Tout traitement de données à caractère personnel doit être fondé sur une condition de licéité prévue à l’article 6 du RGPD, y compris les traitements portant sur des catégories particulières de données à caractère personnel (données dites « sensibles ») au sens de l’article 9 du RGPD. L’article 9, paragraphe 1er, du RGPD interdit le traitement des données qui « révèle[nt] […] les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale » sauf si l’une des conditions de l’article 9, paragraphe 2, est remplie.
Dans le contexte d’une campagne électorale, une grande partie de traitements de données concerne vraisemblablement des données dites « sensibles », et les responsables du traitement sont dès lors amenés à fonder ces traitements sur les conditions de licéité combinées de l’article 6 et de l’article 9 du RGPD telles que exposées ci-dessous. En effet, tout traitement doit d’abord être légitimé par l’un des critères de l’article 6 du RGPD. Lorsque le traitement touche à une catégorie particulière de données (données dites « sensibles »), ce traitement doit en plus respecter les prescriptions spécifiques définies à l’article 9 du RGPD.
4.1. Le consentement explicite de la personne concernée
Sur la base des articles 6, paragraphe 1er, lettre a), et 9, paragraphe 2, lettre a), du RGPD, les responsables du traitement peuvent baser leurs traitements sur le consentement explicite des personnes concernées[1]. Pour être conforme aux exigences du RGPD[2], le consentement doit être « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »[3]. L’exigence que le consentement soit explicite implique que la personne concernée doit formuler une déclaration de consentement exprès par un acte positif[4]. Afin de garantir que le consentement soit fourni de façon libre et éclairée, il est primordial d’informer les personnes concernées conformément à l’article 13 ou, le cas échéant, l’article 14 du RGPD.
La personne concernée peut retirer ce consentement à tout moment, et elle doit pouvoir le retirer de manière aisée et compréhensible, avec la même facilité que lorsqu’elle a exprimé son consentement. Le responsable du traitement doit informer la personne concernée de cette possibilité dès le début du traitement et doit permettre un retrait facile du consentement.
Si les responsables du traitement envisagent de traiter des données qui n’ont pas initialement été collectées avec la finalité de la prospection politique, ils doivent veiller à recueillir le consentement des personnes concernées avant ce nouveau traitement conformément à l’article 6, paragraphe 4, du RGPD. Il faut encore veiller à ce que la personne concernée soit informée de telles autres finalités et de ses droits.
Certaines plateformes de réseaux sociaux permettent le déploiement d’applications intégrées dans ces plateformes (du type « jeux », « questionnaires », …). Ces applications peuvent être utilisées pour collecter des données sur leurs utilisateurs et potentiellement pour établir des profils révélant des opinions politiques réelles ou supposées. Dans la plupart des cas, ces profils sont ensuite utilisés pour cibler des messages publicitaires. Le consentement à ce traitement de données doit être donné de façon séparée et de façon explicite. Le consentement fourni lors de l’inscription à la plateforme n’est en principe pas suffisant.
Ainsi, lorsqu’un parti politique ou un candidat envisage l’utilisation d’une telle application, il devient responsable du traitement, et il est impératif de veiller à ce que le consentement ait été exprimé de façon séparée et de façon explicite, même si l’application a été développée et déployée par un sous-traitant.
4.2. Les intérêts légitimes et les données de membres et de sympathisants
Lorsque les partis politiques effectuent des traitements de données, « dans le cadre de leurs activités légitimes et moyennant les garanties appropriées » qui « se rapporte[nt] exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec [sa finalité politique] », il est envisageable de fonder ce traitement sur les articles 6, paragraphe 1er, lettre f), et 9 paragraphe 2, lettre d), du RGPD.
En invoquant leurs « intérêts légitimes » pour légitimer ces traitements de données, les responsables du traitement doivent s’assurer à ce que les « intérêts ou les libertés et droits fondamentaux » des personnes concernées ne prévalent pas sur leurs intérêts légitimes[5]. Un parti politique a ainsi le droit de traiter les données de ses propres (anciens) membres et sympathisants, bien que celles-ci soient révélatrices de leurs opinions politiques.
Or, l’article 9, paragraphe 2, lettre d), in fine du RGPD exige que « les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ». Ainsi, les données relatives aux membres et sympathisants ne peuvent pas être transmises à un tiers sans le consentement explicite de ceux-ci, même s’il existe des affinités politiques entre le parti et le destinataire.
4.3. Les intérêts légitimes des responsables du traitement et les données manifestement rendues publiques par la personne concernée
En combinaison avec l’article 6, paragraphe 1er, lettre f), l’article 9, paragraphe 2, lettre e), du RGPD permet de légitimer le traitement de données portant sur « des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ».
Cette exception concerne principalement les candidats aux différentes élections. En effet, il est inhérent au fait de se présenter à des élections de se faire connaître et d’exprimer publiquement ses opinions politiques.
Toutefois, la simple divulgation d’opinions personnelles sur des réseaux sociaux ou sur d’autres plateformes par des électeurs potentiels ne peut pas, en tant que telle, être considérée comme une donnée « manifestement rendue publique » qu’un acteur politique pourrait traiter. A titre d’illustration, ce n’est pas parce qu’une personne interagit sur un réseau social avec un candidat ou un parti politique (la personne « aime », commente, partage ou « retweete » des contenus publiés sur les réseaux sociaux) que ceux-ci peuvent cibler cette personne avec des messages publicitaires ou autrement utiliser ces données d’interaction.
