2. Quelques notions-clés

2.1. Un bref aperçu des obligations en matière de protection des données

La législation en matière de protection des données s’applique à tout traitement de données à caractère personnel quel que soit l’identité du responsable de traitement. A cet égard, il importe peu que ce dernier soit un parti politique reconnu en tant que tel, une association, un groupement de personnes physiques ou une personne physique. Par conséquent, si un candidat individuel traite des données en vue de leur utilisation à des fins de prospection électorale, les présentes lignes directrices sont pertinentes. Ce candidat ne peut en principe pas invoquer l’exception des « activités domestiques et personnelles » lorsqu’il traite des données personnelles pour le bénéfice de sa campagne électorale. En effet, même si le RGPD ne s’applique pas aux traitements de données effectués « dans le cadre d'une activité strictement personnelle ou domestique », cette exception doit être interprétée de manière restrictive selon la jurisprudence de la Cour de justice de l’Union européenne. Dès lors que le traitement de données effectués par un candidat dépasse son cercle familial et ses proches, le traitement est soumis au RGPD.

En application de l’article 5 du RGPD, les responsables de traitement doivent impérativement observer les principes découlant du RGPD pour tous leurs traitements de données, à savoir

  • le principe de licéité, loyauté et transparence (articles 5 paragraphe (1) lettre (a), 6 et 9 du RGPD),
  • le principe de limitation des finalités (article 5 paragraphe (1) lettre (b) du RGPD),
  • le principe de minimisation des données (article 5 paragraphe (1) lettre (c) du RGPD),
  • le principe d’exactitude (article 5 paragraphe (1) lettre (d) du RGPD),
  • le principe de limitation de la conservation (article 5 paragraphe (1) lettre (e) du RGPD),
  • le principe d’intégrité et de confidentialité des données (articles 5 paragraphe (1) lettre (f), 25 et 32 du RGPD), et
  • le principe de responsabilité (article 5 paragraphe (2) du RGPD).

Le principe de licéité (articles 5 paragraphe (1) lettre (a) et 6 du RGPD) impose aux responsables de traitement de choisir la base juridique appropriée au traitement (aussi pour les données déduites (« inferred data »)).[1] Lorsque le traitement de données englobe des données dites « sensibles », comme des données révélant des opinions politiques, les responsables de traitement doivent non seulement respecter les prescriptions de l’article 6 du RGPD, mais également les conditions spécifiques imposées par l’article 9 du RGPD encadrant les traitements de catégories particulières de données.

Le principe de limitation de la finalité (article 5 paragraphe (1) lettre (b) du RGPD) exige que les responsables de traitement identifient une finalité licite pour chaque traitement, en veillant à ce qu’un traitement ultérieur n’est uniquement possible pour une finalité compatible.

Le principe de transparence (articles 13 et 14 du RGPD) requiert que les personnes concernées soient informées de chaque finalité du traitement, quel que soit la source des données collectées par le responsable de traitement.

Les responsables de traitement doivent vérifier si les données reçues de tiers ont été obtenues de manière licite. De plus, ils doivent veiller à ce que la finalité initiale utilisée pour légitimer la collecte soit compatible avec les finalités poursuivies (article 5 paragraphe (1) lettre (b) du RGPD) et ils doivent s’assurer que, si la collecte initiale a été légitimée par le consentement, que les personnes concernées ont donné leur consentement éclairé également pour la finalité ultérieure (article 6 paragraphe (4) du RGPD).

En vertu du principe d’exactitude (article 5 paragraphe (1) lettre (d) du RGPD), les responsables de traitement doivent garantir l’exactitude des données, en particulier pour les données provenant de sources différentes et les données déduites. A cet égard, le principe de minimisation des données exige que les responsables de traitement suppriment les données lorsqu’elles ne sont plus nécessaires à la finalité initiale pour laquelle elles ont été collectées (article 5 paragraphe (1) lettre (c) du RGPD).

