| N° de demande d'avis : 25003821. | Thématiques : influences étrangères, probité, transparence de la vie publique. | |:-----------------------------------------------------------------------------------------------------------|:---------------------------------------------------------------------------------------------------------------------------------------| |Organisme à l'origine de la saisine : Secrétariat général de la défense et de la sécurité nationale (SGDSN).|Fondement de la saisine : article 18-18 de la loi n° 2013-907 du 11 octobre 2013 modifiée relative à la transparence de la vie publique.|

L'essentiel :
Le projet de décret est relatif au répertoire de la transparence des activités d'influence exercées pour le compte d'un mandant étranger.
Il doit être complété pour lister les données pouvant être collectées s'agissant, d'une part, des intermédiaires entre la personne exerçant une activité d'influence et son mandant étranger et, d'autre part, des contacts opérationnels qui facilitent l'accomplissement des démarches administratives pour les personnes morales.
La CNIL recommande que les durées de conservation applicables aux données à caractère personnel traitées par la Haute Autorité dans le cadre de ce dispositif, ainsi que dans celui de la conservation en archivage intermédiaire de certaines données à des fins de contrôle des obligations déclaratives, soient réduites, et ce, afin de tenir compte du délai de prescription applicable.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de Mme Isabelle Latournarie-Willems, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Par la loi n° 2024-850 du 25 juillet 2024 visant à prévenir les ingérences étrangères en France, le législateur a souhaité améliorer la transparence, pour les citoyens français, des politiques d'influence menées par et pour le compte de puissances étrangères. Son article 1^er ajoute une section 3 ter à la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique, et crée de nouvelles obligations déclaratives auprès de la Haute Autorité pour la transparence de la vie publique (HATVP) pour les personnes exerçant des activités d'influence pour le compte d'un « mandant étranger ». L'ensemble de ces déclarations est rassemblé dans un répertoire numérique tenu par la Haute Autorité, qui est pour partie rendu public.
En application du nouvel article 18-11 de la loi du 11 octobre 2013 modifiée, ces obligations déclaratives trimestrielles s'imposent aux personnes physiques ou morales qui, « sur l'ordre, à la demande ou sous la direction ou le contrôle d'un mandant étranger » (par exemple, une puissance étrangère, à l'exclusion des Etats membres de l'Union européenne), « et aux fins de promouvoir les intérêts de ce dernier », exécutent « une ou plusieurs actions destinées à influer sur la décision publique […] ou sur la conduite des politiques publiques nationales et de la politique européenne ou étrangère de la France » (à savoir : entrer en communication avec certaines personnes énumérées par la loi, telles que des membres du Gouvernement ou des parlementaires, réaliser toute action de communication à destination du public, ou collecter des fonds ou procéder au versement de fonds sans contrepartie).

B. - L'objet de la saisine

La CNIL a été saisie pour avis, par le secrétariat de la défense et de la sécurité nationale (SGDSN), d'un projet de décret en Conseil d'Etat relatif à la transparence des activités d'influence réalisées pour le compte d'un mandant étranger. En application de l'article 18-18 de la loi du 11 octobre 2013, ce projet pris après avis de la CNIL précise, d'une part, les modalités de fonctionnement et de publication du répertoire des activités d'influence et, d'autre part, les pouvoirs d'investigation de la Haute Autorité dans le cadre de sa mission de contrôle des obligations déclaratives nouvellement créées.

II. - L'avis de la CNIL
A. - Sur les finalités des traitements projetés

Il ressort des nouvelles dispositions de la loi du 11 octobre 2013 que la HATVP traitera des données à caractère personnel pour poursuivre plusieurs objectifs :

- la tenue et la publication du répertoire des activités d'influence (II de l'article 18-12), comprenant la création d'un téléservice dédié permettant aux personnes concernées de remplir leurs obligations déclaratives ;
- le contrôle du respect des obligations déclaratives (article 18-15) ;
- l'accompagnement des personnes sur lesquelles s'exercent de telles activités (mentionnées au 1° de l'article 18-11), par sa saisine pour avis (article 18-15).

