Politique de confidentialité
relative au RGPD (UE) 2016/679

1. Préambule, cadre réglementaire et définitions

1.1. Préambule

CL CORPORATE AFFAIRS CONSULTING (ci-après « la Société » ou « nous ») est une société française à associé unique, immatriculée au répertoire SIRENE sous le numéro 902 992 189, dont le siège social est situé au 1 avenue de l'Observatoire, 75006 Paris, France, et disposant d'un bureau de représentation à Bruxelles, Belgique, au Avenue de Tervueren 103, B-1040 Bruxelles, tél. : +33 1 82 28 00 30 / +32 2 886 00 68.

Dans le cadre de ses activités d'affaires publiques et de représentation d'intérêts, la Société est amenée à collecter et traiter des données personnelles vous concernant. Elle le fait en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD ») et la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « loi Informatique et Libertés »).

1.2. Cadre réglementaire sectoriel

La présente politique a été rédigée conformément au Guide pratique du RGPD à destination des professionnels des affaires publiques, un cadre sectoriel co-élaboré par les quatre principales associations professionnelles françaises du secteur des affaires publiques et publié en concertation avec la CNIL (Commission nationale de l'informatique et des libertés), l'autorité indépendante française chargée de veiller à la protection des données personnelles et au respect des droits et libertés des personnes.

Les associations professionnelles ayant participé à l'élaboration de ce guide sont :

• AFCL — Association française des Conseils en Lobbying et affaires publiques ;
• APAP — Association des professionnels des affaires publiques ;
• A-CAP — Association des Avocats-Conseils en Affaires publiques ;
• SCRP — Syndicat du Conseil en relations publiques.

La France est l'un des rares pays européens où l'application du RGPD au secteur des affaires publiques a fait l'objet d'un processus de co-construction structuré entre les associations professionnelles et l'autorité compétente en matière de protection des données. Ce travail collaboratif, mené pendant plus de deux ans d'échanges avec la CNIL, a abouti à un guide sectoriel complet qui répond aux besoins spécifiques des professionnels des affaires publiques en matière de traitement de données — de la cartographie des parties prenantes à la représentation d'intérêts, en passant par l'entretien des relations professionnelles et le respect des obligations de transparence.

CL Corporate Affairs Consulting adhère à ces standards professionnels. L'intégrité et la transparence sont les valeurs fondamentales qui guident l'ensemble des activités de la Société, et la présente politique de protection des données en est partie intégrante. Pour plus d'informations sur les orientations sectorielles de la CNIL, veuillez consulter la page dédiée de la CNIL consacrée aux affaires publiques et au lobbying.

1.3. Définitions

• « Destinataire » : toute personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de données personnelles, qu'il s'agisse ou non d'un tiers.
• « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• « Responsable de traitement » : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
• « Sous-traitant » : la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement.
• « Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, l'utilisation, la communication, le rapprochement, la limitation, l'effacement ou la destruction.

Pour toute question, veuillez nous contacter aux coordonnées indiquées à la section 4 ci-dessous.

2. Pourquoi et comment utilisons-nous vos données ?

Vos données peuvent être collectées directement auprès de vous (dans le cadre de nos échanges et interactions) ou indirectement auprès de tiers. Les sources tierces peuvent inclure :

• Les sites internet ou publications d'institutions, d'organisations ou d'organismes publics auxquels vous êtes rattaché(e) ;
• Les lettres d'information, publications ou autres sources d'information accessibles au public (ex. : Lettre A, Contexte, Politico, Euractiv, etc.) ;
• Les bases de données professionnelles (ex. : lesbiographies.com, Acteurs publics, le Guide du Pouvoir) ou annuaires publics (ex. : le Who's Who tenu par la Commission européenne) ;
• La presse, les sites internet ou les réseaux sociaux professionnels (ex. : LinkedIn), où vous avez publiquement partagé des informations vous concernant ;
• Nos clients.

De manière générale, nous traitons vos données personnelles aux fins de la gestion et du suivi de nos activités d'affaires publiques et de représentation d'intérêts. Les données sont plus précisément traitées pour les finalités suivantes :

2.1. Comprendre les positions, attentes et périmètre d'influence des parties prenantes

Finalité : traitements réalisés dans le cadre de nos activités visant à comprendre les positions, attentes et périmètre d'action et/ou d'influence des parties prenantes (ex. : cartographies et biographies, notes de veille, rapports, anticipation de procédures de communication de crise).

Base légale : intérêt légitime de la Société dans l'exercice de son activité.

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement, prises de position, centres d'intérêt, domaines d'expertise, sujets de prédilection, informations biographiques (formation, diplômes, parcours professionnel et politique, etc.).

