent être envisagées dans certaines situations : si l’information nécessite des efforts disproportionnés par rapport à l’intérêt de la démarche, si l’information est susceptible de compromettre gravement la réalisation des objectifs du traitement ou si le traitement est expressément prévu par une obligation légale.
Ce Guide apporte donc aux professionnels des affaires publiques des précisions indispensables et complémentaires au rappel que la délibération1 de la formation restreinte de la CNIL avait posé en juillet 2021, en condamnant une société notamment pour manquement à ses obligations d’information suite à une cartographie d’acteurs en partie publics.
Pour en savoir plus : Guide pratique du rgpd à destination des professionnels des affaires publiques