Compass — Politique de confidentialité · par CL Corporate Affairs

1. Introduction

Compass est une plateforme d'intelligence politique éditée par CL Corporate Affairs Consulting E.I. (ci-après « CL » ou « CL Corporate Affairs Consulting », indifféremment utilisés dans le présent document), dont le siège social est situé 1 avenue de l'Observatoire, 75006 Paris, France (SIREN : 902 992 189), et qui dispose d'un bureau de représentation à l'avenue de Tervueren 103, B-1040 Bruxelles, Belgique. La présente Politique de confidentialité explique comment nous collectons, utilisons et protégeons les données à caractère personnel au sein de la plateforme Compass, dans le respect du Règlement (UE) 2016/679 (le « RGPD ») et de la loi française Informatique et Libertés.

Compass est conçue et exploitée par un cabinet de conseil en affaires publiques en exercice, et peut être mise à disposition de ses pairs, des équipes internes d'affaires publiques, des fédérations professionnelles, des ONG et d'autres organisations dont l'activité recoupe notre propre champ de pratique. Ce contexte particulier façonne la manière dont nous avons conçu la plateforme : si CL applique, en tant que devoir professionnel fondateur, une politique stricte de refus de tout conflit d'intérêts (voir également la section 3 des Conditions générales), nous estimons que cet engagement contractuel et éthique doit être adossé à des garanties techniques et organisationnelles conférant à chaque utilisateur un contrôle réel et démontrable sur ses propres données. Les dispositions qui suivent — en particulier le chiffrement de bout en bout optionnel (section 10.1) et notre politique délibérée en matière d'IA (section 9) — constituent l'expression pratique de cette conviction. Ce ne sont pas des formules génériques de conformité : elles traduisent un choix de positionnement que nous jugeons inséparable du type de plateforme qu'un cabinet d'affaires publiques peut raisonnablement proposer à ses pairs.

2. Responsable de traitement

CL Corporate Affairs Consulting E.I.
1 avenue de l'Observatoire, 75006 Paris, France
Avenue de Tervueren 103, B-1040 Bruxelles, Belgique
Contact : cl.eu.com/contact

3. Rôles et responsabilités au regard du RGPD

La répartition des rôles en matière de protection des données au sein de Compass dépend du contexte spécifique d'utilisation, apprécié au cas par cas, conformément aux articles 4, point 7, 4, point 8, 26 et 28 du RGPD. Le facteur déterminant est l'identification de la partie qui décide des finalités et des moyens essentiels de chaque opération de traitement — et non la seule qualification contractuelle.

Lorsque CL utilise Compass pour sa propre activité de conseil, CL Corporate Affairs Consulting agit en qualité d'unique responsable de traitement pour l'ensemble des données traitées au sein de la plateforme, y compris les données de référence, la cartographie des parties prenantes, l'analyse des positions et les comptes-rendus d'engagement.

Lorsqu'un utilisateur tiers accède à Compass dans le cadre de ses propres activités d'affaires publiques, les rôles respectifs sont déterminés par la nature de la mission et le degré d'autonomie de chaque partie :

Si l'utilisateur définit la stratégie, sélectionne les parties prenantes, détermine les données à collecter et contrôle les livrables, l'utilisateur agit en qualité de responsable de traitement et CL Corporate Affairs Consulting agit en qualité de sous-traitant (article 4, point 8, du RGPD), en fournissant l'infrastructure technique et en ne traitant les données que pour le compte de l'utilisateur et conformément à ses instructions.
Si CL Corporate Affairs Consulting et l'utilisateur déterminent conjointement les objectifs et les moyens essentiels du traitement (par exemple, CL Corporate Affairs Consulting conçoit la méthodologie de cartographie, sélectionne les sources de données et définit les critères de scoring tandis que l'utilisateur fixe les objectifs stratégiques), les deux parties peuvent être considérées comme co-responsables de traitement (article 26 du RGPD). Dans ce cas, les obligations respectives sont définies dans le contrat de mission.

Dans tous les cas, CL Corporate Affairs Consulting s'engage à mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données à caractère personnel, conformément au RGPD. Lorsque CL Corporate Affairs Consulting agit en qualité de sous-traitant, les Conditions générales de la plateforme régissent les obligations de chaque partie conformément à l'article 28 du RGPD.

3.1 Cas particulier — les méthodologies analytiques conçues par CL

Les rôles décrits à la section 3 distinguent qui décide quoi dans une opération de traitement donnée. Dans ce cadre, une nuance mérite d’être explicitement énoncée : Compass intègre un certain nombre de méthodologies analytiques conçues par CL Corporate Affairs Consulting — notamment la pondération de l’influence appliquée aux parties prenantes, le score d’urgence qui signale les engagements sensibles au temps, la détection des cibles à activer qui fait remonter les contacts prioritaires, et l’estimation prédictive des durées législatives fondée sur des schémas procéduraux passés. L’utilisateur maîtrise qui est ajouté à la plateforme, quelles données y sont saisies et la finalité stratégique poursuivie ; CL est l’auteur de la méthodologie qui transforme cette donnée maîtrisée par l’utilisateur en score, en classement ou en estimation.

Au regard du RGPD, la détermination des moyens essentiels du traitement est l’un des critères qui distinguent un responsable de traitement d’un sous-traitant (article 4(7) RGPD ; Lignes directrices 07/2020 de l’EDPB sur les notions de responsable du traitement et de sous-traitant, §38 et suivants). Dès lors que les méthodologies de pondération et de classement intégrées à Compass façonnent la manière dont les données de l’utilisateur sont analysées et présentées, CL Corporate Affairs Consulting reconnaît que, pour ces opérations analytiques spécifiques, elle conserve une part de responsabilité au titre de la conception méthodologique — aux côtés de l’utilisateur, qui demeure responsable du traitement pour les données sous-jacentes, le choix des personnes concernées et la finalité stratégique poursuivie. Cette analyse est cohérente avec la jurisprudence de la Cour de justice de l’Union européenne, qui a jugé qu’une responsabilité conjointe peut naître pour des phases spécifiques d’une opération de traitement (arrêts C-210/16 Wirtschaftsakademie et C-40/17 Fashion ID).