Parmi les mesures à prendre en application du principe d’intégrité et de confidentialité (article 32 du RGPD), les responsables de traitement doivent établir clairement qui a accès aux données[2]. Les partis politiques doivent veiller à ce que seules les personnes au sein d’un parti politique qui ont besoin pour l’exécution de tâches particulières aient accès aux données personnelles en cause.

Les responsables de traitement doivent prévoir des mesures de sécurité adéquates, c’est-à-dire s’assurer des mesures techniques et organisationnelles appropriées[3]. Parmi ces mesures techniques, il convient par exemple de sécuriser les listes utilisées pour la prospection électorale et de les conserver sur des supports suffisamment protégés contre des tentatives d’intrusion. Parmi les mesures de sécurité, il convient également de sensibiliser les personnes susceptibles d’exécuter les opérations de traitement.

Concrètement, il est recommandé de chiffrer les ordinateurs et supports qui contiennent des données personnelles ou confidentielles. De plus, il convient d’avoir des systèmes informatiques à jour, de se protéger des intrusions via des suites logicielles ad-hoc ou des équipements dédiés (pare-feux). Autant que possible l’authentification à double facteur doit être utilisée si disponible et les mots de passe doivent être complexes. Concernant l’utilisation de listes de diffusion par courriel, il est recommandé d’utiliser le champ « CCI » afin de garantir la confidentialité des adresses e-mail des destinataires. Il convient de cloisonner les fichiers de prospection lorsque les conditions relatives à leurs traitements diffèrent, c’est-à-dire qu’il y a par exemple différentes sources, conditions de licéité ou durées de conservation.

De plus, les responsables doivent recourir uniquement à des sous-traitants présentant des garanties suffisantes et démontrant des connaissances spécialisées, une fiabilité et des ressources appropriées (article 28 du RGPD). Les contrats conclus avec les sous-traitants doivent clarifier leurs obligations respectives.

En prévision d’une violation de données personnelles (telle que définie par l’article 4 point (12) du RGPD, (attaques par des hackers, perte de la liste des membres, perte d’un ordinateur portable ou d’un stick USB), les responsables de traitement devraient prévoir des procédures de réaction rapide et de mitigation des conséquences sur les droits des personnes concernées et de notification à la CNPD et d’information aux personnes concernées (voir article 33 du RGPD).

Lorsque les responsables de traitement envisagent de recourir au profilage ou à la prise de décision automatisé, ils doivent prendre en compte les risques caractérisant ces techniques, adopter des garanties appropriées et se conformer aux conditions spécifiques encadrant ces moyens de traitement de données (article 22 du RGPD). En pratique, il est important d’obtenir le consentement explicite des personnes concernées, et le cas échéant, vérifier auprès du prestataire que ce consentement a été valablement exprimé. Selon le traitement envisagé, il peut être nécessaire d’effectuer en amont une analyse d’impact relative à la protection des données.

Finalement, les responsables de traitement doivent veiller au respect des droits des personnes concernées, à savoir le droit à l’information, le droit d’accès, le droit à l’oubli et le droit d’opposition et le droit de formuler une réclamation auprès de la CNPD (articles 12 à 21 du RGPD).

Le principe de responsabilité (« accountability ») signifie que les responsables de traitement doivent être en mesure de démontrer leur conformité à tout moment (article 5 paragraphe (2) du RGPD). Cela implique par exemple d’établir une documentation adéquate relative aux traitements de données effectués, y compris un registre de traitement des données et un registre interne des incidents et violations en matière de protection des données.

2.2. Les opinions politiques, une catégorie particulière de données

Les données à caractère personnel qui révèlent des opinions politiques constituent une catégorie particulière de données au titre du règlement général sur la protection des données. Leur traitement est strictement encadré par l’article 9 du RGPD.

