ÉPISODE 2 : DONNÉES PERSONELLES ET PRÉSIDENTIELLES
Le Cabinet UGGC Avocats se propose de décrypter la campagne présidentielle sous le prisme de la propriété intellectuelle et des données personnelles, à raison d’un épisode, tous les 15 jours.
2ème épisode : Données personnelles et présidentielles
Pour le deuxième épisode de sa série consacrée aux élections présidentielles, l’équipe propriété intellectuelle du Cabinet UGGC Avocats revient sur le lancement, par la CNIL, d’un « Observatoire des élections » qui s’adresse à la fois, aux responsables de traitement de données à caractère personnel (à savoir les partis politiques et leurs candidats) ; et aux personnes concernées par ces traitements (à savoir, les électeurs)[1].
Dans un contexte électoral, les données personnelles sont en effet susceptibles de révéler l’opinion politique des personnes concernées et d’être qualifiées, à ce titre, de données sensibles[2]donnant lieu à l’application de règles plus strictes.
Le traitement des données sensibles est en principe interdit[3], sauf exceptions notamment lorsque :
- « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques (…) ;
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées[4] ».(soulignements ajoutés)
L’actualité de ces derniers mois nous offre quelques exemples de violation de la disposition précitée.
Le premier concerne l’ancien vice-président d’un parti politique qui aurait détourné un fichier d’adhérents à des fins de prospection électorale pour promouvoir le candidat d’un autre parti politique qu’il venait juste de rejoindre.
De nombreux adhérents auraient en effet reçu un courrier électronique à l’adresse de contact qu’ils avaient fournie au moment de leur adhésion au parti politique et dans lequel ils ont été invités à voter pour un autre candidat que celui investi par le parti dont ils sont adhérents.
Le président du parti politique concerné a indiqué avoir saisi la CNIL, en conséquence[5]. Il aurait précisé, à cette occasion, que « seuls les cadres du mouvement ont un accès, personnel et sécurisé, à cette base de données »[6].
A notre connaissance, la CNIL n’a pas communiqué publiquement sur cette saisine, et a priori, aucune sanction n’a encore été prononcée à l’encontre de l’ancien vice-président du parti politique.
Néanmoins, en l’état des informations disponibles et sans préjuger des éventuelles sanctions prononcées par la CNIL, on rappellera qu’en vertu du RGPD, le traitement de données personnelles n’est licite que s’il respecte les finalités auxquelles les personnes concernées ont consenti[7] ; en particulier s’agissant de données sensibles[8].
En l’espèce, les données des adhérents du parti politique ont été collectées au moment de leur inscription et sont utilisées pour des opérations de communication, pour la gestion et les relations du parti avec ses adhérents[9].
Ces données peuvent, être qualifiées, de données sensibles, dans la mesure où, elles permettent au moins indirectement de révéler l’opinion politique des personnes concernées.
Dès lors, le fichier des adhérents au parti politique ne pouvait, en toute hypothèse, être utilisé à des fins de prospection électorale pour un autre candidat que celui investi par le dit parti (qui plus est par une personne devenue extérieure au parti) , en l’absence de consentement des adhérents.
Ce faisant, l’utilisation du fichier d’adhérents à des fins de prospection électorale pour un autre candidat que celui investi par le parti ne semble pas autorisé et contraire au RGPD.
La CNIL pourrait donc être amenée à prononcer une amende administrative à l’encontre de l’ancien vice-président du parti politique.
On rappellera par ailleurs que le détournement de la finalité du traitement d’un fichier est une infraction pénale punie de 5 ans d’emprisonnement et de 300 000 euros d’amende[10].
Un second exemple problématique de traitement de données sensibles peut également être mentionné.
C’est celui réalisé dans le cadre du service proposé par l’application Elyze – laquelle consiste à proposer à ses utilisateurs de trouver le candidat qui leur correspond le mieux, sur la base des informations qu’ils ont renseignées au moment de leur inscription et de leurs réponses à des questions sur des sujets de société [11].
Dans la première version de l’application, chaque utilisateur était invité à fournir les informations suivantes : date de naissance, genre, code postal, ainsi que les opinions politiques de l’utilisateur, lesquelles constituent des données sensibles au sens de l’article 9 RGPD.
La CNIL a été saisie par plusieurs utilisateurs, au motif que l’application ne présentait pas suffisamment de garanties au regard de la nature des données personnelles collectées et traitées.