Concrètement, l’utilisateur reste libre de contester un score, de le remplacer manuellement, et d’utiliser Compass sans s’en remettre à la pondération suggérée — les positions et les valeurs d’influence peuvent toujours être renseignées ou écrasées à la main. CL décrit la logique générale de chaque méthodologie de scoring dans l’aide intégrée à la plateforme, documente les évolutions méthodologiques dans des notes de version transparentes, et assume la méthodologie qu’elle conçoit. Cette part résiduelle de responsabilité méthodologique ne s’étend pas au travail de cartographie de l’utilisateur dans son ensemble : pour les données saisies, les personnes concernées sélectionnées et la finalité poursuivie, l’utilisateur demeure le responsable du traitement.

4. Catégories de données traitées

Compass traite trois catégories distinctes de données à caractère personnel, chacune soumise à son propre régime :

Données de référence — informations institutionnelles et organisationnelles issues des bases de données officielles et publiquement accessibles de l'Union européenne (Parlement européen, Conseil de l'Union européenne, Commission européenne, Registre de transparence de l'UE). Cela inclut les noms, fonctions, mandats, appartenances en commission, affiliations à un groupe politique, nationalité et coordonnées officielles des personnalités publiques agissant dans leur capacité institutionnelle. CL Corporate Affairs Consulting est responsable de la collecte et de la mise à jour périodique de ces données.
Données de cartographie et de positions des parties prenantes — informations publiquement accessibles agrégées par l'utilisateur, avec assistance optionnelle de l'IA : positions déclarées publiquement, prises de parole publiées, votes, communiqués de presse, publications publiques sur les réseaux sociaux (à partir de comptes explicitement validés par l'utilisateur). L'utilisateur sélectionne les parties prenantes à suivre, valide chaque position attribuée et détermine la manière dont ces données sont utilisées dans le cadre de son activité professionnelle.
Notes internes et comptes-rendus d'engagement — contenu en texte libre saisi exclusivement par l'utilisateur : comptes-rendus de réunion, notes d'appel téléphonique, actions de suivi, observations informelles, appréciations personnelles. Ce contenu est rédigé par l'utilisateur seul, accessible uniquement à l'utilisateur qui l'a créé, et n'est en aucune manière consulté, modéré, analysé ou exploité par CL Corporate Affairs Consulting. L'utilisateur est seul responsable du contenu, de l'exactitude et de la licéité de ces notes, au même titre que pour tout dossier professionnel privé.

Les données du compte utilisateur (nom, adresse e-mail, société, numéro de téléphone si fourni, identifiants de connexion hachés) sont également traitées dans le but de fournir l'accès à la plateforme.

Données de navigation : un unique cookie de session (HTTP-only, strictement fonctionnel, sans traçage) est utilisé pour l'authentification.

5. Base juridique et finalités

Le traitement des données à caractère personnel au sein de Compass repose sur les bases juridiques suivantes :

Intérêt légitime (article 6, paragraphe 1, point f, du RGPD) : la finalité principale de Compass est de soutenir les professionnels des affaires publiques dans la compréhension des positions, des attentes et du périmètre d'influence des acteurs politiques. Cela inclut la cartographie des parties prenantes, le suivi des positions et la gestion de l'engagement — activités reconnues comme fonctions professionnelles centrales des praticiens des affaires publiques. Les données traitées se limitent aux informations publiquement accessibles ou directement pertinentes pour la relation professionnelle entre l'utilisateur et la partie prenante.
Exécution d'un contrat (article 6, paragraphe 1, point b, du RGPD) : les données du compte utilisateur sont traitées pour fournir l'accès à la plateforme et délivrer le service convenu.
Obligation légale (article 6, paragraphe 1, point c, du RGPD) : le cas échéant, conformité aux obligations de transparence (Registre de transparence de l'UE, déclarations HATVP en droit français).

6. Évaluation de l'intérêt légitime

Conformément à l'article 6, paragraphe 1, point f, du RGPD, le recours à l'intérêt légitime comme base juridique du traitement des données de parties prenantes a été apprécié comme suit :

Légitimité de l'intérêt : le suivi des processus législatifs, la cartographie des positions des parties prenantes et la gestion de l'engagement institutionnel constituent des activités professionnelles licites et bien établies dans le domaine des affaires publiques et de la représentation d'intérêts. Ces activités servent l'intérêt légitime du responsable de traitement à exercer son activité professionnelle de manière efficace.
Nécessité : le traitement est nécessaire pour atteindre ces objectifs. Comprendre qui sont les décideurs pertinents, quelles positions ils défendent et comment évolue l'équilibre législatif ne peut être réalisé sans traiter des données à caractère personnel relatives à ces personnalités publiques.
Mise en balance des intérêts : les données traitées portent dans leur très grande majorité sur des personnes agissant dans leur capacité publique officielle (élus, hauts fonctionnaires, représentants d'intérêts enregistrés). Ces personnes bénéficient d'une attente réduite de vie privée à l'égard de leurs activités institutionnelles, qui sont par nature publiques. Les données proviennent de bases de données institutionnelles officielles ou de prises de position que les personnes concernées ont elles-mêmes rendues publiques. Le traitement n'implique pas de profilage à des fins commerciales, ne cherche pas à prédire des comportements privés, ne cible pas des personnes vulnérables, et se limite à ce qui est nécessaire à des activités légitimes d'affaires publiques. Les personnes concernées conservent à tout moment leur droit d'opposition prévu à l'article 21 du RGPD.

