Relations presse et RGPD : comment vous mettre en conformité ?

24/7/2023
⚙️ Mise en oeuvre

L'industrie des relations avec les médias n'a pas échappé à l'entrée en vigueur du Règlement Général sur la Protection des données (RGPD) le 25 mai 2018. Vous ne le savez peut-être pas mais chaque jour vous utilisez des dizaines voir des centraines de données personnelles protégées par une réglementation bien établie, ce qui doit vous conduire à avoir les bons réflexes pour ne pas craindre une sanction de la CNIL.

Pour rappel, les relations presse correspondent à l’ensemble des actions réalisées à destination de la presse, des journalistes, des blogueurs ou encore des influenceurs. L’objectif étant d'obtenir une couverture médiatique concernant le produit ou l’entreprise, dans les colonnes du média visé.

Ces actions peuvent être matérialisées par des communiqués de presse, des conférences de presse, la prise en charge de journalistes durant des évènements presse (lancement d’un produit, ateliers, avant-premières) mais aussi des voyages de presse. Par exemple, lorsqu’un journaliste ou un blogueur reçoit un mail d’invitation à une avant-première cinéma, il s’agit bien d’une action de relation presse puisqu’un retour est attendu sur le média pour lequel travaille le professionnel.

Les relations presse sont confiées à des agences spécialisées appelées “agences de relations publics” ou aux services de relations publics des entreprises. Or, les consultants PR ou les attachés de presse qui organisent la couverture médiatique pour le compte de leurs clients, sont amenés à constituer et gérer des bases de données relatives à leurs clients et prospects, ainsi qu’à des milliers de journalistes, influenceurs, bloggeurs ou encore leaders d’opinion.

Ainsi, la protection des données en vertu du est un enjeu de taille pour les agences conseil en relations publics.

Dans ce contexte :

  • Dans quelle mesure les relations presse sont-elles concernées par la conformité RGPD ?
  • Quelles sont les bonnes pratiques attendues des agences de relations publics (ou agences PR) pour assurer la protection des données à caractère personnel des personnes concernées ?

1 - RGPD : les enjeux de la conformité pour les relations presse

Quasiment aucun organisme ne peut s’exempter du respect de la réglementation sur la protection des données personnelles.

Le RGPD appliqué aux relations presse

Les articles 2 RGPD et article 3 RGPD déterminent le périmètre d’application du texte sur la protection des données. Celui-ci est très vaste.

Le RGPD s'applique à toutes les activités professionnelles exercées dans l'Union européenne. Tout organisme, quels que soient sa taille, son type de structure  et son secteur d’activité, est susceptible d’être concerné.

Les organismes sont soumis au RGPD dès lors qu’ils sont immatriculés dans un pays membre de l’Union européenne et ce, même si l’activité est exercée exclusivement en dehors de l’UE ou que les clients sont non-européens.

🔎 Par exemple, si vous ne gérez que les relations presse pour des films Américains auprès de médias Chinois mais que votre agence est implantée en France, vous êtes soumis au RGPD.

À l’inverse, une entreprise immatriculée en dehors des frontières de l’Union Européenne mais traitant des données de résidents Européens est également soumise au RGPD dès lors qu’elle traite des données personnelles.

🔎 Par exemple, une agence PR implantée à New York qui contacte des journalistes Français pour les inviter à des voyages presse touristiques.

Le RGPD prévoit des obligations à la charge du :

  • Responsable de traitement : personne qui détermine les finalités et les moyens des traitements de données à caractère personnel ;
  • Sous-traitant : personne qui traite des données à caractère personnel pour le compte de son client, le responsable de traitement.

La principale question à se poser est : est-ce que vous traitez des données personnelles ? Si la réponse est oui : le RGPD s’applique.

Relations presse : traitez-vous des données personnelles ?

Qu’est-ce qu’une donnée personnelle ? C’est une question primordiale dès lors que le RGPD ne s'applique qu'aux :

  1. données à caractère personnel,
  2. traitées par un organisme dans le cadre d'une activité professionnelle.

La définition d'une donnée à caractère personnel est très large pour permettre d’englober dans la définition un maximum de données.

En effet, l’article 4 RGPD du RGPD considère comme donnée ayant un caractère personnel, toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (par exemple, nom et prénom) ou indirectement (par exemple, numéro de sécurité sociale, adresse e-mail, enregistrement des conversations).