Prise de décision automatisée : Non.

Durée de conservation : durée de la mission/du projet + 1 an en base active, puis archivage pour une durée maximale de 6 ans à compter de la fin de la mission/du projet à des fins administratives et/ou probatoires.

2.2. Construire et maintenir le dialogue entre les entités représentées et les parties prenantes

Finalité : activités visant à construire et maintenir le dialogue entre les entités dont les intérêts sont représentés et les parties prenantes pertinentes, et à développer des communications adaptées (ex. : plans d'engagement, programmes de contacts, actions de sensibilisation, notes de briefing, organisation de réunions, activités de représentation d'intérêts et de lobbying).

Base légale : intérêt légitime de la Société.

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement, prises de position, centres d'intérêt et domaines d'expertise, coordonnées (adresse postale, adresse e-mail, numéros de téléphone et de fax), informations biographiques, suivi des échanges et interactions.

Prise de décision automatisée : Non.

Durée de conservation : durée de la mission/du projet + 1 an en base active, puis archivage pour une durée maximale de 6 ans à compter de la fin de la mission/du projet.

2.3. Maintenir les relations professionnelles et l'expertise de la Société

Finalité : activités visant à maintenir les relations professionnelles, assurer le suivi des contacts et entretenir l'expertise (ex. : notes de veille, envoi d'informations, d'actualités, d'invitations, organisation de réunions ou d'événements, prospection).

Base légale : intérêt légitime de la Société.

Données traitées : identité, fonctions, organisme de rattachement, centres d'intérêt et domaines d'expertise, coordonnées, informations biographiques, suivi des échanges et participations à des réunions ou événements.

Prise de décision automatisée : Non.

Durée de conservation : jusqu'à la fin de l'activité d'expertise pertinente de la personne concernée, puis archivage pendant 6 ans à compter du dernier contact à des fins administratives et/ou probatoires.

2.4. Respecter les obligations légales et réglementaires applicables aux professionnels des affaires publiques

Finalité : respect des obligations incombant aux professionnels des affaires publiques, y compris les déclarations auprès de la Haute Autorité pour la Transparence de la Vie Publique (HATVP) et les obligations d'enregistrement au Registre de transparence de l'UE.

Base légale : obligation légale, et intérêt légitime le cas échéant (notamment pour la conservation des données en vue de répondre à d'éventuels contrôles de la HATVP).

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement.

Information complémentaire : la collecte et la conservation de ces données sont imposées par les dispositions légales et réglementaires en vigueur ; leur non-respect peut entraîner des sanctions. Comme indiqué dans le guide pratique AFCL/APAP/A-CAP/SCRP, le client est généralement considéré comme responsable de traitement lorsque le traitement est sous-traité ; les rôles respectifs doivent être précisés dans les documents contractuels.

Prise de décision automatisée : Non.

Durée de conservation : exercice comptable en cours + 3 mois en base active, puis archivage pendant 5 ans à compter de la clôture de l'exercice comptable suivant celui au cours duquel l'activité de représentation d'intérêts a été exercée.

2.4.1. Registre de transparence de l'UE

Finalité : respect des obligations déclaratives au titre du Registre de transparence de l'UE (en application de l'Accord interinstitutionnel du 20 mai 2021, JO C 229 du 17.06.2021).

Base légale : obligation légale et intérêt légitime.

Données traitées : identité (prénom, nom, fonction), organisme de rattachement, objet des échanges, date et nature des contacts institutionnels déclarés.

Durée de conservation : 5 ans après la déclaration, pour permettre une vérification ex post. Ces données peuvent être rendues publiques via le Registre de transparence de l'UE, sous la responsabilité des institutions européennes.

2.5. Gérer les demandes d'exercice des droits

Finalité : traitement des demandes des personnes concernées en vue de l'exercice de leurs droits (accès, rectification, effacement, opposition, limitation, portabilité), et gestion des suites données.

Base légale : obligation légale.

Données traitées : identité (civilité, prénom, nom), coordonnées, contenu et nature de la demande, échanges et réponse apportée, et le cas échéant (en cas de doute raisonnable sur l'identité), copie d'une pièce d'identité.

Prise de décision automatisée : Non.

Durée de conservation : jusqu'à la réponse à la demande, puis 6 ans maximum en archivage selon le type de demande. Toute pièce d'identité collectée est supprimée dès vérification de l'identité, ou conservée en archivage pendant 6 ans en cas de risque contentieux identifié.

Le cas échéant, certaines données sensibles (opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale) peuvent être traitées pour les finalités ci-dessus, sous réserve de leur nécessité et de votre consentement exprès préalable ou du fait que vous ayez manifestement rendu ces informations publiques.

