On en parle
Jeudi 12 juillet 2018

RGPD : une action conjointe menée par le SYNAP et SYNTEC Conseil en Relations Publics

RGPD : une action conjointe menée par le SYNAP et SYNTEC Conseil en Relations Publics

Entré en vigueur le 25 mai dernier, le Règlement sur la Protection de Données (RGPD ou GDPR) remet en cause tout le processus d’acquisition et de traitement des données et d’analyse des comportements. Afin d’accompagner nos adhérents dans leur mise en conformité, nous avons tout d'abord ouvert un espace dédié, en accès réservé sur notre site, précisant les grandes lignes de la nouvelle législation et comment se mettre en conformité avec elle.

Pour aller plus loin, le SYNAP et SYNTEC Conseil en Relations Publics se sont rapprochés de la CNIL afin de collecter des réponses adaptées aux spécificités des métiers qu’ils représentent et dont vous trouverez ci-après les premiers éléments concrets, éléments devant bien entendu toujours être recontextualisés.

roles)) > 0) { ?>

Afin d’aller plus loin, nous allons désormais de travailler sur un guide pratique composé de questions/réponses et pour le réaliser nous avons besoin de vous.
Afin de soumettre à la CNIL un maximum de questions concrètes, merci de nous envoyer :

-> Un maximum de cas pratiques sous forme de questions.

Ex : Quel est le fondement juridique et la procédure pour la collecte d'informations personnelles de type «  date de naissance » ?

-> Des mises en pratique concrète détaillées 
Ex : L'agence, mandatée par son client pour organiser un voyage de presse, collecte un ensemble de données directement auprès des personnes concernées (journalistes) afin de procéder à l'achat de billets de train. 
  
Nous recherchons également 2 à 3 directeurs RH ou juridiques volontaires pour travailler ensemble à la réalisation de :
-> un modèle type d'avenant contrat client 
-> un modèle type de charte d'utilisations des données (pour les collaborateurs agence)
 

Premiers éléments de réponses apportées par la CNIL
 
Base juridique du traitement : consentement, intérêt légitime ? 
La nature des relations entre conseiller en relations publics vs journalistes est définie par la CNIL comme étant une relation professionnelle. 
L’Opt-In ne prévaut pas : nul besoin donc de demander le consentement du journaliste avant de le contacter. 
>>> Il suffit de lui laisser la possibilité de se retirer de votre liste de diffusion et de respecter les droits des journalistes (transparence concernant le traitement de ses données).

Est-ce la même chose pour les influenceurs ? Pouvons-nous considérer que nous sommes dans une relation professionnelle ? 
La CNIL répond que, si la réponse ne peut pas être généralisée, les influenceurs peuvent être considérés comme des contacts professionnels. 
Car en se rendant public et en cherchant à être légitime sur les sujets qu’ils abordent, ils se positionnent dans un rôle professionnel.
>>> La règle qui prévaut ici également est l’Opt-Out.

Et concernant la collecte des contenus ?
Par exemple, pour la marque de vêtements d’enfants que je représente, je collecte des informations personnelles sur l’influenceur : elle chausse du 38, elle a 3 enfants, deux filles et un garçon… 

Si les données sont justifiées (taille de vêtements), nous pouvons considérer que la collecte se justifie par « l’intérêt légitime ». Il faut cependant faire attention à la nature des informations. Au-delà des informations « contacts » et « centres d’intérêts », il faut être très vigilant. Certaines données sont sensibles (le régime alimentaire par exemple) et nécessitent le consentement ou certaines sont interdites (le nom de ses enfants car le droit de ces derniers prime).

Il y a également une différence de la manière dont l’information est collectée, si l’information est recueillie d’une manière interpersonnelle, le consentement est induit car il s’agit d’un échange d’informations éclairé (Exemple : pour une visite d’un chantier, l’agence demande au journaliste sa pointure pour pouvoir l’équiper de chaussures de sécurité). Si la collecte se fait par lecture d’un blog par exemple, le droit de détention de l’information dépend de la nature de l’information (comme précisé ci-dessus), à savoir intérêt légitime ou bien consentement.

Si, dans un cadre B2B, le consentement n'est pas nécessaire, l'agence a-t-elle cependant des obligations vis-à-vis des personnes en terme de transparence ?

Se référer pour cela aux articles 13 (si l'agence est collectrice des données) ou 14 (si elle fait appel à un fournisseur de fichiers de type datapresse, hors antenne…) du règlement européen. Ce dernier oblige de fournir plusieurs types d’informations.


> De manière systématique concernant : 
 

• L’identité et les coordonnées du responsable de traitement (de l'agence et de votre DPO si vous en avez un),
• Les finalités (dans le cas d’un communiqué de presse, cela est induit),
• Les catégories de données à caractère personnel concernées ,
• Une mention «  en savoir plus » qui pourrait renvoyer sur une page internet de votre agence « traitement des données ».
 

> Non systématique : 
 

• L'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données,
• Les sources (Exemple : l’agence utilise les données datapresse fournies par l’entreprise Cision),
• Le droit d'introduire une réclamation auprès d'une autorité de contrôle.


Il doit donc y avoir obligatoirement une mention obligatoire dans chaque prise de contact. 

Exemple : lors de l’envoi du communiqué de presse vous pouvez mentionner toutes les éléments du premier étage et renvoyer sur une page internet de votre agence « traitement des données » précisant les informations non systématiques.  

Nature de la relation sous-traitant / co-traitant avec Cision dans la chaine de relation
Le client  < >  L’agence  < >  Cision  < >  le journaliste 

L’agence est « responsable de traitement »
Elle définit les moyens mis en œuvre pour contacter les journalistes. La responsabilité de traitement est donc bien portée par l’agence. Cette dernière ne peut pas être considérée comme « sous-traitant » du client.

Exemple : Si le client fournit les données (liste de journalistes) en indiquant comment et quand les contacter, tout en vous interdisant d'utiliser à d’autres fins ces données, alors le client serait « responsable de traitement » et l’agence « sous-traitant ».

Quel est le statut du client de l’agence ? Est-il propriétaire de l’information communiquée aux journalistes / influenceurs ? 
La CNIL nous répond que cela dépend de la situation, notamment s’il a un accès aux fichiers de données. Un complément de réponse est attendu.

L’agence partage-t-elle une responsabilité de traitement avec le fournisseur de fichiers presse ?
Le fournisseur de fichiers est « collecteur de données » et l’agence « destinataire des données » (de Cision par exemple). 
A côté de cela, l’agence a sa responsabilité propre concernant le traitement des données.  
>>> A priori nous ne sommes pas co-responsables du même traitement des fichiers.
A cette fin, nous vous recommandons pour le moment de ne pas signer les avenants des contrats envoyés par Cision. Ce dernier est en cours de revue. 
 

 

Connectez-vous pour avoir accès à la suite de l’article