7. Données publiquement accessibles et catégories particulières

Une part importante des données à caractère personnel traitées dans Compass se rapporte à des personnalités publiques agissant dans leur capacité officielle (députés européens, commissaires, fonctionnaires du Conseil, représentants d'intérêts enregistrés). Ces données proviennent de bases de données institutionnelles officielles et publiquement accessibles :

Site web du Parlement européen, Observatoire législatif (OEIL) et annuaire EU Who is Who
Registre de transparence de l'UE et LobbyFacts.eu
Registres publics du Conseil de l'Union européenne
Organigrammes et salle de presse de la Commission européenne
Comptes publics de réseaux sociaux (X/Twitter, LinkedIn) — uniquement les comptes explicitement validés par l'utilisateur

Lorsque les données traitées incluent des informations susceptibles de révéler des opinions politiques au sens de l'article 9, paragraphe 1, du RGPD (par exemple : votes enregistrés, positions déclarées publiquement sur des dossiers législatifs, affiliation à un groupe politique), ce traitement est autorisé en vertu de l'article 9, paragraphe 2, point e, du RGPD, en ce qu'il porte exclusivement sur des données à caractère personnel que la personne concernée a manifestement rendues publiques par des canaux institutionnels officiels, des votes parlementaires, des prises de position publiques ou des publications volontaires sur des comptes publics de réseaux sociaux. Cette exception est appliquée strictement aux données déjà accessibles au public par l'effet des propres actions de la personne concernée dans sa capacité officielle.

8. Notre approche du contrôle utilisateur et de la transparence

Deux des choix de conception les plus déterminants de Compass — le chiffrement de bout en bout optionnel du contenu rédigé par l'utilisateur (section 10.1) et la politique d'IA de la plateforme (section 9) — sont régis par un même principe sous-jacent. Les technologies modernes (cryptographie avancée, modèles de langage) apportent une réelle valeur ajoutée au travail d'affaires publiques, mais elles soulèvent aussi des questions légitimes : qui peut lire quoi, par où circulent les données, et que contrôle réellement l'utilisateur. Plutôt que d'apporter à ces questions des réponses générales et rassurantes, Compass est conçue pour que les réponses soient visibles, vérifiables et choisies par l'utilisateur.

Cela se traduit par trois règles opérationnelles applicables tant au chiffrement qu'à l'IA :

Choix explicite de l'utilisateur sur tout traitement non trivial. Les options sensibles (activation du chiffrement de bout en bout, activation d'un fournisseur d'IA externe) ne sont jamais activées par défaut ni imposées : chacune requiert une action délibérée et informée de l'utilisateur. La configuration par défaut est celle qui préserve le mieux la vie privée (pas d'IA externe, aucune transmission hors UE ; chiffrement disponible mais non imposé).
Transparence sur ce qui se passe réellement, y compris sur les limites. Nous documentons non seulement ce que la plateforme fait, mais aussi ce qu'elle ne fait pas, et où se situent les frontières de chaque garantie. La section 10.1 énumère explicitement les champs chiffrés et ceux qui ne le sont pas, et pourquoi ; la section 9 expose ce qui est traité localement et ce qui serait transmis à un fournisseur tiers si l'utilisateur choisissait d'en activer un. Nous évitons les formulations qui suggéreraient des garanties plus fortes que ce que la technologie procure réellement.
Garanties techniques en complément, et non en remplacement, des engagements éthiques et contractuels. Notre refus des conflits d'intérêts, notre engagement contractuel à ne jamais lire le contenu rédigé par l'utilisateur et l'impossibilité technique que nous offrons grâce au chiffrement de bout en bout opèrent à trois niveaux différents et se renforcent mutuellement. Lorsque la technologie peut rendre une garantie incassable, nous la déployons ; lorsqu'elle ne le peut pas, nous le disons clairement et nous nous appuyons sur les engagements contractuels et éthiques qui régissent notre profession.

Les deux sections qui suivent appliquent ce cadre aux deux cas spécifiques de l'analyse assistée par IA (section 9) et du chiffrement de bout en bout (section 10.1).

9. Services d’IA

Compass intègre une couche d’intelligence artificielle qui assiste des tâches analytiques telles que la classification de positions, l’analyse de parties prenantes et la production de notes stratégiques. La plateforme est conçue autour d’un principe ferme : l’utilisateur choisit toujours quelle configuration d’IA est utilisée, le cas échéant, et peut à tout moment revenir à une configuration dans laquelle aucune IA n’intervient.

CL Corporate Affairs Consulting a délibérément limité le périmètre d’IA de Compass à Mistral, le fournisseur européen d’IA dont le siège est à Paris (France). Aucun autre fournisseur d’IA tiers — ni OpenAI, ni Anthropic, ni aucun modèle non européen — n’est intégré à la plateforme, et aucun n’est envisagé pour une intégration future. L’utilisateur peut choisir entre deux configurations adossées à Mistral, décrites ci-après.

9.1 IA locale — Ollama sur le poste de l’utilisateur

Dans cette configuration, un modèle Mistral s’exécute directement sur l’ordinateur de l’utilisateur via le runtime Ollama. L’utilisateur installe Ollama, télécharge un modèle Mistral (typiquement ollama pull mistral) et configure Ollama pour accepter les requêtes provenant de l’interface Compass en définissant la variable d’environnement OLLAMA_ORIGINS=https://compass.eu.com avant de démarrer le service.

Dans cette configuration, aucune donnée ne quitte jamais le poste de l’utilisateur à des fins de traitement IA. L’interface web de Compass communique directement avec l’instance locale d’Ollama, à travers le navigateur, sur http://localhost:11434 — adresse de loopback considérée comme un contexte sécurisé par l’ensemble des navigateurs modernes (Chrome, Firefox, Safari), conformément à la spécification W3C Mixed Content. Le serveur de la plateforme n’intervient pas dans l’échange, et CL Corporate Affairs Consulting n’a aucun moyen technique d’inspecter ni les invites adressées ni les réponses obtenues.

Il s’agit de l’option maximisant la confidentialité et de la configuration recommandée pour les éléments hautement sensibles. Elle suppose une configuration technique unique de la part de l’utilisateur (installation d’Ollama, téléchargement du modèle, configuration de la variable d’environnement) ; un guide détaillé est mis à disposition dans les paramètres utilisateur.

9.2 IA cloud — API commerciale de Mistral

Dans cette configuration, les requêtes d’IA sont adressées à l’API commerciale de Mistral AI (api.mistral.ai). Mistral AI est une société de droit français ; l’API est exploitée depuis une infrastructure européenne (France et Suède) et l’intégralité du traitement IA se déroule au sein de l’Union européenne, sans aucun transfert vers un pays tiers.

