Délibération n° 2025-031 du 7 mai 2025 portant avis sur un projet de décret relatif à la transparence des activités d'influence réalisées pour le compte d'un mandant étranger
| Numéro | 2025-031 |
| Date | mercredi 7 mai 2025 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000052026931 |
| N° de demande d'avis : 25003821. |
Thématiques : influences étrangères, probité, transparence de la vie publique. |
|
Organisme à l'origine de la saisine : Secrétariat général de la défense et de la sécurité nationale (SGDSN). |
Fondement de la saisine : article 18-18 de la loi n° 2013-907 du 11 octobre 2013 modifiée relative à la transparence de la vie publique. |
L'essentiel :
Le projet de décret est relatif au répertoire de la transparence des activités d'influence exercées pour le compte d'un mandant étranger.
Il doit être complété pour lister les données pouvant être collectées s'agissant, d'une part, des intermédiaires entre la personne exerçant une activité d'influence et son mandant étranger et, d'autre part, des contacts opérationnels qui facilitent l'accomplissement des démarches administratives pour les personnes morales.
La CNIL recommande que les durées de conservation applicables aux données à caractère personnel traitées par la Haute Autorité dans le cadre de ce dispositif, ainsi que dans celui de la conservation en archivage intermédiaire de certaines données à des fins de contrôle des obligations déclaratives, soient réduites, et ce, afin de tenir compte du délai de prescription applicable.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ( loi informatique et libertés ) ;
Après avoir entendu le rapport de Mme Isabelle Latournarie-Willems, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Par la loi n° 2024-850 du 25 juillet 2024 visant à prévenir les ingérences étrangères en France, le législateur a souhaité améliorer la transparence, pour les citoyens français, des politiques d'influence menées par et pour le compte de puissances étrangères. Son article 1er ajoute une section 3 ter à la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique, et crée de nouvelles obligations déclaratives auprès de la Haute Autorité pour la transparence de la vie publique (HATVP) pour les personnes exerçant des activités d'influence pour le compte d'un mandant étranger . L'ensemble de ces déclarations est rassemblé dans un répertoire numérique tenu par la Haute Autorité, qui est pour partie rendu public.
En application du nouvel article 18-11 de la loi du 11 octobre 2013 modifiée, ces obligations déclaratives trimestrielles s'imposent aux personnes physiques ou morales qui, sur l'ordre, à la demande ou sous la direction ou le contrôle d'un mandant étranger (par exemple, une puissance étrangère, à l'exclusion des Etats membres de l'Union européenne), et aux fins de promouvoir les intérêts de ce dernier , exécutent une ou plusieurs actions destinées à influer sur la décision publique […] ou sur la conduite des politiques publiques nationales et de la politique européenne ou étrangère de la France (à savoir : entrer en communication avec certaines personnes énumérées par la loi, telles que des membres du Gouvernement ou des parlementaires, réaliser toute action de communication à destination du public, ou collecter des fonds ou procéder au versement de fonds sans contrepartie).
B. - L'objet de la saisine
La CNIL a été saisie pour avis, par le secrétariat de la défense et de la sécurité nationale (SGDSN), d'un projet de décret en Conseil d'Etat relatif à la transparence des activités d'influence réalisées pour le compte d'un mandant étranger. En application de l'article 18-18 de la loi du 11 octobre 2013, ce projet pris après avis de la CNIL précise, d'une part, les modalités de fonctionnement et de publication du répertoire des activités d'influence et, d'autre part, les pouvoirs d'investigation de la Haute Autorité dans le cadre de sa mission de contrôle des obligations déclaratives nouvellement créées.
II. - L'avis de la CNIL
A. - Sur les finalités des traitements projetés
Il ressort des nouvelles dispositions de la loi du 11 octobre 2013 que la HATVP traitera des données à caractère personnel pour poursuivre plusieurs objectifs :
Les traitements mis en œuvre pour chacune de ces finalités, pour lesquels le RGPD est applicable, sont nécessaires à l'exécution de la mission d'intérêt public de transparence des activités d'influence étrangère, telle qu'énoncée par la loi du 25 juillet 2024 susmentionnée. Ils disposent donc d'une base légale pour l'application de l'article 6 du RGPD.
La CNIL rappelle que chacun des traitements mis en œuvre pour poursuivre ces finalités devra être documenté conformément au RGPD (et faire, le cas échéant, l'objet d'une analyse d'impact sur la protection des données). Une attention particulière devra être portée sur l'information et les droits des personnes concernées.
B. - Sur le périmètre des personnes concernées
Le projet de décret décrit le champ d'application du dispositif de déclaration des activités d'influence pour le compte d'un mandant étranger. Le répertoire des activités d'influence étrangère est susceptible de recouvrir un nombre significatif de personnes qui devront être conscientes des obligations déclaratives qui s'imposent à elles.
