Politique de confidentialité
conforme au RGPD (UE) 2016/679

1. Introduction

Bienvenue sur le site de CL Corporate Affairs. CL CORPORATE AFFAIRS CONSULTING (ci-après « la Société » ou « nous ») est une société française à associé unique, immatriculée au répertoire SIRENE sous le numéro 902 992 189, dont le siège social est situé au 1 avenue de l'Observatoire, 75006 Paris, France, et disposant d'un bureau de représentation à Bruxelles, Belgique, au Avenue de Tervueren 103, B-1040 Bruxelles, tél. : +33 1 82 28 00 30 / +32 2 886 00 68.

Nous nous engageons à protéger votre vie privée et vos données personnelles. La présente politique explique comment nous collectons, utilisons et protégeons vos informations lorsque vous visitez notre site, utilisez nos services, ou interagissez avec nous dans le cadre de nos activités d'affaires publiques et de représentation d'intérêts. Nous traitons les données personnelles en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD ») et la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « loi Informatique et Libertés »).

2. Cadre réglementaire

La présente politique a été rédigée conformément au Guide pratique du RGPD à destination des professionnels des affaires publiques, un cadre sectoriel co-élaboré par les quatre principales associations professionnelles françaises du secteur des affaires publiques et publié en concertation avec la CNIL (Commission nationale de l'informatique et des libertés), l'autorité indépendante française chargée de veiller à la protection des données personnelles et au respect des droits et libertés des personnes.

Les associations professionnelles ayant participé à l'élaboration de ce guide sont :

• AFCL — Association française des Conseils en Lobbying et affaires publiques ;
• APAP — Association des professionnels des affaires publiques ;
• A-CAP — Association des Avocats-Conseils en Affaires publiques ;
• SCRP — Syndicat du Conseil en relations publiques.

La France est l'un des rares pays européens où l'application du RGPD au secteur des affaires publiques a fait l'objet d'un processus de co-construction structuré entre les associations professionnelles et l'autorité compétente en matière de protection des données. Ce travail collaboratif, mené pendant plus de deux ans d'échanges avec la CNIL, a abouti à un guide sectoriel complet qui répond aux besoins spécifiques des professionnels des affaires publiques en matière de traitement de données — de la cartographie des parties prenantes à la représentation d'intérêts, en passant par l'entretien des relations professionnelles et le respect des obligations de transparence.

CL Corporate Affairs Consulting adhère à ces standards professionnels. L'intégrité et la transparence sont les valeurs fondamentales qui guident l'ensemble des activités de la Société, et la présente politique de protection des données en est partie intégrante. Pour plus d'informations sur les orientations sectorielles de la CNIL, veuillez consulter la page dédiée de la CNIL consacrée aux affaires publiques et au lobbying.

3. Définitions

• « Destinataire » : toute personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de données personnelles, qu'il s'agisse ou non d'un tiers.
• « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• « Responsable de traitement » : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
• « Sous-traitant » : la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement.
• « Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, l'utilisation, la communication, le rapprochement, la limitation, l'effacement ou la destruction.

Pour toute question, veuillez nous contacter aux coordonnées indiquées à la section 13 ci-dessous.

4. Données collectées

Nous pouvons collecter les catégories de données suivantes :

• Informations personnelles : nom, adresse e-mail, numéro de téléphone, fonctions professionnelles et organismes de rattachement.
• Données professionnelles et biographiques : mandats, prises de position, centres d'intérêt et domaines d'expertise, parcours biographique (formation, diplômes, carrière professionnelle et politique).
• Données de navigation : adresse IP, type de navigateur, pages visitées (voir section 10 ci-dessous).
• Données de paiement : uniquement en cas d'achat ou de transaction.

Vos données peuvent être collectées directement auprès de vous (dans le cadre de nos échanges et interactions) ou indirectement auprès de tiers. Les sources tierces peuvent inclure :

• Les sites internet ou publications d'institutions, d'organisations ou d'organismes publics auxquels vous êtes rattaché(e) ;
• Les lettres d'information, publications ou autres sources d'information accessibles au public (ex. : Lettre A, Contexte, Politico, Euractiv, etc.) ;
• Les bases de données professionnelles (ex. : lesbiographies.com, Acteurs publics, le Guide du Pouvoir) ou annuaires publics (ex. : le Who's Who tenu par la Commission européenne) ;
• La presse, les sites internet ou les réseaux sociaux professionnels (ex. : LinkedIn), où vous avez publiquement partagé des informations vous concernant ;
• Nos clients.

