En vue des élections législatives qui auront lieu le 14 octobre 2018, la Commission nationale pour la protection des données (CNPD) entend rappeler et préciser les dispositions applicables en matière de prospection politique en période électorale, en particulier les conditions d’utilisation des données issues des listes électorales, à la lumière de l’entrée en application, depuis le 25 mai 2018, du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (règlement général sur la protection des données (« RGPD »)).
L’article 20 alinéa (3) de la loi électorale du 18 février 2003 prévoit que « [t]out citoyen peut […] demander par écrit une copie des listes [électorales] actualisées […]. Les données des citoyens contenues dans les listes ne peuvent pas être utilisées à des fins autres qu’électorales ». Les données contenues dans ces listes comprennent le nom, prénoms, domicile, le lieu et la date de naissance des électeurs, et le cas échéant, la nationalité et le nom et prénoms du conjoint (article 13 et 14 de la loi électorale). Certains partis politiques luxembourgeois ont fait usage de ce droit et ont utilisé les données issues de ces listes à des fins de prospection politique pendant les précédentes périodes électorales.
Dans ce contexte, la CNPD précise que l’établissement de la liste des réclamations et des listes électorales constitue un traitement de données à caractère personnel au sens de l’article 4 point (2) du RGPD. Ce traitement est mis en œuvre par le collège des bourgmestres et échevins, qui répond donc à la définition de responsable de traitement au sens de l’article 4 point (4) du RGPD.
La loi détermine la finalité du traitement au sens de l’article 5 paragraphe (1) lettre (b) du RGPD en ce que les listes électorales ne peuvent être utilisées qu’à des fins électorales, c’est-à-dire en premier lieu la constatation de la qualité d’électeur des personnes physiques remplissant les conditions reprises dans le Titre I de la loi électorale. Les données des listes électorales peuvent également être utilisées pour des fins de prospection politique pendant les périodes électorales par des partis politiques. Il convient de rappeler à cet endroit que l’article 32bis de la Constitution réserve aux partis politiques un rôle particulier dans le contexte électoral, en reconnaissant qu’ils « concourent à la formation de la volonté populaire et à l’expression du suffrage universel ».
La CNPD ne met pas en doute la licéité de la finalité de la prospection des électeurs inscrits, notamment pour leur adresser les programmes politiques, dans les limites de la finalité électorale posée par l’article 20 de la loi électorale. L’article 5 du RGPD érige la finalité d’un traitement de données en un principe essentiel dans le domaine de la protection des données en ce que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. Les données à caractère personnel des listes électorales doivent être utilisées loyalement et licitement et ne doivent pas être traitées ultérieurement de manière incompatible avec leur finalité électorale, p.ex. ne doivent pas faire l’objet d’une quelconque utilisation – par exemple commerciale – incompatible avec la finalité électorale.
Si les candidats et leurs partis politiques ont bien évidemment un souci légitime d’approcher les électeurs et de leur exposer leurs programmes dans le cadre de leur campagne électorale, il convient de rappeler qu’ils ne doivent pas utiliser à cette fin des fichiers qu’ils se seraient procurés en dehors de toute base légale ou réglementaire auprès d’organismes ou institutions publics. Notamment, les associations à but non lucratif ne doivent communiquer la liste de leurs membres à des tiers sans le consentement des personnes concernées. La CNPD rappelle par ailleurs qu’une prospection politique par téléphone ou courrier électronique (ou tout autre moyen de communication électronique) ne peut se faire qu’en cas d’accord des personnes contactées.
En matière de prospection politique par l’envoi de courriers postaux sur base de données non collectées directement auprès des personnes concernées, la CNPD rappelle que, au titre de l’obligation d’information découlant de l’article 14 RGPD, les partis politiques doivent fournir, au plus tard au moment de la première communication, c’est-à-dire dans le courrier de prospection ou en annexe, les informations suivantes aux personnes concernées :
- l’identité et les coordonnées du responsable du traitement (le parti politique ou la section locale ou régionale du parti politique),
- l’origine des données traitées (les listes électorales sur la base de l’article 20 de la loi électorale du 18 février 2003),
- la finalité du traitement de données (la prospection politique dans le cadre de l’élection),
- la durée de conservation (l’effacement des données dans un délai raisonnable après les élections),
- l’existence des droits des citoyens en matière de protection des données (leur droit d’accès aux données, leur droit de rectification et d’effacement des données, leur droit de s’opposer au traitement de leur données à des fins de prospection électorale et leur droit d’introduire une réclamation auprès de la CNPD),
- les moyens de contact pour exercer leurs droits (adresse postale, lien vers un site internet et adresse électronique).
La CNPD souligne que les données issues des listes électorales ne peuvent pas être utilisées à d’autres fins, en dehors du cadre des élections pour lesquelles ces listes sont établies. Par conséquent, une utilisation ultérieure pour une autre finalité n’est pas compatible avec le RGPD, et les partis politiques sont invités à prévoir une durée de conservation proportionnée à la finalité recherchée. Toutefois, les partis politiques devront veiller à garantir que les citoyens ayant fait usage de leur droit d’opposition ne soient plus contactés lors d’élections communales, européennes ou législatives futures.
Par ailleurs, la CNPD souhaite attirer l’attention, plus généralement, sur les obligations qui pèsent sur tout responsable de traitement des données. Les partis politiques devront veiller à respecter les principes généraux en matière de protection des données, dont les principes de loyauté, de transparence et de minimisation des données. Ils devront sécuriser de façon adéquate les données traitées et vérifier l’exactitude des données, ainsi qu’établir une documentation adéquate des traitements de données effectués. Finalement, il y a lieu d’éviter un profilage excessif des citoyens qui serait disproportionné par rapport à la finalité électorale notamment par le rapprochement des listes électorales avec des données des électeurs provenant d'autres fichiers. La CNPD ne conteste pas la possibilité d’effectuer des opérations de tri et de sélection sur les listes, en fonction de l’âge ou de l’adresse des électeurs. Néanmoins, la CNPD met en garde contre des tris pouvant cibler des personnes sur base de leurs origines réelles ou supposées, notamment par la consonance des noms ou le lieu de naissance. La CNPD rappelle qu’il est pénalement répréhensible de discriminer des personnes, notamment sur base de distinctions fondées sur l’origine, le genre ou l’appartenance ou la non-appartenance, vraie ou supposée, à une ethnie, une nation, une race ou une religion déterminée.