Dans la mesure où le champ d'application du répertoire nouvellement créé est potentiellement très vaste, la CNIL accueille favorablement l'effort de communication et d'accompagnement que la HATVP dit vouloir consentir en direction des personnes susceptibles d'être concernées. Elle prend acte de l'engagement de la Haute Autorité de publier une foire aux questions ( FAQ ) ainsi que des lignes directrices facilement accessibles et intelligibles, visant à guider les futurs déclarants. En visant à éviter que les déclarants ne déposent sur la plateforme des données qui n'ont pas vocation à y figurer, cet effort participe au respect du principe de minimisation.
C. - Sur les données collectées et leur exactitude
En premier lieu, le projet de décret énumère les données à caractère personnel qui pourront être traitées au titre des obligations déclaratives des activités d'influence exercées pour le compte d'un mandant étranger. En vertu des dispositions du III de l'article 18-12 de la loi du 11 octobre 2013, ces données sont collectées en deux étapes distinctes :
Le projet de décret prévoit également qu'est sans incidence sur l'obligation de déclaration la circonstance que l'ordre, la demande, la direction ou le contrôle du mandant étranger s'exerce indirectement par le biais d'un ou de plusieurs intermédiaires .
La CNIL prend acte de la nécessité, afin d'assurer l'effectivité du dispositif, de la collecte de données de tiers que sont notamment le ou les intermédiaires entre la personne exerçant une activité d'influence et son mandant étranger. Elle observe que cette collecte n'est pas prévue par la loi du 11 octobre 2013 modifiée et est susceptible, lorsqu'il s'agit de personnes physiques, de porter une atteinte significative au droit à la vie privée ou de constituer une immixtion dans les activités desdites personnes. Elle considère que :
Afin d'assurer l'exactitude des données contenues dans le répertoire des activités d'influence pour le compte d'un mandant étranger, et à l'instar du fonctionnement du répertoire des représentants d'intérêts, la CNIL recommande que les personnes déclarantes puissent, à tout moment et sous leur responsabilité, modifier dans le répertoire, via le téléservice la description des activités d'influence antérieurement déclarées. Les modifications des déclarations, qu'elles interviennent à l'initiative du déclarant ou à la suite d'un contrôle de la Haute Autorité, devraient entraîner la mise à jour, dans un délai raisonnable, des informations rendues publiques sur l'ensemble des déclarations effectuées. Ces modifications sont indépendantes du droit de rectification, au titre des articles 50 de la loi informatique et libertés et 16 du RGPD, susceptible d'être exercé auprès de la Haute Autorité.
En deuxième lieu, le projet de décret prévoit notamment que les informations collectées devront être assorties de pièces justificatives . La Haute Autorité précise que certaines de ces pièces ne seront collectées, si nécessaire, qu'à l'occasion d'un contrôle.
La CNIL estime que le projet de décret devrait être modifié pour y ajouter la possibilité de la collecte des pièces justificatives ( assorties le cas échéant de pièces justificatives ). Elle prend acte de l'engagement du SGDSN de modifier le projet de décret en ce sens.
En troisième lieu, le projet de décret précise qu'un ou plusieurs contacts opérationnels peuvent être désignés par une personne morale afin de faciliter l'accomplissement des démarches administratives nécessaires.
La CNIL estime que :
En dernier lieu, le projet de décret prévoit la collecte de certaines informations qui pourront nécessiter l'existence de champs libres dans lesquels les déclarants sont susceptibles d'inclure des données à caractère personnel qui ne sont pas strictement prévues par les textes.
La CNIL rappelle que l'existence de tels champs doit être strictement nécessaire, et que le recours à des champs formatés ou à des menus déroulants est à privilégier autant que possible (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié). Ainsi, la Haute Autorité devra prendre des mesures pour s'assurer que seules les données pertinentes et nécessaires au regard des finalités seront collectées (par exemple, en informant précisément les déclarants sur la manière de renseigner ces champs ; en formant ses agents et en leur fournissant une doctrine d'emploi qui préciserait, notamment, la procédure à suivre lorsque des données dont la collecte n'est pas prévue sont tout de même fournies par les personnes concernées ; en instaurant un contrôle hiérarchique). La CNIL prend acte de l'engagement de la Haute Autorité de réduire les champs libres au strict nécessaire.
D. - Sur les mises en relation et les destinataires des données
Le projet de décret ne contient aucune disposition sur les éventuelles mises en relation (rapprochements ou interconnexions) du répertoire des activités d'influence avec d'autres traitements de données à caractère personnel et, a fortiori, sur les potentiels destinataires des données contenues dans ce répertoire. Pour le répertoire publié, de telles précisions sont sans objet.