Les finalités de l’utilisation des données à caractère personnel et l’identité du responsable de traitement peuvent entrer en ligne de compte quand il s’agit de déterminer si des données révèlent des opinions politiques. Par exemple, alors qu’une liste de clients d’une entreprise ou une liste de membres d’une association sportive ne révèle en principe pas les opinions politiques des personnes concernées, une liste de membres ou de sympathisants d’un parti politique révèle bien des opinions réelles ou supposées des personnes concernées.

Il est également important de noter que des techniques de profilage peuvent produire, via une combinaison de données a priori en dehors du champ de l’article 9 du RGPD, des données déduites pouvant révéler des opinions politiques au sens de cet article.

Dès que des données sont combinées, par exemple à des données statistiques ou démographiques, à des fins d’élaboration d’un profil d’électeur, l’article 9 du RGPD a vocation de s’appliquer. Comme développé plus loin, cela signifie qu’il est en principe interdit de constituer un tel profil, à moins de remplir les conditions de l’article 9 paragraphe (2) du RGPD (au sujet de ces conditions, voir ci-après, point 2.4.).

2.3. La provenance des données

2.3.1. Les listes de membres et de sympathisants

La principale source de données des partis politiques et des candidats constitue les listes de membres ou sympathisants établies au fil du temps lors de leurs activités.

L’article 9 du RGPD permet à « une fondation, une association ou un autre organisme à but non lucratif et poursuivant une finalité politique » de traiter ces données « dans le cadre des activités légitimes », « à condition que le traitement porte exclusivement sur les membres ou les anciens membres […] ou sur des personnes entretenant avec lui des contacts réguliers »[4] (au sujet du traitement de données de membres et de sympathisants, voir également ci-après, point 2.4.2.).

2.3.2. La réutilisation des listes électorales

Selon la législation en vigueur, les listes des électeurs constituent une source de données à laquelle les partis politiques et les candidats peuvent en principe avoir recours à des fins de publicité politique.

L’article 20 alinéa (3) de la loi électorale du 18 février 2003 prévoit que « tout citoyen peut […] demander par écrit une copie des listes [électorales] actualisées […]. Les données des citoyens contenues dans les listes ne peuvent pas être utilisées à des fins autres qu’électorales ». Les données contenues dans ces listes comprennent le nom, prénoms, domicile, le lieu et la date de naissance des électeurs, et le cas échéant, la nationalité et le nom et prénoms du conjoint (article 13 et 14 de la loi électorale). Certains partis politiques luxembourgeois ont fait usage de ce droit et ont utilisé les données issues de ces listes à des fins de prospection politique pendant les précédentes périodes électorales.

Dans ce contexte, la CNPD précise que l’établissement de la liste des réclamations et des listes électorales constitue un traitement de données à caractère personnel au sens de l’article 4 point (2) du RGPD. Ce traitement est mis en œuvre par le collège des bourgmestres et échevins, qui répond donc à la définition de responsable de traitement au sens de l’article 4 point (4) du RGPD.

La loi détermine la finalité du traitement au sens de l’article 5 paragraphe (1) lettre (b) du RGPD en ce que les listes électorales ne peuvent être utilisées qu’à des fins électorales, c’est-à-dire en premier lieu la constatation de la qualité d’électeur des personnes physiques remplissant les conditions reprises dans le Titre I de la loi électorale. Les données des listes électorales peuvent également être utilisées pour des fins de prospection politique par des partis politiques, mais uniquement pendant les périodes électorales. Il convient de rappeler à cet endroit que l’article 32bis de la Constitution réserve aux partis politiques un rôle particulier dans le contexte électoral, en reconnaissant qu’ils « concourent à la formation de la volonté populaire et à l’expression du suffrage universel ».