Les traitements mis en œuvre pour chacune de ces finalités, pour lesquels le RGPD est applicable, sont nécessaires à l'exécution de la mission d'intérêt public de transparence des activités d'influence étrangère, telle qu'énoncée par la loi du 25 juillet 2024 susmentionnée. Ils disposent donc d'une base légale pour l'application de l'article 6 du RGPD.
La CNIL rappelle que chacun des traitements mis en œuvre pour poursuivre ces finalités devra être documenté conformément au RGPD (et faire, le cas échéant, l'objet d'une analyse d'impact sur la protection des données). Une attention particulière devra être portée sur l'information et les droits des personnes concernées.

B. - Sur le périmètre des personnes concernées

Le projet de décret décrit le champ d'application du dispositif de déclaration des activités d'influence pour le compte d'un mandant étranger. Le répertoire des activités d'influence étrangère est susceptible de recouvrir un nombre significatif de personnes qui devront être conscientes des obligations déclaratives qui s'imposent à elles.
Dans la mesure où le champ d'application du répertoire nouvellement créé est potentiellement très vaste, la CNIL accueille favorablement l'effort de communication et d'accompagnement que la HATVP dit vouloir consentir en direction des personnes susceptibles d'être concernées. Elle prend acte de l'engagement de la Haute Autorité de publier une foire aux questions (« FAQ ») ainsi que des lignes directrices facilement accessibles et intelligibles, visant à guider les futurs déclarants. En visant à éviter que les déclarants ne déposent sur la plateforme des données qui n'ont pas vocation à y figurer, cet effort participe au respect du principe de minimisation.

C. - Sur les données collectées et leur exactitude

En premier lieu, le projet de décret énumère les données à caractère personnel qui pourront être traitées au titre des obligations déclaratives des activités d'influence exercées pour le compte d'un mandant étranger. En vertu des dispositions du III de l'article 18-12 de la loi du 11 octobre 2013, ces données sont collectées en deux étapes distinctes :

- d'abord, la phase d'inscription dans le répertoire, à l'occasion de laquelle la personne physique ou morale se signale comme exerçant des activités d'influence et déclare les informations qui la concernent ;
- puis, une déclaration des activités d'influence au titre d'un mandant étranger à la fin de chaque trimestre civil.

Le projet de décret prévoit également qu'est « sans incidence sur l'obligation de déclaration la circonstance que l'ordre, la demande, la direction ou le contrôle du mandant étranger s'exerce indirectement par le biais d'un ou de plusieurs intermédiaires ».
La CNIL prend acte de la nécessité, afin d'assurer l'effectivité du dispositif, de la collecte de données de tiers que sont notamment le ou les intermédiaires entre la personne exerçant une activité d'influence et son mandant étranger. Elle observe que cette collecte n'est pas prévue par la loi du 11 octobre 2013 modifiée et est susceptible, lorsqu'il s'agit de personnes physiques, de porter une atteinte significative au droit à la vie privée ou de constituer une immixtion dans les activités desdites personnes. Elle considère que :

- dans un souci d'exactitude, les données collectées devraient permettre d'identifier avec une certitude raisonnable les personnes physiques ou morales faisant office d'intermédiaires, et devraient être limitativement énumérées par le projet de décret, le cas échéant par référence aux données requises pour le mandant. Elle prend acte de l'engagement du SGDSN de modifier le projet de décret en ce sens ;
- afin d'assurer l'effectivité de l'exercice des droits des personnes pour lesquelles des données sont collectées de façon indirecte, la Haute Autorité devrait assurer la mise en œuvre du droit à l'information dans les conditions de l'article 14 du RGPD, par exemple par la demande d'une donnée de contact.