S'agissant des données non publiques du répertoire, la Haute Autorité précise que la seule mise en relation envisagée serait un rapprochement entre le répertoire des représentants d'intérêts et le répertoire des activités d'influence, aux fins d'assurer les obligations déclaratives propres à chacun de ces répertoires et de détecter toute erreur déclarative.
La CNIL prend acte de l'absence de toute mise en relation du répertoire des activités d'influence avec d'autres traitements de données à caractère personnel pour ce qui concerne les données non publiées. Dans l'hypothèse d'une ou plusieurs futures mises en relation, la CNIL rappelle qu'il conviendra de veiller à la compatibilité des finalités et à la symétrie des catégories d'accédants et de destinataires de chacun des traitements mis en relation (v. CNIL, SP, avis, 27 mai 2021, traitement LRPGN , n° 2021-061, publié).
E. - Sur les durées de conservation
L'article 4 du projet de décret dispose que Les informations relatives aux activités d'influence demeurent publiques pendant une durée de cinq ans à compter de leur publication par la HATVP. En revanche, aucune disposition de ce projet ne régit la durée de conservation des données. Il ressort des précisions apportées par la HATVP que les données collectées dans le cadre des déclarations seront conservées pour une durée de cinq ans afin d'accomplir l'ensemble des finalités décrites ci-dessus. La CNIL recommande qu'une ou plusieurs délibérations, prises par le collège de la HATVP et publiées sur son site web, encadrent les traitements nécessaires à la mise en œuvre du répertoire des activités d'influence et précisent, notamment, toutes les durées de conservation applicables.
En outre, selon les précisions apportées, la HATVP prévoit de conserver en archivage intermédiaire pour cinq années supplémentaires, portant la durée de conservation totale à dix ans, les données à caractère personnel strictement nécessaires :
L'article 5 du RGPD prévoit que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées . Si la CNIL ne voit pas d'obstacle à ce que les données soient conservées pour une durée nécessaire au respect d'obligations légales ou à des fins précontentieuses ou contentieuses, elle estime qu'une durée de conservation totale de dix ans est excessive. En conséquence, elle considère que la durée de conservation en archivage intermédiaire de cinq années supplémentaires pour une finalité de contrôle des obligations déclaratives devrait être substantiellement réduite, et ce, afin de permettre à la Haute Autorité de contrôler les déclarations des personnes concernées sur les six dernières années à compter de leur dernière déclaration (cinq ans, puis un an). Cette durée de conservation de six ans correspond au délai de prescription légale du délit que constitue, en application de l'article 18-16 de la loi du 11 octobre 2013, la méconnaissance par les personnes concernées de leurs obligations déclaratives (article 8 du code de procédure pénale).
Elle recommande qu'après avoir opéré un tri des données pertinentes à archiver pour une durée supplémentaire, la Haute Autorité mette en place des mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données ainsi archivées puissent y accéder (bases de données d'archives dédiées ou séparations logiques dans la ou les bases de données actives). Au-delà des durées de conservation retenues, les données à caractère personnel conservées doivent, sauf exception, être supprimées ou anonymisées (CNIL, formation restreinte, 8 septembre 2022, sanction n° SAN-2022-018, publiée).
La Haute Autorité précise que les données collectées dans le cadre d'un contrôle, dont l'accès sera restreint aux agents de la direction du contrôle des représentants d'intérêts, ne seront pas rendues publiques et seront conservées pour une durée maximale de cinq ans.
La CNIL rappelle que les données utilisées dans le cadre d'une procédure de contrôle des obligations déclaratives par la Haute Autorité devront être traitées pour une durée strictement nécessaire à celui-ci. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.
F. - Sur la sécurité des systèmes d'information
Le projet de décret prévoit que, pour la mise en œuvre du service de communication au public en ligne permettant la publication du répertoire, la HATVP prend les mesures techniques nécessaires pour [en] assurer l'intégrité . De plus, l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives précise les exigences en termes de confidentialité, d'intégrité et de disponibilité applicables au téléservice mis en œuvre. La CNIL prend note de l'homologation du téléservice au regard du référentiel général de sécurité.
A ce titre, elle rappelle la nécessité d'assurer la confidentialité des échanges avec les usagers du téléservice, ce qui implique notamment l'usage de mesures de chiffrement des documents qui seraient transmis par ces usagers, notamment en refusant la transmission de ces documents en clair au sein de courriels.
En outre, la CNIL prend acte, d'une part, de la ségrégation physique entre l'interface de déclaration mise à disposition du grand public, le portail de contrôle par les agents de la HATVP et le répertoire accessible au grand public ainsi que, d'autre part, des différents niveaux d'habilitation associés.
Enfin, la CNIL prend acte de la mise en place d'une journalisation pour une durée d'une année. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle de ces données contribue à la sécurité du traitement par la génération automatique d'alertes.
Liens relatifs
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026