La CNPD ne met pas en doute la licéité de la finalité de la prospection des électeurs inscrits, notamment pour leur adresser les programmes politiques, dans les limites de la finalité électorale posée par l’article 20 de la loi électorale. L’article 5 du RGPD érige la finalité d’un traitement de données en un principe essentiel dans le domaine de la protection des données en ce que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. Les données à caractère personnel des listes électorales ne doivent pas être traitées ultérieurement de manière incompatible avec leur finalité électorale, p.ex. ne doivent pas faire l’objet d’une quelconque utilisation – par exemple à une finalité commerciale ou pour la promotion d’une association ou d’un syndicat. À cet égard, les partis politiques sont invités à prévoir une durée de conservation proportionnée à la finalité recherchée. Toutefois, les partis politiques devront veiller à garantir que les citoyens ayant fait usage de leur droit d’opposition ne soient plus contactés lors d’élections communales, européennes ou législatives futures.

. Pour des informations plus détaillées, la CNPD attire l’attention sur sa communication d’août 2018 au sujet de l’utilisation des listes électorales à des fins de prospection électorale (https://cnpd.public.lu/fr/actualites/national/2018/08/communication-administres.html).

2.3.3. Les restrictions à la réutilisation de listes obtenues dans d’autres contextes

Si les candidats et leurs partis politiques ont bien évidemment un souci légitime d’approcher les électeurs et de leur exposer leurs programmes dans le cadre de leur campagne électorale, il convient de rappeler qu’ils ne doivent pas utiliser à cette fin des fichiers qu’ils se seraient procurés en dehors de toute base légale ou réglementaire auprès d’organismes privés ou d’institutions publiques ou qu’ils auraient collectés pour des finalités différentes.

En effet, les partis politiques ou candidats pourraient être tentés d’utiliser des sources de données personnelles issues des activités d’institutions ou d’associations dans lesquelles ils sont actifs. Toutefois, le traitement ultérieur de données à caractère personnel pour d'autres finalités que celle(s) pour laquelle (lesquelles) ces données ont été collectées initialement n'est autorisé que si ce traitement ultérieur est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement, compte tenu du lien entre les finalités pour lesquelles elles ont été collectées et les finalités du traitement ultérieur envisagé.

Dès lors, dans la majorité des cas, la réutilisation de données à caractère personnel recueillies dans un autre contexte (fichier du personnel d’une administration ou d’une entreprise, données obtenues dans le cadre de l’exercice d’un mandat public, fichier clients d’une entreprise, liste des membres d’une association ou d’un syndicat, ...) n’est pas permise. Notamment, les associations à but non lucratif ne doivent communiquer la liste de leurs membres à des tiers sans le consentement de leurs membres. Outre le probable non-respect du principe de limitation des finalités, une telle réutilisation risque de rompre l’égalité entre les candidats.

2.3.4. Les limitations concernant l’utilisation de sources publiques

La collecte indirecte, sur la base de sources publiques, comme par exemple des informations publiées sur un annuaire en ligne, un site internet ou un réseau social à des fins électorales est en principe incompatible avec le principe de limitation des finalités.

Lorsqu’un parti politique ou un candidat entend recourir à un prestataire de services pour ses activités de promotion politique, celui-ci pourra utiliser des données personnelles collectées initialement pour des activités de marketing, pour autant que les personnes concernées ont exprimé un consentement libre et éclairé relatif à l’utilisation de leurs données personnelles à des fins de communication politique. Les acteurs actifs dans les campagnes électorales doivent par conséquent être particulièrement vigilants en recourant à des sous-traitants comme des revendeurs de données (« data brokers ») et des sociétés d’analyse de données (« data analytics companies »).

2.4. L’utilisation des données personnelles

Tout traitement de données à caractère personnel doit être fondé sur une condition de licéité prévue à l’article 6 du RGPD, y compris les traitements portant sur des catégories particulières de données à caractère personnel (données dites « sensibles ») au sens de l’article 9 du RGPD. L’article 9 paragraphe (1) du RGPD interdit le traitement des données qui « révèle[nt] […] les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale » sauf si l’une des conditions de l’article 9 paragraphe (2) est remplie.

