RGPD : une action conjointe menée par le SYNAP et SYNTEC Conseil en Relations Publics
RGPD : une action conjointe menée par le SYNAP et SYNTEC Conseil en Relations Publics
Entré en vigueur le 25 mai dernier, le Règlement sur la Protection de Données (RGPD ou GDPR) remet en cause tout le processus d’acquisition et de traitement des données et d’analyse des comportements. Afin d’accompagner nos adhérents dans leur mise en conformité, nous avons tout d'abord ouvert un espace dédié, en accès réservé sur notre site, précisant les grandes lignes de la nouvelle législation et comment se mettre en conformité avec elle.
Pour aller plus loin, le SYNAP et SYNTEC Conseil en Relations Publics se sont rapprochés de la CNIL afin de collecter des réponses adaptées aux spécificités des métiers qu’ils représentent et dont vous trouverez ci-après les premiers éléments concrets, éléments devant bien entendu toujours être recontextualisés.
roles)) > 0) { ?>
Afin d’aller plus loin, nous allons désormais de travailler sur un guide pratique composé de questions/réponses et pour le réaliser nous avons besoin de vous.
Afin de soumettre à la CNIL un maximum de questions concrètes, merci de nous envoyer :
-> Un maximum de cas pratiques sous forme de questions.
-> Des mises en pratique concrète détaillées
Nous recherchons également 2 à 3 directeurs RH ou juridiques volontaires pour travailler ensemble à la réalisation de :
-> un modèle type d'avenant contrat client
-> un modèle type de charte d'utilisations des données (pour les collaborateurs agence)
Base juridique du traitement : consentement, intérêt légitime ?
La nature des relations entre conseiller en relations publics vs journalistes est définie par la CNIL comme étant une relation professionnelle.
>>> Il suffit de lui laisser la possibilité de se retirer de votre liste de diffusion et de respecter les droits des journalistes (transparence concernant le traitement de ses données).
Est-ce la même chose pour les influenceurs ? Pouvons-nous considérer que nous sommes dans une relation professionnelle ?
La CNIL répond que, si la réponse ne peut pas être généralisée, les influenceurs peuvent être considérés comme des contacts professionnels.
>>> La règle qui prévaut ici également est l’Opt-Out.
Et concernant la collecte des contenus ?
Par exemple, pour la marque de vêtements d’enfants que je représente, je collecte des informations personnelles sur l’influenceur : elle chausse du 38, elle a 3 enfants, deux filles et un garçon…
Si les données sont justifiées (taille de vêtements), nous pouvons considérer que la collecte se justifie par « l’intérêt légitime ». Il faut cependant faire attention à la nature des informations. Au-delà des informations « contacts » et « centres d’intérêts », il faut être très vigilant. Certaines données sont sensibles (le régime alimentaire par exemple) et nécessitent le consentement ou certaines sont interdites (le nom de ses enfants car le droit de ces derniers prime).
Il y a également une différence de la manière dont l’information est collectée, si l’information est recueillie d’une manière interpersonnelle, le consentement est induit car il s’agit d’un échange d’informations éclairé (Exemple : pour une visite d’un chantier, l’agence demande au journaliste sa pointure pour pouvoir l’équiper de chaussures de sécurité). Si la collecte se fait par lecture d’un blog par exemple, le droit de détention de l’information dépend de la nature de l’information (comme précisé ci-dessus), à savoir intérêt légitime ou bien consentement.
Si, dans un cadre B2B, le consentement n'est pas nécessaire, l'agence a-t-elle cependant des obligations vis-à-vis des personnes en terme de transparence ?
Se référer pour cela aux articles 13 (si l'agence est collectrice des données) ou 14 (si elle fait appel à un fournisseur de fichiers de type datapresse, hors antenne…) du règlement européen. Ce dernier oblige de fournir plusieurs types d’informations.
> De manière systématique concernant :
> Non systématique :
Il doit donc y avoir obligatoirement une mention obligatoire dans chaque prise de contact.
Nature de la relation sous-traitant / co-traitant avec Cision dans la chaine de relation
Le client < > L’agence < > Cision < > le journaliste
L’agence est « responsable de traitement »
Elle définit les moyens mis en œuvre pour contacter les journalistes. La responsabilité de traitement est donc bien portée par l’agence. Cette dernière ne peut pas être considérée comme « sous-traitant » du client.
Exemple : Si le client fournit les données (liste de journalistes) en indiquant comment et quand les contacter, tout en vous interdisant d'utiliser à d’autres fins ces données, alors le client serait « responsable de traitement » et l’agence « sous-traitant ».
Quel est le statut du client de l’agence ? Est-il propriétaire de l’information communiquée aux journalistes / influenceurs ?
La CNIL nous répond que cela dépend de la situation, notamment s’il a un accès aux fichiers de données. Un complément de réponse est attendu.
L’agence partage-t-elle une responsabilité de traitement avec le fournisseur de fichiers presse ?
Le fournisseur de fichiers est « collecteur de données » et l’agence « destinataire des données » (de Cision par exemple).
>>> A priori nous ne sommes pas co-responsables du même traitement des fichiers.
A cette fin, nous vous recommandons pour le moment de ne pas signer les avenants des contrats envoyés par Cision. Ce dernier est en cours de revue.
Connectez-vous pour avoir accès à la suite de l’article