💡 Ainsi, même si vous avez masqué une donnée via une méthode de pseudonymisation, celle-ci reste une donnée personnelle. Seule une anonymisation complète peut sortir l’information du champ des données personnelles.

Il est par ailleurs indifférent que les données soient relatives à la sphère privée ou professionnelle de la personne concernée : toute donnée menant à l’identification d’une personne physique est une donnée à caractère personnel.

Relation presse : quelle utilisation des données personnelles ?

Dans le cadre de leur activité, les services et les agences de relations presse  mettent en oeuvre des traitement de données à caractère personnel. Le terme “traitement” correspond à tout ce qu’il est possible de faire avec une donnée personnelle : la collecte, l’utilisation, la mise à disposition, le stockage, l’hébergement, le transfert, la destruction ou l’altération. Chaque secteur opère naturellement des traitements relativement variés sur les données personnelles. Pour les relations presse, voici quelques illustrations des traitements que vous pouvez opérer :

  • La tenue et la mise à jour des fichiers clients/prospect : entreprises, personnalités etc.;
  • La tenue et la mise à jour des fichiers médias : coordonnées de journalistes, de blogueurs, d’influenceurs, de leaders d’opinion (hommes/femmes politiques, experts) etc.

Ces données à caractère personnel sont nécessaires pour :

  • Envoyer des contenus (newsletter …) aux clients et aux prospects ;
  • Envoyer des communiqués de presse aux journalistes, influenceurs, blogueurs etc.;
  • Inviter des journalistes (etc.) à des évènements presse,
  • Prendre contact avec les journalistes (etc) par téléphone, sur les réseaux sociaux, par email etc.
  • Etc.

Ainsi, dans le cadre des opérations de « prospection », les RP collectent et traitent de multiples données à caractère personnel. La base de données des agences RP et leurs réseaux sont même des ressources primordiales pour faire connaître les produits de leurs clients ou inviter le monde de la presse aux évènements qu’ils organisent.

2- Agence de relation presse : responsable de traitement ou sous-traitant ?

Les obligations en matière de protection des données diffèrent si l’entité est qualifiée de responsable de traitement ou de sous-traitant. Ce rôle peut tout à fait différer selon les missions et les clients. La qualification d’une agence PR présente un enjeu primordial en ce qui concerne les documents contractuels requis au titre de la réglementation applicable en matière de protection des données à caractère personnel.

  • Lorsque l’agence de relation presse agit en qualité de responsable de traitement, celle-ci dispose de la maîtrise sur le traitement en ce qui concerne la détermination de sa finalité et des moyens essentiels du traitement.
  • Lorsque l’agence de relation presse est qualifiée de sous-traitant, celle-ci agit sur les instructions de son client, le responsable de traitement. La responsabilité des données pèse légalement sur le responsable de traitement, et non le sous-traitant.

🔎 Exemple d’un fichier de contacts de journalistes/blogueurs

  1. Les fichiers sont établis par l’agence PR mais sous le contrôle du client et dans un objectif que celui-ci a établi : à priori l’agence PR agit en qualité de sous-traitant concernant ces fichiers, même si les données qui le constituent ne sont pas directement fournies par le client.

Exemple : Un client demande à une agence PR de transmettre un communiqué de presse  à une liste de contacts dans le but de présenter un nouveau produit avant son lancement, l’agence agit en qualité de sous-traitant concernant cette liste de contact.

  1. L'agence PR constitue des fichiers de contacts en toute autonomie et dans un objectif qu’elle seule a établi dans le cadre de la stratégie élaborée pour son client : l’agence agit en responsable de traitement concernant ces fichiers en vue de leur utilisation dans le cadre de son activité professionnelle.

Exemple : l’agence PR constitue un fichier de contacts à inviter à un voyage de presse qu’elle organise elle-même : celle-ci agit en qualité de responsable de traitement concernant cette liste de contacts.

3 - Relation presse : comment vous mettre en conformité au RGPD ?

Étape n°1 : cartographiez les données personnelles collectées

La question à vous poser est la suivante : quelles sont les données personnelles que vous collectez, traitez, et utilisez dans le cadre votre activité professionnelle ?

Les services de relations publics des entreprises et les agences de relation presse utilisent chaque jour des bases de données contenant de très nombreuses informations concernant des journalistes, des influenceurs, des leaders d’opinion (syndicalistes, hommes et femmes politiques etc.). Or, si les fichiers presse peuvent être constitués par le recueil direct des informations auprès des personnes concernées, ils sont souvent constitués via le truchement d’entreprises qui collectent les données.

