Actualités juridiques et digitales

Affaires publiques et lobbying : le nouveau guide des professionnels

Rédigé par Haas Avocats | Apr 24, 2024 3:19:07 PM

Par Haas Avocats

En tant que professionnel des affaires publiques, les cabinets ou services d’entreprises spécialisés en conseil en affaires publiques/ représentation d’intérêt sont amenés à traiter des données personnelles dans le cadre de leurs activités.

Afin de s’approprier le RGPD pour plus de sécurité juridique, tout en aidant leurs pairs à mener des actions concrètes pour protéger les données personnelles, les professionnels des affaires publiques ont ainsi publié un guide, en concertation avec la CNIL.

Au-delà de rappeler les qualifications juridiques des acteurs prévues par le RGPD et applicables aux professionnels des affaires publiques[1], le guide donne des exemples concrets de statuts appliqués au métier du « conseil en affaires publiques ».

Qualification des acteurs

Pour rappel, le responsable de traitement est celui qui détermine les finalités et les moyens essentiels du traitement. A cet égard, plusieurs scénarios sont envisagés:

  1. Lorsque le client et le cabinet sont responsables conjoints: le cabinet est mandaté par le client pour réaliser une mission d’accompagnement en affaires publiques avec des objectifs déterminés ;
  2. Le client est responsable de traitement et le cabinet de conseil sous-traitant: c’est effectivement le client qui définit la stratégie, détermine les finalités et les moyens essentiels des traitements et élabore les cartographies, voire les plans d’engagement, tandis que le cabinet n’a qu’un rôle organisationnel / opérationnel.
  3. Chaque structure est qualifiée de responsable disjoint pour les données qui lui sont propres et qu’elle gère pour son propre compte.

La base légale du traitement par les professionnels des affaires publiques

Pour fonder légalement le traitement des données personnelles, le guide explicite différentes bases légales pouvant être invoquées :

  • L’obligation légale: les professionnels des affaires publiques peuvent être tenus à une obligation de déclaration de certaines informations auprès de la Haute Autorité pour la Transparence dans la vie publique (HATVP) ;
  • L’intérêt légitime: du professionnel à opérer un traitement de données personnelles. A ce titre, (i) le responsable de traitement se doit de vérifier que son intérêt est manifestement licite au regard du droit (ii), qu’il est déterminé de façon suffisamment claire et précise, et (3) qu’il est réel et présent pour l’organisme concerné et non fictif.

Le guide va même jusqu’à prévoir le cas où les données traitées par ces professionnels sont des données sensibles[2] (telles que des données relatives aux opinions politiques ou syndicales ou à la santé des personnes concernées). Parmi ces données, seules celles manifestement rendues publiques ou celles pour lesquelles la personne concernée a consenti explicitement à leur traitement pourront être collectées par ces professionnels[3].

Les délais de conservation spécifiques au secteur des Affaires publiques

Si le responsable de traitement doit déterminer la durée opérationnelle du traitement en fonction des finalités prévues, il doit également prendre en compte les obligations de conservation et les délais de prescription applicables[4].

A titre d’exemple, les représentants d’intérêt ont l’obligation de conserver et de tenir à la disposition de la HATVP les éléments relatifs à leurs actions de représentation d’intérêt, aux dépenses qu’ils y ont consacré, ainsi que les pièces permettant de justifier du respect des règles déontologiques pendant cinq ans à compter de l’exercice comptable suivant celui au cours duquel l’activité de représentation d’intérêt a été menée[5].

En outre, les données des clients des avocats ne doivent pas être conservées au-delà d’un an à l’issue de la relation contractuelle au sein de la base active, mais ne peuvent toutefois être effacées avant l’écoulement de la durée de prescription de la responsabilité civile professionnelle de l’avocat (cinq ans) en archivage intermédiaire.

L’obligation d’information des personnes concernées

Les principes de transparence et de loyauté des traitements de données personnelles imposés aux organismes par le RGPD se manifestent par une obligation d’information de la personne concernée par le traitement. Cette information doit être délivrée de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples[6].

A ce titre, une information individuelle de la personne concernée est nécessaire lorsque ses données de contact sont traitées, et notamment en vue d’actions de représentation d’intérêt[7].

Cependant, dans le cas où un professionnel des affaires publiques traite des données personnelles, il peut ne pas informer individuellement la personne concernée dans certains cas :

  • L’information exigerait des efforts disproportionnés;
  • L’information compromettrait gravement la réalisation des objectifs du traitement ;
  • L’obtention ou la communication des informations est prévue par un texte.

Pour satisfaire à leurs obligations au titre du RGPD, les professionnels des affaires publiques devront tout de même mettre en œuvre des garanties appropriées pour protéger les droits et libertés des personnes concernées, et notamment publier une information générale sur leur site web.

A travers ce guide, la CNIL tente de couvrir les traitements propres aux professionnels des affaires publiques ou traitements dits « cœur de métier » avec un certain succès. Espérons donc que les différents acteurs s’en serviront dans leur mise en conformité.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

[1] Dans quel cas le professionnel peut se retrouver responsable de traitement ou sous-traitant

[2] Dont le traitement est par principe interdit (article 9 du RGPD)

[3] (p.27)

[4] (p.53)

[5]Délibération de la Haute Autorité pour la Transparence de la Vie Publique (HATVP) du 2019-28 du 20 mars 2019

[6] Article 12 du RGPD

[7] Décision de la CNIL n° SAN-2021-012 du 26 juillet 2021