chronique

Les partis politiques rappelés à l'ordre en matière de protection des données

Partis et candidats politiques sont tentés de puiser dans les sources publiques ou privées accessibles des données personnelles leur permettant de mieux profiler et cibler les citoyens susceptibles de voter en leur faveur, particulièrement sur les réseaux sociaux.

Par Thierry Léonard et Bojana Salovic
Cabinet Ulys

Avez-vous remarqué? La campagne électorale bat son plein… Partis et candidats politiques sont tentés de puiser dans les sources publiques ou privées accessibles des données personnelles leur permettant de mieux profiler et cibler les citoyens susceptibles de voter en leur faveur, particulièrement sur les réseaux sociaux. Des outils prédictifs peuvent être utilisés à partir des traces laissées sur la toile ou ailleurs pour en déduire les affinités politiques profondes de chacun, informations ô combien précieuses, mises ensuite à disposition des plus offrants.

L’affaire Cambridge Analytica a montré comment le non-respect des règles de protection des données pouvait, en outre, mener à la manipulation.

Rappel à l’ordre

©Shutterstock

Sur la base de ces constats, le Comité Européen de la Protection des Données (CEPD), qui rassemble les autorités nationales de protection des données, a récemment publié un rappel à l’ordre à destination de tous les intervenants potentiels dans les traitements de données à des fins électorales et politiques: partis politiques et candidats, bien entendu, mais aussi réseaux sociaux, groupes d’intérêts, courtiers en données etc.

Le Comité rappelle les principes de protection applicables issus du Règlement général sur la protection des données (ci-après RGPD).

Les données à caractère personnel qui révèlent des opinions politiques font partie des données dites « sensibles », pour lesquelles le traitement est en général interdit, sauf exceptions.

Tout d’abord, les données à caractère personnel qui révèlent des opinions politiques font partie des données dites "sensibles", pour lesquelles le traitement est en général interdit, sauf exceptions.

Le consentement de la personne concernée ou le caractère manifestement public des données en font partie mais sont soumis à des conditions strictes. En toute hypothèse, les données, sensibles ou non, qui sont collectées au départ des réseaux sociaux sont protégées par le RGPD.

Le Comité rappelle qu’un ciblage automatisé des électeurs pourrait être considéré comme une véritable décision automatisée susceptible, par l’impact potentiel sur leur vote, de les affecter de manière significative. Il ne peut dès lors en principe être licite qu’avec le consentement explicite de la personne concernée.

Une information spécifique et adéquate doit aussi être fournie préalablement à l’électeur à qui on reconnaît toute une série de droits de contrôle (accès, effacement, retrait du consentement etc.).

Bien entendu, toutes les autres obligations sont d’application, notamment celles relatives à la prise de mesures de sécurité adéquates et de confidentialité.

Le Comité annonce que les autorités nationales vont contrôler et si nécessaire faire appliquer les principes de protection des données dans le contexte des élections et des campagnes politiques actuelles.

Le cas 5 Stelle

©BELGAIMAGE

Gentil mais pas très efficace, nous direz-vous. Cela reste à voir. Le 9 avril 2019, l’Autorité de contrôle italienne en matière de protection des données a infligé une amende de 50.000€ à une association dépendante du parti politique Movimento 5 Stelle qui avait développé une plateforme online avec un système de vote en ligne pour les adhérents, leur permettant d’exprimer leurs choix politiques sur des questions données, leurs préférences pour des candidats, etc.

Le système présentait en effet d’importantes failles de sécurité et l’intégrité des données n’était pas garantie: ainsi, le vote en ligne émis par un adhérent pouvait être modifié sans qu’une trace de la modification soit présente dans le système. L’association a donc été condamnée, entre autres, pour manquement à l’article 32 du GDPR, qui prévoit l’obligation de mise en place de mesures de techniques et organisationnelles suffisantes afin de garantir la sécurité des données.

Le respect des règles en matière de protection des données est essentiel pour protéger la démocratie, particulièrement dans le contexte des activités électorales et campagnes politiques; c’est également un moyen de préserver la confiance des citoyens ainsi que l’intégrité des élections, rappelle le Comité.

Il est donc important que les partis politiques et les candidats s’y conforment. Alors, Mesdames et Messieurs les politiciens, il serait bon de ne pas oublier de respecter les principes de protection imposés au commun des citoyens à grands renforts de lois et règlements durant ces deux dernières années…

Lire également

Echo Connect