Dans le contexte d’une campagne électorale, une grande partie de traitements de données concerne vraisemblablement des données dites « sensibles », et les responsables de traitement sont dès lors amenés à fonder ces traitements sur les conditions de licéité combinées de l’article 6 et de l’article 9 du RGPD telles que exposées ci-dessous. En effet, tout traitement doit d’abord être légitimé par l’un des critères de l’article 6 du RGPD. Lorsque le traitement touche à une catégorie particulière de données (données dites « sensibles »), ce traitement doit en plus respecter les prescriptions spécifiques définies à l’article 9 du RGPD.

2.4.1. Le consentement explicite de la personne concernée

Sur la base des articles 6 paragraphe (1) lettre (a) et 9 paragraphe (2) lettre (a) du RGPD, les responsables de traitement peuvent baser leurs traitements sur le consentement explicite des personnes concernées. Afin de garantir que le consentement soit fourni de façon libre et éclairée au sens de l’article 7 et du considérant 42 du RGPD[5], il est primordial d’informer les personnes concernées conformément à l’article 13 du RGPD.

La personne concernée peut retirer ce consentement à tout moment, et elle doit pouvoir le retirer de manière aisée et compréhensible, avec la même facilité que lorsqu’elle a exprimé son consentement. Le responsable de traitement doit informer la personne concernée de cette possibilité et doit permettre un retrait facile du consentement.

Si les responsables de traitement envisagent de traiter des données qui n’ont pas initialement été collectées avec la finalité de la prospection politique, ils doivent veiller à recueillir le consentement des personnes concernées avant ce nouveau traitement conformément à l’article 6 paragraphe (4) du RGPD. Quoi qu'il en soit, il faut veiller à ce que la personne concernée soit informée de telles autres finalités et de ses droits.

Certaines plateformes de réseaux sociaux permettent le déploiement d’applications intégrées dans ces plateformes (du type « jeux », « questionnaires », …). Ces applications peuvent être utilisées pour collecter des données sur leurs utilisateurs et potentiellement pour établir des profils révélant des opinions politiques réelles ou supposées. Dans la plupart des cas, ces profils sont ensuite utilisés pour cibler des messages publicitaires. Le consentement à ce traitement de données doit être donné de façon séparée et de façon explicite. Le consentement fourni lors de l’inscription à la plateforme n’est en principe pas suffisant.

Ainsi, lorsqu’un parti politique ou un candidat envisage l’utilisation d’une telle application, il devient responsable de traitement, et il est impératif de veiller à ce que le consentement ait été exprimé de façon séparée et de façon explicite, même si l’application a été développée et déployée par un sous-traitant.

2.4.2. Les intérêts légitimes et les données de membres et de sympathisants

Lorsque les partis politiques effectuent des traitements de données, « dans le cadre de leurs activités légitimes et moyennant les garanties appropriées » qui « se rapporte[nt] exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec [sa finalité politique] », il est envisageable de fonder ce traitement sur les articles 6 paragraphe (1) lettre (f) et 9 paragraphe (2) lettre (d) du RGPD.

En invoquant leurs « intérêts légitimes » pour légitimer ces traitements de données, les responsables de traitement doivent s’assurer à ce que les « intérêts ou les libertés et droits fondamentaux » des personnes concernées ne prévalent pas. Un parti politique a ainsi le droit de traiter les données de ses propres (anciens) membres et sympathisants, bien que celles-ci soient révélatrices de leurs opinions politiques.

Or, l’article 9 paragraphe (2) lettre (d) in fine du RGPD exige que « les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ». Ainsi, les données relatives aux membres et sympathisants ne peuvent pas être transmises à un tiers sans le consentement explicite de ceux-ci, même s’il existe des affinités politiques entre le parti et le destinataire.

2.4.3. Les intérêts légitimes des responsables de traitement et les données manifestement rendues publiques par la personne concernée

En combinaison avec l’article 6 paragraphe (1) lettre (f), l’article 9 paragraphe (2) lettre (e) du RGPD permet de légitimer le traitement de données portant sur « des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ».