Cartographier les données, et en identifier l’origine est alors primordial. Pour faire le point, posez-vous les questions suivantes :

  • D’où viennent les données personnelles ? D’échanges en direct avec les personnes concernées, d’échanges de mail, de formulaires en ligne, etc.
  • Quels outils stockent des données personnelles ? Faites le point sur tous les outils que vous utilisez pour votre activité de relation publics (outil de gestion de projet, outil de gestion des médias sociaux, outils spécifiques aux relations presse comme PressValue, Meltwater ou encore AlgoLinked etc..)
  • Quels types de données trouve-t-on dans ces outils ? Certaines données identifient directement une personne : le nom, le prénom, tandis que d’autres sont plus “subtiles” et indirectes comme un numéro de téléphone, une date de naissance, etc.

💡 Pour rappel, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. Sont exclues de cette définition toutes les données se rapportant à une personne morale, comme une entreprise (journal, boîte de production, etc.). En revanche, celles se rapportant aux personnes physiques exerçant dans cette entreprise, les journalistes ou les influenceurs, sont soumises au RGPD.

Psst ! Leto est un logiciel SaaS qui vous permet d’automatiser cette tâche grâce au Data mapping. C’est simple : vous indiquez les outils que vous utilisez, Leto vous indique les données que vous collectez.

Pour vous aider à choisir les outils les plus adaptés à votre besoin, des plateformes comparent pour vous plusieurs produits et services comme independant.io.

Étape n°2 : Faites le tri de vos données personnelles

Gardez toujours à l’esprit que moins vous collectez de données personnelles, plus vous êtes conforme, en vertu du principe de minimisation de la donnée. En effet, le RGPD impose de ne collecter que les données qui sont strictement nécessaires à votre activité.

Cependant, il peut arriver que vous ayez collecté des informations inutiles, soit que celles-ci le soient devenues avec le temps : faites le tri !

Quelques bonnes pratiques en matière de relation presse :

  • Éviter de recueillir des données personnelles qui ne sont pas indispensables à l’instant T simplement car elles pourraient s’avérer utiles pour une mission ultérieure. On s’abstient de faire des collectes de données “au cas où” ;
  • S'abstenir de collecter des données provenant d’autres sources que celles strictement nécessaires et prédéfinies dans le cadre des processus de l’agence ou du service PR ;
  • La création d’un nouveau support de collecte de données personnelles nécessite de distinguer les champs indispensables pour atteindre la finalité du traitement, de ceux qui sont facultatifs.

Pensez-y : plutôt que de nettoyer, ne collectez que les informations nécessaires dès le début (principe du privacy by design).

Concrètement, ne récoltez auprès de vos différents contacts (clients, prospects, journalistes, blogueurs etc.)  que ce qui est utile à votre activité et jamais davantage !

Étape n°3 : Construisez votre registre des traitements de données personnelles

Le RGPD impose de recenser les traitements de données à caractère personnel qu’un organisme met en œuvre et de les consigner dans un registre spécifique (article 30 RGPD). Cette responsabilité incombe au responsable de traitement. Le sous-traitant doit tenir un registre des activités de traitement effectuées pour le compte du responsable du traitement.

  1. Élaborez un questionnaire reprenant l’ensemble des éléments devant figurer dans les registres : finalité du traitement, liste des outils utilisés pour la réalisation de ce traitement, les données collectées dans le cadre de ce traitement, la provenance des données traitées, la méthode de collecte, la base légale vous autorisant à les collecter, la nécessité d’une analyse d’impact relative à la protection des données etc;
  2. Faites remplir ce questionnaire pour chacun des traitements de données à caractère personnel mis en œuvre au sein de l’agence de relation presse ou du service RP de l’entreprise.
  3. Identifiez pour chaque traitement si l’agence RP agit en qualité de responsable de traitement ou de sous-traitant.

🔎 Exemple de traitement pour un attaché de presse exerçant en agence RP. Si vous collectez les adresses mail de journalistes pour le compte de l’un de vos clients, voici à quoi pourrait ressembler votre traitement :

  • Finalité : envoi d’invitation à des évènements presse
  • Catégorie de données : adresse mail, identité de la personne, poste occupé, fonction
  • Personnes concernées : clients, prospects, partenaires
  • Personne ayant accès aux données : consultants PR et attachés de presse,
  • Base légale : le consentement
  • Destinataire des données (sous-traitants) : Outil d’e-mailing (Mailchimp par exemple)
  • Durée de conservation : durée nécessaire au traitement. Puis suppression des données personnelles 2 ans après l’inactivité du prospect.