Utilisation des données pour l’entraînement du modèle : aux termes des conditions commerciales d’API de Mistral, les invites envoyées et les réponses obtenues ne sont pas utilisées pour entraîner les modèles de Mistral, sauf consentement explicite de l’utilisateur (ce que Compass ne demande pas).
Conservation : Mistral conserve les invites et réponses d’API pendant 30 jours glissants au maximum, à des seules fins de surveillance contre les usages abusifs, puis les supprime. Une option Zero Data Retention (ZDR), disponible sur certains paliers d’API Mistral, peut ramener cette conservation à la durée nécessaire au traitement de la requête.
Garanties contractuelles : un avenant de traitement des données (DPA) et des conditions alignées sur le RGPD s’appliquent par défaut. CL Corporate Affairs Consulting et Mistral AI étant l’un comme l’autre établis dans l’Union européenne, aucun transfert hors EEE n’est effectué et aucune clause contractuelle type n’est requise.
Sous-traitance : dans cette configuration, Mistral AI agit en qualité de sous-traitant ultérieur au sens de l’article 28, paragraphe 4, du RGPD. Le cadre applicable est intégralement décrit dans la documentation Mistral référencée ci-après.

Documentation de référence — Conditions Mistral : legal.mistral.ai/terms · Avenant de traitement des données : legal.mistral.ai/terms/data-processing-addendum.

9.3 Aucun fournisseur d’IA n’est jamais imposé à l’utilisateur

L’activation de l’une ou l’autre configuration d’IA suppose une action délibérée de l’utilisateur depuis Manage my account. Par défaut, l’état de tout compte Compass est « aucune IA » — les fonctionnalités assistées par IA sont simplement absentes tant que l’utilisateur n’a pas explicitement choisi l’option 9.1 ou l’option 9.2. L’utilisateur peut également passer d’une option à l’autre, ou revenir à « aucune IA », à tout moment, sans persistance de données entre configurations.

Les contenus générés par IA, qu’ils soient produits localement (option 9.1) ou via l’API Mistral (option 9.2), sont fournis à titre informatif uniquement et doivent toujours être relus et validés par l’utilisateur avant d’être exploités ou partagés à l’extérieur. CL Corporate Affairs Consulting ne garantit ni l’exactitude, ni l’exhaustivité, ni la fiabilité des productions générées par IA.

10. Sécurité des données et hébergement

L'ensemble des données traitées par Compass est conservé sur un serveur privé et dédié situé au sein de l'Union européenne, sous le contrôle physique de CL Corporate Affairs Consulting. La plateforme met en œuvre les mesures de sécurité suivantes :

Authentification par e-mail et mot de passe, les mots de passe étant hachés avec PBKDF2-HMAC-SHA256 (600 000 itérations, conformément aux recommandations actuelles de l'OWASP) et un sel unique par utilisateur ;
Sessions gérées via des cookies sécurisés HTTP-only, SameSite=Strict ;
Jetons CSRF par session, vérifiés sur chaque requête modifiant l'état ;
Verrouillage automatique du compte après 5 tentatives de connexion infructueuses (refroidissement de 15 minutes) et limitation du débit au niveau de l'IP (blocage de 30 minutes après échecs répétés depuis la même source) ;
Chiffrement HTTPS en transit (TLS via certificat Let's Encrypt) ;
En-têtes de réponse HTTP en défense en profondeur (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy) ;
Journal d'audit persistant des événements d'authentification, des actions privilégiées et des défaillances de sécurité significatives ;
Pas d'indexation de la zone authentifiée par les moteurs de recherche : seules les pages publiques (page d'accueil, Politique de confidentialité, Conditions générales) sont indexables ; tout autre chemin — tableaux de bord, gestion de compte, interfaces administratives, points de terminaison d'API — est explicitement bloqué via robots.txt et des directives noindex ;
Aucune donnée n’est stockée sur un service cloud tiers à des fins de traitement IA. Par défaut, aucune IA n’est activée. Lorsque l’utilisateur active l’option d’IA locale (section 9.1), le modèle Mistral s’exécute intégralement sur le poste de l’utilisateur et aucune donnée ne quitte celui-ci. Lorsque l’utilisateur active l’option API commerciale de Mistral (section 9.2), les invites et réponses transitent vers l’infrastructure européenne de Mistral (France et Suède) pour traitement ; la conservation par Mistral est limitée à 30 jours glissants à des seules fins de surveillance contre les usages abusifs (ou à la durée de la requête sous l’option Zero Data Retention), et les données ne sont pas utilisées pour entraîner les modèles de Mistral.

Les e-mails liés à la gestion de compte (création de mot de passe, réinitialisation, notifications de changement) sont envoyés via SMTP avec chiffrement TLS.

10.1 Chiffrement de bout en bout optionnel

Pourquoi cette fonctionnalité existe. Compass est conçue et exploitée par un cabinet de conseil en affaires publiques en exercice dont les utilisateurs sont eux-mêmes, le plus souvent, des professionnels des affaires publiques travaillant sur des dossiers sensibles — et parfois sur des dossiers qui touchent les mêmes domaines de politique publique que ceux dans lesquels CL est elle-même engagée ou que ses autres clients suivent. Même si CL Corporate Affairs Consulting applique, en tant que devoir professionnel fondateur, une politique stricte de refus de tout conflit d'intérêts (voir également la section 3 des Conditions générales) et s'engage contractuellement à ne jamais lire le contenu rédigé par les utilisateurs (voir section 11 des Conditions générales), nous considérons que les utilisateurs ne devraient pas avoir à accorder cet engagement uniquement sur la base de la confiance. Le chiffrement de bout en bout est la traduction technique de cette conviction : il offre aux utilisateurs un moyen de garantir, par l'architecture même de la plateforme, que leur travail analytique est mathématiquement hors de portée des opérateurs CL, de tout tiers qui obtiendrait l'accès aux serveurs, et de toute autorité requérant une divulgation contrainte. C'est, à nos yeux, une conséquence naturelle du fait de construire un outil pour sa propre profession.