Afin d'assurer l'exactitude des données contenues dans le répertoire des activités d'influence pour le compte d'un mandant étranger, et à l'instar du fonctionnement du répertoire des représentants d'intérêts, la CNIL recommande que les personnes déclarantes puissent, à tout moment et sous leur responsabilité, modifier dans le répertoire, via le téléservice la description des activités d'influence antérieurement déclarées. Les modifications des déclarations, qu'elles interviennent à l'initiative du déclarant ou à la suite d'un contrôle de la Haute Autorité, devraient entraîner la mise à jour, dans un délai raisonnable, des informations rendues publiques sur l'ensemble des déclarations effectuées. Ces modifications sont indépendantes du droit de rectification, au titre des articles 50 de la loi informatique et libertés et 16 du RGPD, susceptible d'être exercé auprès de la Haute Autorité.
En deuxième lieu, le projet de décret prévoit notamment que les informations collectées devront être assorties de « pièces justificatives ». La Haute Autorité précise que certaines de ces pièces ne seront collectées, si nécessaire, qu'à l'occasion d'un contrôle.
La CNIL estime que le projet de décret devrait être modifié pour y ajouter la possibilité de la collecte des pièces justificatives (« assorties le cas échéant de pièces justificatives »). Elle prend acte de l'engagement du SGDSN de modifier le projet de décret en ce sens.
En troisième lieu, le projet de décret précise qu'un ou plusieurs « contacts opérationnels » peuvent être désignés par une personne morale afin de faciliter l'accomplissement des démarches administratives nécessaires.
La CNIL estime que :

- d'une part, le projet de décret devrait préciser les données à caractère personnel qui seront collectées sur ce contact opérationnel ;
- d'autre part, dans la mesure où la publication de ces données ne participe pas à l'objectif de transparence des activités d'influence, elles ne devraient pas être rendues publiques - hormis le cas où le contact opérationnel réaliserait par lui-même des actions d'influence pour le compte d'un mandant étranger ou d'une personne morale. Elle prend acte de l'engagement du SGDSN de modifier le projet de décret en ce sens.

En dernier lieu, le projet de décret prévoit la collecte de certaines informations qui pourront nécessiter l'existence de champs libres dans lesquels les déclarants sont susceptibles d'inclure des données à caractère personnel qui ne sont pas strictement prévues par les textes.
La CNIL rappelle que l'existence de tels champs doit être strictement nécessaire, et que le recours à des champs formatés ou à des menus déroulants est à privilégier autant que possible (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié). Ainsi, la Haute Autorité devra prendre des mesures pour s'assurer que seules les données pertinentes et nécessaires au regard des finalités seront collectées (par exemple, en informant précisément les déclarants sur la manière de renseigner ces champs ; en formant ses agents et en leur fournissant une doctrine d'emploi qui préciserait, notamment, la procédure à suivre lorsque des données dont la collecte n'est pas prévue sont tout de même fournies par les personnes concernées ; en instaurant un contrôle hiérarchique). La CNIL prend acte de l'engagement de la Haute Autorité de réduire les champs libres au strict nécessaire.

D. - Sur les mises en relation et les destinataires des données

Le projet de décret ne contient aucune disposition sur les éventuelles mises en relation (rapprochements ou interconnexions) du répertoire des activités d'influence avec d'autres traitements de données à caractère personnel et, a fortiori, sur les potentiels destinataires des données contenues dans ce répertoire. Pour le répertoire publié, de telles précisions sont sans objet.
S'agissant des données non publiques du répertoire, la Haute Autorité précise que la seule mise en relation envisagée serait un rapprochement entre le répertoire des représentants d'intérêts et le répertoire des activités d'influence, aux fins d'assurer les obligations déclaratives propres à chacun de ces répertoires et de détecter toute erreur déclarative.
La CNIL prend acte de l'absence de toute mise en relation du répertoire des activités d'influence avec d'autres traitements de données à caractère personnel pour ce qui concerne les données non publiées. Dans l'hypothèse d'une ou plusieurs futures mises en relation, la CNIL rappelle qu'il conviendra de veiller à la compatibilité des finalités et à la symétrie des catégories d'accédants et de destinataires de chacun des traitements mis en relation (v. CNIL, SP, avis, 27 mai 2021, traitement « LRPGN », n° 2021-061, publié).