3. Qui sont les destinataires de vos données ?

3.1. Au sein de la Société

Seules les personnes habilitées au sein de la Société peuvent accéder à vos données personnelles, lorsque cet accès est strictement nécessaire à l'exercice de leurs fonctions.

3.2. En dehors de la Société

Dans des circonstances limitées et spécifiques, les parties externes suivantes peuvent également recevoir ou accéder à vos données personnelles :

• Services ou entités chargés du contrôle de la Société (ex. : commissaires aux comptes, organes de supervision, la HATVP) ;
• Conseils juridiques, financiers ou comptables de la Société et/ou de ses clients ;
• Partenaires et/ou clients de la Société, y compris prestataires de services et fournisseurs techniques dont l'accès aux données personnelles est nécessaire et justifié dans le cadre de nos activités. Comme souligné dans le guide AFCL/APAP/A-CAP/SCRP, le rôle de chaque partie (responsable ou sous-traitant) doit être clairement défini dans les documents contractuels ;
• Clients et prospects de la Société.

3.3. Communication aux autorités publiques

La Société peut être tenue de communiquer vos données personnelles en réponse à des demandes légitimes d'autorités judiciaires, policières ou administratives, sur le fondement des dispositions légales et réglementaires applicables.

3.4. Accès limité

Les destinataires ne reçoivent que les données personnelles strictement nécessaires à la finalité justifiant cette communication.

4. Quels sont vos droits et comment les exercer ?

4.1. Vos droits

Sous réserve des conditions et limites prévues par la législation applicable en matière de protection des données, vous disposez des droits suivants concernant le traitement de vos données personnelles par la Société :

• Droit d'accès : obtenir la confirmation que vos données personnelles font l'objet d'un traitement et, le cas échéant, accéder à ces données et aux informations associées.
• Droit de rectification : demander la correction de données personnelles inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données personnelles dans certaines circonstances (ex. : lorsqu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, sous réserve des obligations légales et des besoins probatoires de la Société).
• Droit à la limitation du traitement : demander la limitation du traitement de vos données dans certains cas.
• Droit à la portabilité : recevoir vos données personnelles dans un format structuré et lisible par machine, ou obtenir leur transfert à un tiers, lorsque le traitement est fondé sur le consentement ou un contrat et effectué à l'aide de procédés automatisés.
• Droit de retrait du consentement : retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement, sans que cela n'affecte la licéité du traitement antérieur.
• Droit de définir des directives post-mortem : définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès.

Vous bénéficiez également d'un droit d'opposition vous permettant de vous opposer au traitement de vos données personnelles pour des motifs tenant à votre situation particulière. S'agissant des opérations de prospection, y compris le profilage associé, vous disposez d'un droit d'opposition absolu, exerçable à tout moment et sans justification.

4.2. Comment exercer vos droits

Ces droits peuvent être exercés via notre formulaire de contact ou par courrier à : CL Corporate Affairs Consulting, 1 avenue de l'Observatoire, 75006 Paris, France.

Les demandes seront traitées dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de leur réception. Ce délai peut être prolongé de deux mois en raison de la complexité et du nombre de demandes reçues, auquel cas vous en serez informé(e).

En cas de doute raisonnable sur l'identité de l'auteur de la demande, des informations complémentaires — et le cas échéant une copie d'une pièce d'identité — pourront être demandées. Les délais de réponse sont suspendus dans l'attente de la réception de ces éléments.

4.3. Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07 ; tél. : 01 53 73 22 22. Pour plus d'informations sur vos droits : cnil.fr.

5. Vos données personnelles sont-elles transférées hors de l'UE ?

Aucun transfert de données personnelles n'est effectué en dehors de l'Union européenne. Vos données personnelles sont traitées de manière préférentielle au sein de l'Union européenne, dans des pays bénéficiant d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD.

6. Comment cette politique est-elle rendue accessible ?

Conformément aux recommandations de la CNIL et au guide pratique à destination des professionnels des affaires publiques publié par l'AFCL, l'APAP, l'A-CAP et le SCRP, la présente politique est accessible depuis le site internet de la Société et depuis les signatures d'e-mails de ses représentants. Toute personne concernée ayant été contactée par la Société dans le cadre de ses activités d'affaires publiques peut en demander une copie à tout moment via notre formulaire de contact.

7. Droit de modification

La Société se réserve le droit de modifier le contenu de cette notice informative à tout moment, et ce afin de se conformer à toute évolution législative, réglementaire ou jurisprudentielle. La version la plus récente de cette notice est toujours disponible sur le site internet de la Société.

8. Nous contacter

CL Corporate Affairs Consulting
1 avenue de l'Observatoire
75006 Paris, France
Formulaire de contact