En quoi cela consiste, en pratique. En complément des mesures de sécurité de base ci-dessus, Compass propose un mode chiffrement de bout en bout optionnel que les utilisateurs peuvent activer à tout moment depuis Gérer mon compte. Cette fonctionnalité n'est pas activée par défaut ; il s'agit d'un opt-in explicite, destiné aux utilisateurs qui manipulent des éléments particulièrement sensibles et qui souhaitent ajouter une garantie technique aux engagements contractuels de CL. Les utilisateurs qui ne l'activent pas sont, bien entendu, pleinement couverts par l'engagement contractuel de non-consultation, qui s'applique indépendamment du statut de chiffrement ; la fonctionnalité est offerte comme une couche supplémentaire pour ceux qui le souhaitent, et non comme une condition préalable à l'utilisation de la plateforme.

Ce qui est chiffré. Lorsque le chiffrement de bout en bout est activé sur un compte, les données suivantes sont chiffrées dans le navigateur de l'utilisateur avant d'être stockées sur le serveur : la liste des dossiers suivis par l'utilisateur, les notes personnelles, le contenu rédigé par l'utilisateur de la cartographie des parties prenantes (résumés de position attribués, arguments, commentaires privés et sources), les mots-clés de veille (en mode Recherche sécurisée), les noms de sujets, les biographies et notes de profil rédigées par l'utilisateur, les entrées du journal d'engagement (comptes-rendus de réunion, enseignements, signaux), le cache de radar personnel de l'utilisateur et tout autre contenu rédigé personnellement par l'utilisateur. Le périmètre de chiffrement est délibérément large et vise à empêcher tout observateur du serveur — y compris les opérateurs CL — de profiler l'activité, les centres d'intérêt ou les positions analytiques de l'utilisateur.

Ce qui n'est pas chiffré, et pourquoi. Les catégories suivantes restent non chiffrées, par conception : données de référence publiques partagées entre l'ensemble des utilisateurs (députés européens, commissaires, agents de la Commission, agents du Conseil, organisations du Registre de transparence, événements du calendrier institutionnel, toutes issues des bases de données officielles de l'UE) ; informations de compte nécessaires à l'authentification et aux notifications (prénom, nom, e-mail, numéro de téléphone, organisation) ; identifiants techniques nécessaires aux jointures SQL (clés primaires, clés étrangères, identifiants d'utilisateur) ; horodatages d'audit (heures de création, de modification, de connexion) ; empreintes cryptographiques de recherche (condensats SHA-256 irréversibles des mots-clés de veille en mode Recherche sécurisée, utilisés pour la correspondance côté serveur sans révéler le mot-clé) ; et les scores analytiques et les classements qui en découlent (les scores d'influence, d'urgence, d'engagement et d'attitude attachés à chaque partie prenante, ainsi que le quadrant de priorité et les marqueurs « cible à activer » calculés à partir d'eux). Ces derniers ne sont pas du texte rédigé par l'utilisateur mais des valeurs produites par les méthodologies analytiques conçues par CL (pondération d'influence, scoring d'urgence et de cible à activer), que le serveur calcule et recalcule ; garder les scores numériques lisibles par le moteur est précisément ce qui permet à la plateforme de positionner les parties prenantes sur la carte, de les classer et de recalculer leur quadrant. Le raisonnement écrit qui justifie chaque score est, lui, chiffré, et un simple nombre — une influence de 80, par exemple — est de toute façon bien moins révélateur que l'analyse rédigée, qui reste protégée. Ces catégories sont soit déjà publiques par nature, soit nécessaires au fonctionnement technique du service. Nous les énumérons ici, plutôt que d'évoquer le chiffrement en termes vagues, parce que nous considérons qu'une description honnête des frontières de la garantie fait partie de la garantie elle-même.

Comment cela fonctionne — en langage simple. Lorsqu'un utilisateur active le chiffrement de bout en bout, deux choses se produisent à l'intérieur de son navigateur, l'une et l'autre invisibles pour le serveur. Premièrement, une nouvelle clé maîtresse est générée localement : c'est elle qui chiffrera réellement le contenu de l'utilisateur. Deuxièmement, cette clé maîtresse est elle-même placée à l'intérieur d'une enveloppe scellée dont seule la mot de passe de connexion de l'utilisateur ouvre le verrou. Le serveur stocke l'enveloppe scellée, mais jamais la clé maîtresse en clair, et jamais le mot de passe. À chaque connexion, le mot de passe ouvre l'enveloppe localement dans le navigateur, la clé maîtresse est récupérée le temps de la session, et les champs chiffrés peuvent être lus ; lorsque l'utilisateur se déconnecte, tout retourne à l'intérieur de son enveloppe scellée côté serveur. CL ne détient jamais la clé maîtresse et ne peut pas la reconstituer : la garantie cryptographique est que ce qui est stocké sur nos serveurs, sous forme chiffrée, est par construction illisible pour nous.

Comment cela fonctionne — en termes techniques. Le schéma est zero-knowledge : les clés qui déchiffrent les données de l'utilisateur ne quittent jamais son appareil et ne sont pas stockées sur le serveur sous une forme exploitable. Plus précisément :

Dérivation de clé. Une première clé est dérivée dans le navigateur à partir du mot de passe de connexion de l'utilisateur au moyen de PBKDF2-HMAC-SHA256 avec 600 000 itérations (conformément aux recommandations actuelles de l'OWASP) et d'un sel aléatoire de 16 octets généré à l'activation. Le sel est stocké côté serveur (il n'est pas secret) ; le mot de passe lui-même, et la clé qui en est dérivée, ne le sont pas.
Conception à deux clés (key-wrapping). La clé dérivée du mot de passe n'est pas utilisée directement pour chiffrer les données de l'utilisateur. Elle sert plutôt à protéger une clé maîtresse distincte, générée aléatoirement, qui est la clé qui chiffre réellement le contenu de l'utilisateur. Seule la clé maîtresse, sous sa forme protégée (« encapsulée »), est stockée sur le serveur. Cette conception à deux clés est la même approche que celle utilisée par les applications zero-knowledge réputées (gestionnaires de mots de passe professionnels, messageries chiffrées de bout en bout). Elle a une conséquence pratique importante, décrite au paragraphe suivant : elle permet aux utilisateurs de changer leur mot de passe de connexion sans rechiffrer aucune de leurs données stockées.
Chiffrement authentifié. Les données utilisateur sont chiffrées avec AES-256-GCM, un nonce de 96 bits tiré d'une source aléatoire cryptographiquement sûre pour chaque écriture, et un tag d'authentification vérifié à la lecture. Le même algorithme protège la clé maîtresse à l'intérieur de son enveloppe.
Format de stockage. Les contenus chiffrés sont stockés sous forme de chaînes encodées en base64url préfixées d'une courte balise de version, de sorte que le serveur puisse distinguer les champs chiffrés des champs en clair sans jamais pouvoir les déchiffrer.
Prérequis navigateur. La fonctionnalité utilise l'API standard Web Crypto disponible dans tous les navigateurs modernes via HTTPS. Elle ne dépend d'aucun service externe ni d'aucune bibliothèque tierce.