5. Pourquoi et comment utilisons-nous vos données ?

De manière générale, nous traitons vos données personnelles aux fins de la gestion et du suivi de nos activités d'affaires publiques et de représentation d'intérêts. Les données sont plus précisément traitées pour les finalités suivantes :

5.1. Comprendre les positions, attentes et périmètre d'influence des parties prenantes

Finalité : traitements réalisés dans le cadre de nos activités visant à comprendre les positions, attentes et périmètre d'action et/ou d'influence des parties prenantes (ex. : cartographies et biographies, notes de veille, rapports, anticipation de procédures de communication de crise).

Base légale : intérêt légitime de la Société dans l'exercice de son activité.

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement, prises de position, centres d'intérêt, domaines d'expertise, sujets de prédilection, informations biographiques (formation, diplômes, parcours professionnel et politique, etc.).

Prise de décision automatisée : Non.

Durée de conservation : durée de la mission/du projet + 1 an en base active, puis archivage pour une durée maximale de 6 ans à compter de la fin de la mission/du projet à des fins administratives et/ou probatoires.

5.2. Construire et maintenir le dialogue entre les entités représentées et les parties prenantes

Finalité : activités visant à construire et maintenir le dialogue entre les entités dont les intérêts sont représentés et les parties prenantes pertinentes, et à développer des communications adaptées (ex. : plans d'engagement, programmes de contacts, actions de sensibilisation, notes de briefing, organisation de réunions, activités de représentation d'intérêts et de lobbying).

Base légale : intérêt légitime de la Société.

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement, prises de position, centres d'intérêt et domaines d'expertise, coordonnées (adresse postale, adresse e-mail, numéros de téléphone et de fax), informations biographiques, suivi des échanges et interactions.

Prise de décision automatisée : Non.

Durée de conservation : durée de la mission/du projet + 1 an en base active, puis archivage pour une durée maximale de 6 ans à compter de la fin de la mission/du projet.

5.3. Maintenir les relations professionnelles et l'expertise de la Société

Finalité : activités visant à maintenir les relations professionnelles, assurer le suivi des contacts et entretenir l'expertise (ex. : notes de veille, envoi d'informations, d'actualités, d'invitations, organisation de réunions ou d'événements, prospection).

Base légale : intérêt légitime de la Société.

Données traitées : identité, fonctions, organisme de rattachement, centres d'intérêt et domaines d'expertise, coordonnées, informations biographiques, suivi des échanges et participations à des réunions ou événements.

Prise de décision automatisée : Non.

Durée de conservation : jusqu'à la fin de l'activité d'expertise pertinente de la personne concernée, puis archivage pendant 6 ans à compter du dernier contact à des fins administratives et/ou probatoires.

5.4. Respecter les obligations légales et réglementaires applicables aux professionnels des affaires publiques

Finalité : respect des obligations incombant aux professionnels des affaires publiques, y compris les déclarations auprès de la Haute Autorité pour la Transparence de la Vie Publique (HATVP) et les obligations d'enregistrement au Registre de transparence de l'UE.

Base légale : obligation légale, et intérêt légitime le cas échéant (notamment pour la conservation des données en vue de répondre à d'éventuels contrôles de la HATVP).

Données traitées : identité (civilité, nom, prénom), fonctions/mandats/responsabilités, organisme de rattachement.

Information complémentaire : la collecte et la conservation de ces données sont imposées par les dispositions légales et réglementaires en vigueur ; leur non-respect peut entraîner des sanctions. Comme indiqué dans le guide pratique AFCL/APAP/A-CAP/SCRP, le client est généralement considéré comme responsable de traitement lorsque le traitement est sous-traité ; les rôles respectifs doivent être précisés dans les documents contractuels.

Prise de décision automatisée : Non.

Durée de conservation : exercice comptable en cours + 3 mois en base active, puis archivage pendant 5 ans à compter de la clôture de l'exercice comptable suivant celui au cours duquel l'activité de représentation d'intérêts a été exercée.

5.4.1. Registre de transparence de l'UE

Finalité : respect des obligations déclaratives au titre du Registre de transparence de l'UE (en application de l'Accord interinstitutionnel du 20 mai 2021, JO C 229 du 17.06.2021).

