À travers les présentes lignes directrices, la Commission nationale pour la protection des données (ci-après la « CNPD ») souhaite sensibiliser les acteurs politiques sur les risques liés en particulier à la collecte et au traitement des données à caractère personnel des électeurs à des fins électorales [1]. La CNPD entend également émettre des recommandations et exposer les bonnes pratiques en matière de campagnes électorales numériques dans le respect de la protection des données personnelles.
Les traitements de données à caractère personnel effectués dans le contexte des campagnes électorales doivent bien entendu respecter le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après le « RGPD »).
Des élections libres et équitables dans le respect des droits des citoyens sont essentielles à l’expression d’une démocratie saine. Pour une démocratie vivante, les échanges d’idées et la communication des opinions et positions politiques sont cruciaux. L’internet permet un accès facilité aux informations et les plateformes numériques permettent de nouvelles formes d’engagement et d’interaction. Avec l’émergence de ces nouveaux espaces d’échange et de débat, les campagnes électorales évoluent et la communication politique se déplace davantage dans l’espace numérique. Dans cette optique, pour compléter les vecteurs de communication plus classiques, les partis et candidats politiques utilisent différents canaux de communication électronique à l’attention des électeurs durant les campagnes électorales.
Pour que ces échanges permettent aux citoyens d’user pleinement de leurs droits fondamentaux comme la liberté d’expression, la protection de leur vie privée et la liberté de choix, ils doivent se dérouler dans un cadre légal, loyal et transparent. Ces garanties sont un gage pour que les échanges et les communications dans le contexte électoral continuent à être bénéfiques au processus démocratique.
Les révélations de Cambridge Analytica et les controverses autour des phénomènes de la désinformation et de la manipulation [2] ont montré que l’utilisation de ces outils et des nouveaux espaces de dialogue comporte également des risques, en particulier par l’utilisation de données à caractère personnel. En effet, dans l’affaire Cambridge Analytica, le non-respect de la protection des données personnelles a rendu possible des manipulations d’opinions qui ont mis en péril les processus démocratiques visés. De plus, dans ce contexte, les phénomènes de fausses nouvelles et de désinformation peuvent entacher la sincérité des débats en exposant les électeurs à de la manipulation.
1.1. Le contexte européen et international
Au niveau européen, plusieurs actions ont été entreprises depuis les révélations de Cambridge Analytica pour garantir la tenue d’élections européennes libres et équitables. Depuis septembre 2018, la Commission européenne et les Etats membres ont mis en oeuvre plusieurs mesures visant à protéger les droits démocratiques des citoyens et leur liberté d’expression, y compris des mesures concernant la cybersécurité, la lutte contre ladésinformation et contre les contenus haineux [3]. Ces mesures promeuvent la transparence et contiennent des recommandations et mesures concrètes concernant la protection des données. Le Comité Européen de la Protection des Données (en anglais European Data Protection Board, « EDPB ») et le Contrôleur européen de la protection des données (en anglais European Data Protection Supervisor, « EDPS ») ont également publié des guidances pour les acteurs impliqués [4].
Par la suite, les plateformes en ligne et le secteur de la publicité se sont engagés à respecter un code de bonnes pratiques en matière de désinformation, publié en 2022 [5]. En collaboration avec le groupe des régulateurs européens des services de médias audiovisuels (« ERGA ») et l’Observatoire européen des médias numériques (« EDMO »), la Commission européenne évaluera régulièrement les progrès réalisés dans la mise en oeuvre du code et adaptera, au besoin, les engagements au regard de l’évolution technologique, sociétale, du marché et de la législation [6].
1.2. Les risques associés à l’utilisation des nouvelles technologies dans les campagnes électorales
Avec l’avènement de nouvelles technologies de ciblage, les partis politiques se sont mis également à utiliser ces outils pour atteindre les électeurs avec des messages très personnalisés – en particulier sur les plateformes de médias sociaux – sur la base d’intérêts personnels, d’habitudes de vie et de valeurs. Les campagnes électorales luxembourgeoises ne sont pas à l’abri de ces développements, et les différents acteurs politiques, autorités et régulateurs doivent les prendre en compte afin de garantir des élections libres et équitables.
L’utilisation pour le ciblage des personnes à des fins de prospection politique, de l’intelligence artificielle et du « Big Data » en combinaison avec des données personnelles rend l’information opaque. En effet, les techniques actuelles, comme les outils prédictifs, permettent de formuler des hypothèses sur les opinions politiques et autres catégories particulières de données. À cet effet, ces outils déduisent des traits de personnalité profonde sur la base de caractéristiques relatives à l’humeur et d’autres informations sensibles des personnes concernées. Or, la transparence sur les traitements de données est l’un des garants des droits et libertés des citoyens, ce qui signifie dans ce contexte que les personnes ont le droit de savoir pourquoi elles ont étés ciblées et par qui.
De même, les techniques avancées de profilage rendent possible l’enfermement de personnes ciblées dans des bulles numériques polarisées sur des évènements spécifiques. Ceci va à l’encontre de la liberté de choix et de penser et constitue une entrave à l’exercice de liberté d’expression des citoyens. Il est donc important de savoir qui est l’auteur d’un message pour pouvoir librement faire ses choix politiques en toute connaissance de cause.
Ainsi, l’extension de ces techniques de traitement de données personnelles à des fins politiques fait peser des risques graves, non seulement sur les droits à la vie privée et la protection des données, mais aussi sur la confiance dans l’intégrité du processus démocratique. Dans ce contexte, il convient de rappeler qu’une donnée personnelle garde son caractère personnel même si elle a été rendue publique, par exemple, sur un réseau social. De plus, une opinion politique est une donnée sensible sous le RGPD et est donc sujette à des règles d’utilisation plus strictes.
Par conséquent, les partis politiques doivent prendre conscience des risques inhérents à l’utilisation d’outils comme le profilage et le micro-ciblage à des fins de prospection politique et de leur responsabilité en matière de protection des données à caractère personnel. Il est à noter que cette responsabilité est partagée entre le demandeur et le diffuseur.
[1] Pour des informations générales, voir par exemple le guide pratique pour le monde associatif : https://cnpd.public.lu/fr/dossiers-thematiques/guide-monde-associatif.html
[2] Voir à cet égard, Contrôleur européen de la protection des données, Avis n°3/2018 du 19 mars 2018 sur la manipulation en ligne et les données à caractère personnel
[3] Voir notamment les dossiers de presse de la Commission européenne disponibles sous : https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_6118, https://ec.europa.eu/info/policies/justice-and-fundamental-rights/eu-citizenship/democracy-and-electoral-rights_fr et https://digital-strategy.ec.europa.eu/en/policies/code-practice-disinformation (liens vérifiés le 28 septembre 2022).
[4] Comité européen de la protection des données (EDPB), Déclaration 2/2019 du 13 mars 2019 sur l’utilisation des données à caractère personnel dans le cadre de campagnes politiques ; Comité européen de la protection des données (EDPB), Lignes directrices 8/2020 du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux ; Contrôleur européen de la protection des données, Avis n°3/2018 du 19 mars 2018 sur la manipulation en ligne et les données à caractère personnel.
[5] Voir notamment le dossier de presse sur le site de la Commission européenne: http://europa.eu/rapid/press-release_IP-18-6647_fr.htm (lien vérifié le 28 septembre 2022).