Ce que cela signifie au quotidien. La conception à deux clés présente un bénéfice direct et concret pour les utilisateurs :

Changer son mot de passe est sûr et instantané. Au moyen du flux normal Changer le mot de passe (qui requiert le mot de passe actuel), la clé maîtresse est brièvement récupérée avec le mot de passe actuel et immédiatement re-protégée avec le nouveau. Les données stockées de l'utilisateur ne sont jamais rechiffrées, jamais retransmises, et il n'y a aucun risque de perte d'accès — c'est structurellement identique à ce qui se passe dans un gestionnaire de mots de passe professionnel.
Oublier son mot de passe est, en revanche, irréversible pour les données chiffrées. Si le mot de passe est oublié, l'enveloppe qui protège la clé maîtresse ne peut être ouverte par personne — ni par CL, ni par l'utilisateur. Le flux Mot de passe oublié peut réinitialiser le mot de passe, mais ne peut pas récupérer la clé maîtresse, et les champs chiffrés existants deviennent dès lors définitivement illisibles. Ce compromis est le prix de l'architecture zero-knowledge et c'est la raison pour laquelle la fonctionnalité est strictement opt-in. Les utilisateurs qui activent le chiffrement de bout en bout sont vivement encouragés à conserver leur mot de passe dans un gestionnaire de mots de passe et à en garder au moins une sauvegarde sécurisée.

Conséquences pour CL. La clé qui protège la clé maîtresse étant dérivée du mot de passe de l'utilisateur et ne quittant jamais son navigateur, CL Corporate Affairs Consulting et ses administrateurs ne peuvent pas, par construction, lire les champs chiffrés d'un compte sur lequel le chiffrement de bout en bout est activé. Cette propriété est imposée techniquement, et non simplement contractuellement, et s'applique même face à une enquête interne, à un incident de sécurité ou à une réquisition judiciaire : CL ne détient pas la clé, ne peut pas la reconstituer et ne peut pas être contrainte de produire le contenu en clair des champs chiffrés. Cette limite s'applique également à CL elle-même et est assumée comme une conséquence délibérée de l'architecture zero-knowledge (voir également section 11 des Conditions générales).

Les champs qui ne sont pas chiffrés restent techniquement accessibles aux opérateurs CL. En l'absence de chiffrement de bout en bout, cela inclut le contenu des notes, de la cartographie des parties prenantes, des positions attribuées, des commentaires privés et de tout autre contenu rédigé par l'utilisateur. La non-consultation de ces champs par CL est régie exclusivement par l'engagement contractuel énoncé à la section 11 des Conditions générales et n'est pas, en l'absence de chiffrement de bout en bout, garantie par une impossibilité technique. Nous estimons que cette distinction doit être énoncée explicitement : elle marque la différence entre une garantie que nous nous engageons à honorer et une garantie que la plateforme impose elle-même.

Même lorsque le chiffrement de bout en bout est activé, certaines métadonnées d'exploitation demeurent techniquement visibles aux opérateurs CL, en conséquence inéluctable de l'exploitation d'un service web. Ces métadonnées ne permettent pas la reconstitution du contenu chiffré, mais peuvent permettre d'inférer certaines caractéristiques d'usage :

Volume approximatif de données — le nombre de lignes chiffrées stockées dans chacune des tables personnelles de l'utilisateur est visible côté serveur (par exemple, qu'un utilisateur suit 47 dossiers ou possède 312 entrées de journal d'engagement), sans que le contenu lui-même ne soit lisible ;
Horodatages d'activité — les connexions, écritures et lectures sont horodatées à des fins d'audit ;
Adresse IP — requise par le protocole TCP/IP, permettant d'inférer une localisation géographique approximative ;
Schémas d'activité corrélés — si plusieurs utilisateurs modifient des enregistrements liés à des moments proches, une relation de collaboration peut être inférée.

Ces métadonnées structurelles relèvent du même engagement contractuel de non-consultation que toute autre donnée non chiffrée (section 11 des Conditions générales). CL Corporate Affairs Consulting s'engage à ne pas les exploiter à d'autres fins que la supervision technique du service (surveillance de sécurité, débogage, planification de capacité). Nous les documentons ici, plutôt que de les omettre, parce que la crédibilité de la garantie globale dépend d'une description transparente de ses frontières.

À l'inverse, les champs qui ont été chiffrés au titre du chiffrement de bout en bout ne peuvent être lus par personne d'autre que l'utilisateur, y compris par CL elle-même. Il s'agit d'une propriété de la conception cryptographique, et non d'une promesse contractuelle : la clé de déchiffrement est dérivée du mot de passe de l'utilisateur à l'intérieur de son propre navigateur et ne quitte jamais l'appareil de l'utilisateur. CL ne détient pas la clé, ne peut pas la reconstituer et ne peut pas être contrainte de produire le contenu en clair des champs chiffrés — ni en réponse à une réquisition judiciaire, ni dans le cadre d'une enquête de sécurité, ni à la demande d'un tiers qui obtiendrait l'accès aux serveurs. Cette limite s'applique également à CL Corporate Affairs Consulting et est assumée comme une conséquence délibérée de l'architecture zero-knowledge.

10.2 Séparation entre la plateforme Compass et la pratique de conseil de CL Corporate Affairs

CL Corporate Affairs Consulting exerce deux activités distinctes au sein d’une même entité juridique : l’édition de Compass et une pratique de conseil en affaires publiques. Ce double rôle peut, dans certains cas, créer un risque de conflit d’intérêts auquel répondent déjà l’engagement contractuel de non-consultation (section 11 des Conditions générales) et le chiffrement de bout en bout optionnel (section 10.1). Les dispositions qui suivent complètent ce cadre par des engagements pratiques qui ne requièrent, pour être tenus, aucun dispositif formel de conformité.