E. - Sur les durées de conservation

L'article 4 du projet de décret dispose que « Les informations relatives aux activités d'influence demeurent publiques pendant une durée de cinq ans à compter de leur publication » par la HATVP. En revanche, aucune disposition de ce projet ne régit la durée de conservation des données. Il ressort des précisions apportées par la HATVP que les données collectées dans le cadre des déclarations seront conservées pour une durée de cinq ans afin d'accomplir l'ensemble des finalités décrites ci-dessus. La CNIL recommande qu'une ou plusieurs délibérations, prises par le collège de la HATVP et publiées sur son site web, encadrent les traitements nécessaires à la mise en œuvre du répertoire des activités d'influence et précisent, notamment, toutes les durées de conservation applicables.
En outre, selon les précisions apportées, la HATVP prévoit de conserver en archivage intermédiaire pour cinq années supplémentaires, portant la durée de conservation totale à dix ans, les données à caractère personnel strictement nécessaires :

- d'une part, au respect d'obligations légales ou à des fins précontentieuses ou contentieuses ;
- d'autre part, à la mission de contrôle des obligations déclaratives des activités d'influence revenant à la Haute Autorité afin de lui permettre, lorsque l'ouverture d'un contrôle le justifie, de remonter à certaines informations déclarées au-delà de cinq ans.

L'article 5 du RGPD prévoit que les données à caractère personnel sont « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Si la CNIL ne voit pas d'obstacle à ce que les données soient conservées pour une durée nécessaire au respect d'obligations légales ou à des fins précontentieuses ou contentieuses, elle estime qu'une durée de conservation totale de dix ans est excessive. En conséquence, elle considère que la durée de conservation en archivage intermédiaire de cinq années supplémentaires pour une finalité de contrôle des obligations déclaratives devrait être substantiellement réduite, et ce, afin de permettre à la Haute Autorité de contrôler les déclarations des personnes concernées sur les six dernières années à compter de leur dernière déclaration (cinq ans, puis un an). Cette durée de conservation de six ans correspond au délai de prescription légale du délit que constitue, en application de l'article 18-16 de la loi du 11 octobre 2013, la méconnaissance par les personnes concernées de leurs obligations déclaratives (article 8 du code de procédure pénale).
Elle recommande qu'après avoir opéré un tri des données pertinentes à archiver pour une durée supplémentaire, la Haute Autorité mette en place des mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données ainsi archivées puissent y accéder (bases de données d'archives dédiées ou séparations logiques dans la ou les bases de données actives). Au-delà des durées de conservation retenues, les données à caractère personnel conservées doivent, sauf exception, être supprimées ou anonymisées (CNIL, formation restreinte, 8 septembre 2022, sanction n° SAN-2022-018, publiée).
La Haute Autorité précise que les données collectées dans le cadre d'un contrôle, dont l'accès sera restreint aux agents de la direction du contrôle des représentants d'intérêts, ne seront pas rendues publiques et seront conservées pour une durée maximale de cinq ans.
La CNIL rappelle que les données utilisées dans le cadre d'une procédure de contrôle des obligations déclaratives par la Haute Autorité devront être traitées pour une durée strictement nécessaire à celui-ci. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.

F. - Sur la sécurité des systèmes d'information

Le projet de décret prévoit que, pour la mise en œuvre du « service de communication au public en ligne » permettant la publication du répertoire, la HATVP « prend les mesures techniques nécessaires pour [en] assurer l'intégrité ». De plus, l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives précise les exigences en termes de confidentialité, d'intégrité et de disponibilité applicables au téléservice mis en œuvre. La CNIL prend note de l'homologation du téléservice au regard du référentiel général de sécurité.
A ce titre, elle rappelle la nécessité d'assurer la confidentialité des échanges avec les usagers du téléservice, ce qui implique notamment l'usage de mesures de chiffrement des documents qui seraient transmis par ces usagers, notamment en refusant la transmission de ces documents en clair au sein de courriels.
En outre, la CNIL prend acte, d'une part, de la ségrégation physique entre l'interface de déclaration mise à disposition du grand public, le portail de contrôle par les agents de la HATVP et le répertoire accessible au grand public ainsi que, d'autre part, des différents niveaux d'habilitation associés.
Enfin, la CNIL prend acte de la mise en place d'une journalisation pour une durée d'une année. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle de ces données contribue à la sécurité du traitement par la génération automatique d'alertes.