Toutefois, à notre connaissance, la CNIL n’a pas prononcé de sanctions – vraisemblablement en raison du fait que, dans sa version actuelle, le fonctionnement de l’application présente moins de risques de contrariétés avec le RGPD que la version précédente : l’application ne conserve plus les données personnelles de ses utilisateurs ; la base de données a été effacée ; et il n’existe plus de formulaire de collecte préalablement à l’utilisation de l’application[12].
Pour prévenir les comportements précités et permettre aux électeurs d’exercer leurs droits, la CNIL a adressé des courriers aux partis politiques et aux candidats officiellement déclarés afin de les sensibiliser aux enjeux de la protection des données personnelles, notamment dans le cadre d’opération de communication et de prospection électorale[13].
La CNIL a également mis à disposition des électeurs :
- Une synthèse de leurs droits au titre du RGPD, en rappelant notamment qu’ils disposent du droit de s’opposer à l’utilisation de leurs données personnelles à des fins de prospection électorale [14] ;
- Une plateforme de signalement des pratiques que les personnes concernées considèreraient comme contraire au RGPD[15].
On rappellera toutefois qu’un signalement n’est pas équivalent à une plainte. En effet, il ne fait pas l’objet d’une instruction individuelle. Il permet uniquement à la CNIL de suivre et d’identifier les problématiques relatives à la protection des données personnelles des électeurs pour mener des contrôles auprès des entités signalées.
Sur la base de ces contrôles et en cas de manquement avéré, la CNIL peut mettre en demeure un parti politique ou un candidat de se mettre en conformité avec la règlementation en vigueur ou prononcer des sanctions[16].
Ces sanctions peuvent être rendues publiques, ce qui peut porter atteinte à l’image d’un parti politique ou de son candidat et faire baisser, en dernier lieu, sa cote de popularité.
Prochain épisode, dans 15 jours ….
L’équipe propriété intellectuelle du Cabinet UGGC Avocats
Mots-clefs : données personnelles, campagne présidentielle, données sensibles, électeurs, partis politiques, candidat, opinion politique, prospection, stratégie électorale.
[1] CNIL, Présidentielle 2022 : le plan d’action de la CNIL pour protéger les données des électeurs, 16 février 2022, https://www.cnil.fr/fr/presidentielle-2022-le-plan-daction-de-la-cnil-pour-proteger-les-donnees-des-electeurs.
[2] Article 9-1 du RGPD.
[3] Précité.
[4] Article 9 du RGPD.
[5] « Christian Jacob saisit la CNIL après l’envoi par Guillaume Peltier d’un courriel aux adhérents des Républicains »
, Le Monde, 13 janvier 2022, https://www.lemonde.fr/politique/article/2022/01/13/christian-jacob-saisit-la-cnil-apres-l-envoi-par-guillaume-peltier-d-un-courriel-aux-adherents-des-republicains_6109330_823448.html
[6]G. Philipps, Elyze, le Tinder de la présidentielle, et la gestion des données personnelles politiques, France culture, 21/01/2022, https://www.franceculture.fr/numerique/elyze-le-tinder-de-la-presidentielle-et-la-gestion-des-donnees-personnelles-politiques.
[7] Article 6-1-a du RGPD.
[8] Article 9-2-d du RGPD.
[9][9] Article 4 des mentions légales du parti « Les Républicains » accessibles à l’adresse suivante : https://republicains.fr/mentions-legales/.
[10] Article 226-21 du code pénal
[11]G. Philipps, Elyze, le Tinder de la présidentielle, et la gestion des données personnelles politiques, France culture, 21/01/2022, https://www.franceculture.fr/numerique/elyze-le-tinder-de-la-presidentielle-et-la-gestion-des-donnees-personnelles-politiques.
[12] Précité.
[13] Voir notamment CNIL, Quels fichiers peuvent-être utilisés à des fins de communication politique ? , 27 novembre 2019, https://www.cnil.fr/fr/quels-fichiers-peuvent-etre-utilises-des-fins-de-communication-politique.
[14]CNIL, Les droits des électeurs, 27 novembre 2019, https://www.cnil.fr/fr/les-droits-des-electeurs
[15] Pour accéder à la plateforme de signalement, suivre le lien suivant : https://demarche.services.cnil.fr/signalement-elections/.
[16] Article 83-5 du RGPD : en vertu du RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.