Elaboré en concertation avec la CNIL par les 4 organisations professionnelles représentatives des métiers des affaires publiques, ce guide pratique permet de préciser l’application opérationnelle du RGPD à leur secteur.
Après plus de deux ans d’échanges avec les équipes de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’Association des Avocats-Conseils en Affaires publiques (A-CAP), l’Association Française des Conseils en Lobbying et affaires publiques (AFCL), l’Association des Professionnels des Affaires Publiques (APAP) et le Syndicat des Conseils en Relations Publics (SCRP) ont rédigé un guide pratique du RGPD à destination des professionnels du secteur des affaires publiques.
Ce Guide, détaillé sur plus de 70 pages et illustré d’exemples concrets, permet d’apporter des réponses opérationnelles aux questions des professionnels, quant à l’application du RGPD, du fait notamment de la spécificité des publics avec lesquels ils interagissent, décideurs publics et plus largement intervenants dans la sphère publique.
Ces réponses s’organisent autour de trois axes :
- La base légale des traitements de données à caractère personnel : la mise en oeuvre des traitements de données « coeur de métier » en affaires publiques (cartographies, plans d’engagement, biographies, notes de veille, newsletters, organisation d’évènements, …) est légitime mais n’exonère bien entendu pas les professionnels de leurs obligations en matière de protection des données ;
- La responsabilité du traitement des données et l’attribution en particulier de cette responsabilité dans le cas où ce traitement est sous-traité : le client est en règle générale considéré comme responsable du traitement mais la qualification de chacun des acteurs dépendra du rôle qui leur est effectivement attribué et il est donc recommandé de détailler les rôles de chacun dans les documents contractuels ;
- L’information des personnes concernées : le guide rappelle que, par principe, une information individuelle sur les traitements de données mis en oeuvre doit être fournie aux personnes concernées – notamment à travers une politique de protection des données qui doit être accessible depuis les pavés de signature des courriels. Toutefois, trois exceptions à l’obligation d’information individuelle peuvent être envisagées dans certaines situations : si l’information nécessite des efforts disproportionnés par rapport à l’intérêt de la démarche, si l’information est susceptible de compromettre gravement la réalisation des objectifs du traitement ou si le traitement est expressément prévu par une obligation légale.
Ce Guide appo
rte donc aux professionnels des affaires publiques des précisions indispensables et complémentaires au rappel que la délibération (n°SAN-2021-012 du 26 juillet 2021) de la formation restreinte de la CNIL avait posé en juillet 2021, en condamnant une société notamment pour manquement à ses obligations d’information suite à une cartographie d’acteurs en partie publics.
Le présent guide est publié sur le site de la la CNIL et sur ceux des quatre organisations professionnelles.