Base légale : obligation légale et intérêt légitime.

Données traitées : identité (prénom, nom, fonction), organisme de rattachement, objet des échanges, date et nature des contacts institutionnels déclarés.

Durée de conservation : 5 ans après la déclaration, pour permettre une vérification ex post. Ces données peuvent être rendues publiques via le Registre de transparence de l'UE, sous la responsabilité des institutions européennes.

5.5. Gérer les demandes d'exercice des droits

Finalité : traitement des demandes des personnes concernées en vue de l'exercice de leurs droits (accès, rectification, effacement, opposition, limitation, portabilité), et gestion des suites données.

Base légale : obligation légale.

Données traitées : identité (civilité, prénom, nom), coordonnées, contenu et nature de la demande, échanges et réponse apportée, et le cas échéant (en cas de doute raisonnable sur l'identité), copie d'une pièce d'identité.

Prise de décision automatisée : Non.

Durée de conservation : jusqu'à la réponse à la demande, puis 6 ans maximum en archivage selon le type de demande. Toute pièce d'identité collectée est supprimée dès vérification de l'identité, ou conservée en archivage pendant 6 ans en cas de risque contentieux identifié.

Le cas échéant, certaines données sensibles (opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale) peuvent être traitées pour les finalités ci-dessus, sous réserve de leur nécessité et de votre consentement exprès préalable ou du fait que vous ayez manifestement rendu ces informations publiques.

6. Qui sont les destinataires de vos données ?

6.1. Au sein de la Société

Seules les personnes habilitées au sein de la Société peuvent accéder à vos données personnelles, lorsque cet accès est strictement nécessaire à l'exercice de leurs fonctions.

6.2. En dehors de la Société

Dans des circonstances limitées et spécifiques, les parties externes suivantes peuvent également recevoir ou accéder à vos données personnelles :

• Services ou entités chargés du contrôle de la Société (ex. : commissaires aux comptes, organes de supervision, la HATVP) ;
• Conseils juridiques, financiers ou comptables de la Société et/ou de ses clients ;
• Partenaires et/ou clients de la Société, y compris prestataires de services et fournisseurs techniques dont l'accès aux données personnelles est nécessaire et justifié dans le cadre de nos activités. Comme souligné dans le guide AFCL/APAP/A-CAP/SCRP, le rôle de chaque partie (responsable ou sous-traitant) doit être clairement défini dans les documents contractuels ;
• Clients et prospects de la Société.

6.3. Communication aux autorités publiques

La Société peut être tenue de communiquer vos données personnelles en réponse à des demandes légitimes d'autorités judiciaires, policières ou administratives, sur le fondement des dispositions légales et réglementaires applicables.

6.4. Accès limité

Les destinataires ne reçoivent que les données personnelles strictement nécessaires à la finalité justifiant cette communication.

7. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, toute altération ou destruction. Aucune méthode de transmission sur Internet n'est toutefois garantie à 100 %.

8. Vos droits et comment les exercer

8.1. Vos droits

Sous réserve des conditions et limites prévues par la législation applicable en matière de protection des données, vous disposez des droits suivants concernant le traitement de vos données personnelles par la Société :

• Droit d'accès : obtenir la confirmation que vos données personnelles font l'objet d'un traitement et, le cas échéant, accéder à ces données et aux informations associées.
• Droit de rectification : demander la correction de données personnelles inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données personnelles dans certaines circonstances (ex. : lorsqu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, sous réserve des obligations légales et des besoins probatoires de la Société).
• Droit à la limitation du traitement : demander la limitation du traitement de vos données dans certains cas.
• Droit à la portabilité : recevoir vos données personnelles dans un format structuré et lisible par machine, ou obtenir leur transfert à un tiers, lorsque le traitement est fondé sur le consentement ou un contrat et effectué à l'aide de procédés automatisés.
• Droit de retrait du consentement : retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement, sans que cela n'affecte la licéité du traitement antérieur.
• Droit de définir des directives post-mortem : définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès.

Vous bénéficiez également d'un droit d'opposition vous permettant de vous opposer au traitement de vos données personnelles pour des motifs tenant à votre situation particulière. S'agissant des opérations de prospection, y compris le profilage associé, vous disposez d'un droit d'opposition absolu, exerçable à tout moment et sans justification.