La personne doit clairement manifester sa volonté d’entretenir des contacts réguliers avec le parti politique ou le candidat, par exemple en devenant « follower » sur Twitter ou « ami » sur Facebook. Toutefois, ce type d’interaction ne permet pas nécessairement de déduire une opinion politique univoque.
S’agissant des réseaux sociaux, l’EDPB considère que les éléments suivants peuvent être pertinents pour évaluer si les données ont été manifestement rendues publiques par la personne concernée[6] :
i. les paramètres par défaut de la plateforme de médias sociaux (afin de savoir si la personne concernée a effectué une action spécifique pour changer ces paramètres de confidentialité par défaut en faveur de paramètres publics) ; ou
ii. la nature de la plateforme de médias sociaux, (afin de savoir si la plateforme est intrinsèquement liée à l’idée de mettre la personne concernée en relation avec des connaissances proches ou de créer des relations intimes (comme c’est le cas des plateformes de rencontre en ligne), ou si elle cherche à offrir un champ plus large de relations interpersonnelles, par exemple des relations professionnelles, ou encore s’il s’agit d’une plateforme de microblogging ou de partage de médias, d’une plateforme sociale pour partager des avis en ligne, etc.) ; ou
iii. l’accessibilité de la page où les données sensibles sont publiées (afin de savoir si les informations sont publiquement accessibles ou si, par exemple, la création d’un compte est nécessaire pour pouvoir accéder aux informations) ; ou
iv. la visibilité de l’avertissement signalant à la personne concernée la nature publique des informations qu’elle publie (afin de savoir si, par exemple, un bandeau continu apparaît sur la page ou si le bouton de validation d’une publication informe la personne concernée que les informations en question seront rendues publiques, etc.) ; ou
v. si la personne concernée a elle-même publié les données sensibles, ou si, à l’inverse, les données ont été publiées par un tiers (ex. une photo publiée par un ami qui révèle des données sensibles) ou sont déduites.
L’EDPB souligne que la présence d’un unique élément ne suffit pas toujours pour établir que les données ont été « manifestement » rendues publiques par la personne concernée. En pratique, il se peut qu’une combinaison de ces éléments ou d’autres éléments doive être prise en compte pour que les responsables du traitement puissent démontrer que la personne concernée a clairement manifesté son intention de rendre les données publiques. Une évaluation au cas par cas est dès lors nécessaire.
Le fait que les données aient été manifestement rendues publiques par les personnes n’exonère pas de justifier en amont d’une base légale (consentement ou intérêt légitime).
Ainsi, lorsqu’une donnée est manifestement rendue publique au sens de l’article 9 du RPGD, par exemple sur un réseau social, notamment parce que la communication est formulée de façon suffisamment explicite (par exemple : « je soutiens ce parti ») et est adressé à une audience qui dépasse largement le cercle privé, le responsable du traitement devra respecter les conditions de licéité prévues par l’article 6 du RGPD.
En invoquant des intérêts légitimes prévus par l’article 6, paragraphe 1er, lettre f), du RGPD, le parti politique devra continuer de les mettre en balance avec les libertés et les droits fondamentaux de la personne concernée. Concrètement, si la personne exprime ses opinions politiques, même de façon « manifestement publique », le parti politique ne pourra pas, sans autre élément, communiquer l’identité de cette personne vers l’extérieur (par exemple dans le contexte de ses publicités). La balance des intérêts doit se faire au cas par cas, et pourra prendre en compte le fait que la personne concernée est un personnage public, ou que le traitement prévoit de pseudonymiser la donnée avant sa réutilisation.
4.4. L’existence d’une disposition légale poursuivant un intérêt public important
En principe, conformément aux articles 6, paragraphe 1er, lettre c), et 9, paragraphe 2, lettre g), du RGPD, il est possible qu’une disposition légale qui « constitue une mesure nécessaire et proportionnelle dans une société démocratique notamment pour la garantie de finalités importantes d'intérêt public » puisse légitimer un traitement de données. Quoi qu'il en soit, il faut veiller à ce que la personne concernée soit informée de telles autres finalités et de ses droits.
Par exemple, en matière de financement des partis politiques, afin de pouvoir bénéficier d’un financement public, les partis politiques doivent déposer « un relevé de ses donateurs »[7]. Les noms des personnes physiques[8] doivent dès lors être collectés sur la base d’une obligation légale et doivent également être communiqués aux autorités compétentes.
[1] Concernant les conditions relatives au consentement et au consentement explicite, voir notamment les lignes directrices 5/2020 du le Comité européen de la protection des données du 4 mai 2020 sur le consentement au sens du règlement (UE) 2016/679.
[2] A savoir, aux articles 4, point 11, 6, paragraphe 1er, lettre a), 7 et 9 du RGPD
[3] Article 4, point 11, du RGPD.
[4] Comité européen de la protection des données (EDPB), les lignes directrices 5/2020 du 4 mai 2020 sur le consentement au sens du règlement (UE) 2016/679, section 4.
[5] Les lignes directrices 8/2020 du Comité européen pour la protection des données du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux fournissent d’avantage d’informations quant aux exigences liées à l’article 6, paragraphe 1er, lettre f) du RGPD. Voir aussi l’avis du groupe de travail « article 29 » du 9 avril 2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE (WP217).
[6] Comité européen de la protection des données (EDPB), Lignes directrices 8/2020 du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux, points 127-129.
[7] Art. 6 de la loi modifiée du 21 décembre 2007 portant réglementation du financement des partis politiques.
[8] L’article 8 de la loi sur le financement des partis politiques prévoit que « seules les personnes physiques sont autorisées à faire des dons aux partis politiques et à leurs composantes ».