(a) Non-réutilisation des données utilisateurs dans les missions de conseil de CL. CL Corporate Affairs Consulting s’engage à ne jamais utiliser, dans ses propres missions de conseil, la moindre donnée, analyse, position, cartographie, commentaire, projet d’amendement, liste de veille ou information saisis par un utilisateur de Compass — que le chiffrement de bout en bout soit activé ou non. Cet engagement couvre l’identité des dossiers suivis par l’utilisateur, la substance de son travail analytique, et jusqu’au simple fait qu’il s’intéresse à un sujet donné. Lorsque le chiffrement de bout en bout est activé, l’engagement est en outre garanti par une impossibilité cryptographique (section 10.1).

(b) Taxonomie des données en trois catégories. Compass traite trois catégories distinctes de données, chacune dotée de son propre régime de protection :

Données de référence publiques — députés européens, commissaires, agents du Conseil et de la Commission, Registre de transparence de l’UE, calendriers institutionnels ; issues des bases officielles de l’UE et partagées entre tous les utilisateurs ; jamais chiffrées dans aucune configuration (la donnée est par nature publique).
Données de compte — prénom, nom, e-mail, téléphone, organisation. Nécessaires à l’authentification et aux notifications ; stockées en clair ; protégées par le socle RGPD et par l’engagement contractuel de non-consultation ; non concernées par le chiffrement de bout en bout (qui empêcherait la connexion et la prise de contact).
Contenus analytiques rédigés par l’utilisateur — dossiers suivis, cartographie des parties prenantes, positions, notes, journal d’engagement, projets d’amendements, observations internes, mots-clés de veille. Lorsque le chiffrement de bout en bout est désactivé (par défaut), stockés en clair côté serveur ; la protection repose alors sur l’engagement contractuel de non-consultation et sur le point (a) ci-dessus. Lorsque le chiffrement de bout en bout est activé (sur opt-in), chiffrés dans le navigateur avant stockage à l’aide d’une clé dérivée du mot de passe utilisateur ; CL ne peut, par construction, en lire le contenu.

(c) Politique des droits d’accès. L’accès à la base de données de production est strictement limité aux fonctions techniques nécessaires à l’exploitation du service, et toute action privilégiée est consignée dans la piste d’audit mentionnée à la section 10. La plateforme tourne sur un serveur privé situé en UE et physiquement contrôlé par CL Corporate Affairs — sans recours à un fournisseur cloud public ni à un tiers ayant accès aux contenus utilisateurs. Le cloisonnement entre comptes est assuré au niveau applicatif par des requêtes scopées par utilisateur, et renforcé — pour les comptes ayant activé le chiffrement de bout en bout — par des enveloppes de chiffrement par utilisateur : aucun utilisateur ne peut accéder aux contenus analytiques d’un autre.

(d) Engagement de confidentialité renforcé. Au-delà du RGPD, CL Corporate Affairs Consulting aligne volontairement sa pratique sur les standards de confidentialité professionnelle applicables aux praticiens des affaires publiques : le Code de conduite du Registre de transparence de l’UE annexé à l’Accord interinstitutionnel de 2021 entre le Parlement, le Conseil et la Commission (en particulier ses dispositions sur l’obtention, le traitement et la diffusion honnêtes de l’information européenne) ; les valeurs d’intégrité, transparence, exactitude et confidentialité énoncées par le Code de conduite de la SEAP (Society of European Affairs Professionals) ; et les standards déontologiques de la Haute Autorité pour la transparence de la vie publique (HATVP) pour les représentants d’intérêts déclarés — notamment l’interdiction d’obtenir des informations par des moyens frauduleux et de vendre des informations obtenues auprès de responsables publics. Au moment d’accepter une nouvelle mission de conseil, CL Corporate Affairs vérifie de bonne foi qu’il n’existe pas de recoupement manifeste avec l’activité connue d’un utilisateur de Compass, et décline la mission si tel est le cas.

(e) Procédure simple de signalement, dans les deux sens.

De l’utilisateur vers CL. Un utilisateur de Compass qui a des raisons de penser qu’une mission de conseil de CL pourrait recouper son propre travail de manière conflictuelle peut le signaler via le formulaire de contact. CL s’engage à examiner le signalement de bonne foi et, lorsqu’un recoupement avéré est identifié, à suspendre la mission de conseil concernée et à confirmer à l’utilisateur la résolution de la situation. Le chiffrement de bout en bout atténue substantiellement ce risque à la source : lorsqu’il est activé, CL n’a aucun moyen technique de seulement remarquer un tel recoupement.
De CL vers elle-même. Symétriquement, lorsque CL identifie via sa propre pratique de conseil qu’une mission potentielle recoupe l’activité connue d’un utilisateur de Compass (dans la mesure limitée où cela est techniquement détectable, et seulement lorsque le chiffrement est désactivé), CL s’engage à décliner la mission avant tout commencement de travail — sans divulguer l’identité de l’utilisateur au prospect.
Les recours externes restent disponibles, indépendamment de CL. Toute personne conserve les recours qui existent déjà pour elle en droit français et européen : la CNIL (cnil.fr) pour les questions de protection des données, la HATVP (hatvp.fr) pour les questions relevant du cadre de transparence du lobbying, ou les autorités judiciaires compétentes en cas de soupçon d’infraction pénale. Il ne s’agit pas de canaux désignés par CL : ils existent par eux-mêmes et CL se borne à rappeler leur disponibilité à toute personne qui souhaiterait y recourir.
Absence de représailles. CL Corporate Affairs s’engage à ne prendre aucune mesure de représailles contre un utilisateur de Compass qui signale de bonne foi un conflit ou un manquement présumé — ce qui inclut l’absence de résiliation de l’abonnement, l’absence de dégradation du service, et l’absence de divulgation de son identité à des tiers au-delà de ce qui est strictement nécessaire à l’examen du signalement.