Étape 4 : Assurez-vous du respect du droit des personnes

Information des personnes concernées

Le RGPD impose que les personnes concernées soient informées de la collecte et du traitement de leurs données personnelles (Article 13). Une agence de relation presse doit s’assurer que les données de ses contacts (influenceurs, journalistes, leaders d’opinion), ainsi que de ses clients ou prospects, aient été collectées de manière loyale et transparente.

Lorsque vous collectez des informations auprès d’un journaliste par exemple, vous devez l’informer de la finalité, des caractéristiques et des modalités du traitement au moment où vous recueillez les données.

Pour déterminer les modalités et les supports l’information qui pourront être fournies à ce journaliste, identifiez toutes les sources et modalités de collecte des données le concernant.

🔎Exemples : Vous recueillez les données :

  1. Via un formulaire papier fourni aux journalistes durant un événement presse : faites figurer une mention d’information allégée sur le formulaire directement et remettez-lui un document complémentaire comportant l’intégralité des informations obligatoires.
  2. Via un formulaire en ligne directement sur le site web de l’agence PR: faites figurer une mention d’information allégée au niveau du formulaire et renvoyez l’utilisateur vers une page de gestion de la confidentialité (ou politique de confidentialité) comportant l’ensemble des mentions obligatoires.
  3. Oralement dans le cadre d’un évènement presse ou par téléphone : les agences en conseil PR collectent parfois des informations issues de conférences ou de déclarations de journalistes. Or, l’analyse de ces informations peut mettre au jour des données personnelles relatives à ces personnes. Dans ce cas, le journaliste doit avoir été informé par oral de la collecte des données mais aussi via un écrit comportant l’ensemble des mentions obligatoires (par exemple dans un email dédié ou renvoyant vers une politique de confidentialité).

Exercice des droits

Afin de redonner aux personnes la maîtrise de leurs informations personnelles, le RGPD liste des droits sur les données personnelles à leur profit. Qu’il s’agisse de vos clients, de vos prospects, des journalistes que vous sollicitez pour leur soumettre un communiqué de presse, assurez-vous de leur offrir :

  • le droit d’accès aux données : permet à un utilisateur de savoir où en est le traitement de ses données ;
  • le droit de rectification : la personne peut demander la modification et la correction des données personnelles ;
  • le droit d’opposition : un utilisateur peut s’opposer à l’utilisation de ses données pour un objectif précis ;
  • le droit à l’effacement : pour obtenir l’effacement de ses données ;
  • le droit à la limitation : arrêter temporairement l’utilisation des données ;
  • le droit à la portabilité : permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
  • le droit à l’intervention humaine face à un profilage.

🔎 Exemple : lorsqu’un contact (journaliste, influenceur etc) ne souhaite plus recevoir de communiqués de presse relatifs à une entreprise ou à un sujet en particulier, vous devez répondre à la demande obligatoirement :

  1. Identifiez le destinataire dans vos outils (par exemple Mailchimp), vos fichiers et/ou votre liste de destinataire mail;
  2. Indiquez les communiqués qu’il refuse de recevoir,
  3. Supprimez les coordonnées de ce destinataire des listes de diffusion correspondantes.

⚠️ Les agences de relations presse doivent être très prudentes dans la collecte et le traitement des données. Le non-respect de ces obligations peut faire l’objet de sanctions pouvant aller jusqu’à 4% du chiffre d’affaires selon la gravité du manquement. Mais c’est aussi l’image de votre entreprise qui pourrait en pâtir, ce qui est très délicat dans le cadre du secteur des relations publics.

💡 Gérer les données personnelles manuellement est très chronophage compte-tenu de la quantité de données collectées mais aussi très complexe. Pas de panique : l’outil Leto a été conçu pour permettre à tout non-juriste de pouvoir administrer automatiquement l’ensemble des données !

Pour plus d’information, Leto met à votre disposition un livre blanc sur les 10 étapes pour se mettre en conformité avec le RGPD.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Non conformité au RGPD et concurrence déloyale
18/4/2023
Qu’est-ce qu’un PIA et comment l’utiliser comme un investissement ?
10/11/2021
Formation RGPD : comment sensibiliser efficacement ses équipes ?
22/9/2023
Comment identifier un piratage de vos données personnelles ?
26/7/2023

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023