8.2. Comment exercer vos droits

Ces droits peuvent être exercés via notre formulaire de contact ou par courrier à : CL Corporate Affairs Consulting, 1 avenue de l'Observatoire, 75006 Paris, France.

Les demandes seront traitées dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de leur réception. Ce délai peut être prolongé de deux mois en raison de la complexité et du nombre de demandes reçues, auquel cas vous en serez informé(e).

En cas de doute raisonnable sur l'identité de l'auteur de la demande, des informations complémentaires — et le cas échéant une copie d'une pièce d'identité — pourront être demandées. Les délais de réponse sont suspendus dans l'attente de la réception de ces éléments.

8.3. Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07 ; tél. : 01 53 73 22 22. Pour plus d'informations sur vos droits : cnil.fr.

9. Vos données personnelles sont-elles transférées hors de l'UE ?

Aucun transfert de données personnelles n'est effectué en dehors de l'Union européenne. Vos données personnelles sont traitées de manière préférentielle au sein de l'Union européenne, dans des pays bénéficiant d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD.

10. Cookies et mesure d'audience

Nous n'utilisons aucun cookie de suivi ni de profilage sur notre site web. Il s'agit d'un site statique auto-hébergé. Les éléments décrits ci-dessous sont strictement nécessaires au sens de l'article 5, paragraphe 3, de la directive 2002/58/CE (directive ePrivacy), dont la seconde phrase exempte de consentement préalable tout cookie ou technologie similaire utilisé(e) à la seule fin d'effectuer une communication électronique ou de fournir un service expressément demandé par l'utilisateur. Par conséquent, aucune bannière de consentement aux cookies n'est requise sur ce site.

Cookie de préférence linguistique (« lang ») : un unique cookie fonctionnel contenant uniquement un code de langue à deux lettres (par ex. « fr »), déposé lorsque vous sélectionnez votre préférence linguistique sur notre page d'accueil. Il ne collecte aucune donnée personnelle, expire après un an et est strictement nécessaire pour vous fournir le service que vous avez expressément demandé (affichage dans la langue choisie).

Cloudflare Turnstile (formulaire de contact uniquement) : si vous utilisez notre formulaire de contact, le service tiers de vérification de sécurité Cloudflare Turnstile peut déposer un cookie technique minimal afin de distinguer les visiteurs humains des robots automatisés. Ce cookie est strictement nécessaire à la sécurité du formulaire et ne collecte aucune donnée personnelle ni de profilage. Pour plus d'informations, veuillez consulter la Politique de confidentialité de Cloudflare.

Umami (mesure d'audience auto-hébergée) : Umami est un outil de mesure d'audience open source, auto-hébergé sur notre propre infrastructure. Il ne dépose aucun cookie et ne lit ni n'écrit aucune information sur votre appareil, de sorte que l'obligation de consentement prévue à l'article 5, paragraphe 3, ne s'applique pas. Il ne collecte aucune donnée personnelle identifiable et ne permet pas le suivi des visiteurs d'un site à l'autre. Les données collectées (pages visitées, pays d'origine, type de navigateur et d'appareil, source de provenance) sont anonymisées et ne quittent jamais nos serveurs. Aucune donnée n'est transmise à des tiers.

11. Comment cette politique est-elle rendue accessible ?

Conformément aux recommandations de la CNIL et au guide pratique à destination des professionnels des affaires publiques publié par l'AFCL, l'APAP, l'A-CAP et le SCRP, la présente politique est accessible depuis le site internet de la Société et depuis les signatures d'e-mails de ses représentants. Toute personne concernée ayant été contactée par la Société dans le cadre de ses activités d'affaires publiques peut en demander une copie à tout moment via notre formulaire de contact.

12. Modifications de cette politique

La Société se réserve le droit de modifier le contenu de la présente politique de confidentialité à tout moment, afin de se conformer à toute évolution législative, réglementaire ou jurisprudentielle. Toute modification sera publiée sur cette page avec une date de mise à jour, et la version la plus récente est toujours disponible sur le site internet de la Société. Nous vous invitons à la consulter régulièrement.

13. Nous contacter

CL Corporate Affairs Consulting
1 avenue de l'Observatoire
75006 Paris, France
Pour nous contacter, veuillez utiliser notre formulaire de contact.