Chaque signalement est pris au sérieux. Tout signalement reçu — d’un utilisateur, de CL elle-même ou d’un tiers — est examiné avec diligence éthique et juridique. Nous tenons ce traitement comme une condition même de la crédibilité de la plateforme et de son éditeur, et non comme une courtoisie facultative : dans une profession où la discrétion fait partie du livrable, un outil qui prendrait à la légère des signalements de conflit d’intérêts perdrait ce qui justifie son usage.

11. Durée de conservation des données

Données de compte utilisateur : conservées pour la durée du compte. Supprimées lors de la suppression du compte ou sur demande.
Comptes désactivés et supprimés : lorsqu'un compte est désactivé (par son titulaire) ou supprimé (par un administrateur), la connexion est bloquée immédiatement. Un compte supprimé par un administrateur est ensuite conservé dans un état gelé et restaurable pendant 30 jours ; durant cette fenêtre, il peut être intégralement restauré. Passé ce délai, le compte et l'ensemble du contenu créé sous celui-ci sont purgés de la base de données de manière définitive et irréversible (les entrées du journal d'audit de sécurité sont conservées séparément, aux fins de sécurité légitimes décrites à la section 10). Avant suppression, les titulaires de compte peuvent obtenir une copie complète de leur propre contenu — y compris le contenu chiffré de bout en bout — via l'export en libre-service décrit à la section 13.
Données de référence (institutionnelles, issues des bases de données officielles de l'UE) : mises à jour périodiquement, conservées tant que la plateforme est en exploitation. Les entrées obsolètes sont écrasées lors de l'actualisation.
Données de cartographie et de positions des parties prenantes : conservées pour la durée de la mission ou du projet, plus 1 an en base active. Peuvent être archivées jusqu'à 6 ans à des fins administratives et probatoires, conformément aux durées de conservation professionnelles standard pour les missions de conseil en droit commercial français.
Notes internes et comptes-rendus d'engagement : conservés pour la durée de la mission, puis archivés jusqu'à 6 ans. L'utilisateur peut supprimer ses propres notes à tout moment.

12. Destinataires des données

Les données à caractère personnel traitées au sein de Compass ne sont accessibles qu'aux utilisateurs autorisés de la plateforme. Chaque utilisateur n'accède qu'aux données pertinentes pour sa propre activité. Les notes internes et comptes-rendus d'engagement ne sont visibles que par l'utilisateur qui les a créés.

Aucune donnée n'est partagée avec des tiers, sauf :

Lorsque la loi l'exige (autorités judiciaires, policières ou administratives) ;
Avec un client de CL Corporate Affairs Consulting, lorsque le partage de données est strictement nécessaire à l'exécution d'une mission de conseil et défini contractuellement ;
Avec Mistral AI, uniquement lorsque l’utilisateur a explicitement activé l’option API commerciale de Mistral décrite à la section 9.2. Aucune donnée n’est transmise à un service d’IA lorsque l’utilisateur exécute Ollama en local (section 9.1) ou lorsqu’aucune IA n’est activée (état par défaut).

13. Vos droits

Le RGPD confère des droits spécifiques aux personnes dont les données à caractère personnel sont traitées. Au sein de Compass, ces droits s'exercent différemment selon la catégorie de personne concernée :

Les utilisateurs de la plateforme (titulaires de comptes) peuvent à tout moment :

Accéder aux données de leur compte et obtenir des informations sur leur traitement ;
Rectifier les données de compte inexactes ou incomplètes ;
Supprimer leur compte et toutes les données associées ;
Changer leur mot de passe depuis le tableau de bord ;
Exporter leur propre contenu — y compris le contenu chiffré de bout en bout — via un export dédié en libre-service dans Gérer mon compte, accessible au seul titulaire du compte. Le contenu chiffré ne pouvant être déchiffré qu'avec le mot de passe de l'utilisateur, au sein de son propre navigateur, l'export est généré côté client pendant que l'utilisateur est connecté et déverrouillé ; CL n'a jamais accès au contenu déchiffré, et l'export comprend donc des éléments qui sont, par construction, illisibles pour CL (portabilité des données, article 20 du RGPD). Dans un compte d'organisation collaboratif, chaque membre exporte le contenu qu'il a personnellement rédigé ; les données à l'échelle de l'organisation sont gérées par le gestionnaire de compte.

Les personnes référencées en tant que parties prenantes (personnalités publiques, acteurs institutionnels) dont les données publiquement accessibles sont traitées dans Compass peuvent :

Accéder aux données détenues à leur sujet et obtenir des informations sur les finalités du traitement ;
Rectifier les données inexactes ;
S'opposer au traitement fondé sur l'intérêt légitime (article 21 du RGPD), auquel cas le responsable de traitement appréciera si des motifs légitimes impérieux prévalent sur l'opposition ;
Demander l'effacement de leurs données, sous réserve d'un intérêt légitime impérieux ou d'une obligation légale.

À qui s'adresser : les demandes relatives aux données de compte utilisateur doivent être adressées à CL Corporate Affairs Consulting. Lorsqu'un utilisateur tiers agit en qualité de responsable de traitement pour des données de parties prenantes qu'il a saisies, les demandes des parties prenantes relatives à ces données doivent être adressées à l'utilisateur concerné (responsable de traitement). CL Corporate Affairs Consulting assistera, le cas échéant, l'acheminement de ces demandes.

Pour exercer l'un quelconque de ces droits, veuillez nous contacter via notre formulaire de contact. Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr) ou de toute autorité de contrôle compétente.

14. Cookies

Compass utilise un unique cookie fonctionnel de session (HTTP-only, SameSite=Strict) requis pour l'authentification. Ce cookie ne collecte aucune donnée à caractère personnel au-delà de l'identifiant de session, n'effectue aucun traçage entre sites et expire au bout de 7 jours. Aucun cookie de traçage, de profilage ou publicitaire n'est utilisé. Aucun outil de mesure d'audience n'est déployé sur la plateforme Compass.

15. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter des évolutions des fonctionnalités de la plateforme, de la législation applicable ou des lignes directrices réglementaires. Les modifications sont publiées sur cette page avec une date de mise à jour. Lorsque des modifications affectent de manière substantielle le traitement des données à caractère personnel, les utilisateurs en sont informés à leur connexion suivante.