Cette exception concerne principalement les candidats aux différentes élections. En effet, il est inhérent au fait de se présenter à des élections de se faire connaître et d’exprimer publiquement ses opinions politiques.

Toutefois, la simple divulgation d’opinions personnelles sur des réseaux sociaux ou sur d’autres plateformes par des électeurs potentiels ne peut pas, en tant que telle, être considérée comme une donnée « manifestement rendue publique » qu’un acteur politique pourrait traiter. A titre d’illustration, ce n’est pas parce qu’une personne interagit sur un réseau social avec un candidat ou un parti politique (la personne « aime », commente, partage ou « retweete » des contenus publiés sur les réseaux sociaux) que ceux-ci peuvent cibler cette personne avec des messages publicitaires ou autrement utiliser ces données d’interaction.

La personne doit clairement manifester sa volonté d’entretenir des contacts réguliers avec le parti politique ou le candidat, par exemple en devenant « follower » sur Twitter ou « ami » sur Facebook. Toutefois, ce type d’interaction ne permet pas nécessairement de déduire une opinion politique univoque.

Lorsqu’ une donnée est manifestement rendue publique au sens de l’article 9 du RPGD, par exemple sur un réseau social, notamment parce que la communication est formulée de façon suffisamment explicite (par exemple : « je soutiens ce parti ») et est adressé à une audience qui dépasse largement le cercle privé, le responsable de traitement devra respecter les conditions de licéité prévues par l’article 6 du RGPD.

En invoquant des intérêts légitimes prévu par l’article 6 paragraphe (1) (f) du RGPD, le parti politique devra continuer de les mettre en balance avec les intérêts et de la personne concernée. Concrètement, si la personne exprimant ses opinions politiques, même de façon « manifestement publique », le parti politique ne pourra pas, sans autre élément, communiquer l’identité de cette personne vers l’extérieur (par exemple dans le contexte de ses publicités). La balance des intérêts doit se faire au cas par cas, et pourra prendre en compte le fait que la personne concernée est un personnage public, ou que le traitement prévoit de pseudonymiser la donnée avant sa réutilisation.

2.4.4. L’existence d’une disposition légale poursuivant un intérêt public important

En principe, conformément aux articles 6 paragraphe (1) lettre (c) et 9 paragraphe (2) lettre (g) du RGPD, il est possible qu’une disposition légale qui « constitue une mesure nécessaire et proportionnelle dans une société démocratique notamment pour la garantie de finalités importantes d'intérêt public » puisse légitimer un traitement de données. Quoi qu'il en soit, il faut veiller à ce que la personne concernée soit informée de telles autres finalités et de ses droits.

Par exemple, en matière de financement des partis politiques, afin de pouvoir bénéficier d’un financement public, les partis politiques doivent déposer « un relevé de ses donateurs »[6]. Les noms des personnes physiques[7] doivent dès lors être collectés sur la base d’une obligation légale et doivent également être communiqués aux autorités compétentes.

 

[1] Voir section consacrée aux conditions de licéité.

[2] Egalement en application des principes de la protection des données dès la conception et par défaut, défini à l’article 25 du RGPD, ainsi qu’aux obligations liées à la mise en place d’un niveau de sécurité adapté au risque, défini à l’article 32 du RGPD.

[3] Voir, pour plus d’informations, notre dossier thématique sur la sécurité informatique: https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/securite-informatique.html

[4] Voir plus loin, concernant les conditions de licéité.

[5] Concernant les conditions relatives au consentement, voir notamment : Groupe de travail « Article 29 », Lignes directrices sur le consentement au sens du règlement 2016/679, WP 259 rev. 1. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

[6] Art. 6 de la Loi modifiée du 21 décembre 2007 portant réglementation du financement des partis politiques.

[7] L’article 8 de la loi sur le financement des partis politiques prévoit que « seules les personnes physiques sont autorisées à faire des dons aux partis politiques et à leurs composantes ».

Dernière mise à jour