5.1. La prospection par des messages nominatifs directs
La prospection politique par la transmission de messages nominatifs directs s’apparente au marketing direct. Ainsi, les partis politiques et candidats doivent respecter les dispositions particulières en la matière.
5.1.1. L’envoi de courriers postaux
En cas d’envoi de prospection politique par courrier postal, le RGPD confère aux personnes concernées un droit de s’opposer au sens de l’article 21.2 du RGPD (« opt-out ») à tout moment. Ainsi, un parti politique ou un candidat peut envoyer des communications via courrier postal à des électeurs potentiels. Evidemment, les adresses doivent être obtenues de façon légitime. Dans la mise en balance des intérêts légitimes du parti politique avec les intérêts des personnes concernées, il convient de prendre en compte si, au moment de la collecte des données, la personne concernée peut anticiper que ce traitement puisse avoir lieu.
Lorsque les envois sont préparés sur la base de données non collectées directement auprès des personnes concernées, la CNPD rappelle que, au titre de l’obligation d’information découlant de l’article 14 RGPD, les partis politiques doivent fournir, au plus tard au moment de la première communication, c’est-à-dire dans le courrier de prospection ou en annexe, les informations suivantes aux personnes concernées :
- l’identité et les coordonnées du responsable du traitement (le parti politique ou la section locale ou régionale du parti politique),
- l’origine des données traitées (par exemple si les données proviennent d’un organisme liée au parti politique ayant transmis les données sur la base du consentement explicite des personnes concernées),
- la finalité du traitement de données (la prospection politique dans le cadre de l’élection),
- la durée de conservation (l’effacement des données dans un délai raisonnable après les élections),
- l’existence des droits des citoyens en matière de protection des données (leur droit d’accès aux données, leur droit de rectification et d’effacement des données, leur droit de s’opposer au traitement de leur données à des fins de prospection électorale et leur droit d’introduire une réclamation auprès de la CNPD),
- les moyens de contact pour exercer leurs droits (adresse postale, lien vers un site internet et adresse électronique).
Il est primordial que toute communication contienne les informations relatives au droit d’opposition. Par exemple, les communications peuvent contenir un coupon-réponse ou indiquer une adresse mail spécifique permettant aux personnes concernées d’exprimer leur souhait de ne plus recevoir de tels courriers.
L’exercice du droit d’opposition doit être simple et efficace, et l’outil doit être facilement accessible. Il est ainsi recommandé d’instaurer une adresse électronique dédiée pour le traitement de ces demandes et de les traiter rapidement, en particulier lors de périodes électorales lorsqu’un nombre important de messages est diffusé.
5.1.2. L’envoi de messages électroniques
En cas d’envoi de prospection politique par voie électronique, la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques s’applique. La CNPD rappelle qu’une prospection politique par téléphone ou courrier électronique (ou tout autre moyen de communication électronique) ne peut se faire qu’avec l’accord préalable des personnes contactées.
Ainsi, si aucun lien entre le parti politique et la personne concernée n’existe, le consentement préalable doit être demandé avant l’envoi de communications électroniques (« opt-in »). Ce consentement doit être une manifestation de volonté par une déclaration ou par un acte positif clair et doit être libre, spécifique, et informé et univoque. Il faut encore qu’il soit recueilli avant l’envoi de messages électroniques[1]. Par la suite, chaque message de prospection doit informer la personne concernée de ses droits, en particulier de son droit de retirer son consentement à tout moment.
Lorsque les partis politiques communiquent avec des personnes dans le cadre d’une relation préexistante, typiquement avec leurs membres ou leurs sympathisants, ces communications peuvent avoir lieu sans récolter le consentement préalable des personnes concernées. En contrepartie, les personnes concernées doivent avoir le droit de s’y opposer à tout moment et être informées de ce droit lorsque les données sont recueillies, ainsi que lors de chaque message de prospection. Par conséquent, le membre ou sympathisant concerné doit, lors de la collecte de ses coordonnées électroniques, être clairement et distinctement informé de l'utilisation possible de celles-ci à des fins de prospection directe et doit avoir l'opportunité de s'opposer à une telle utilisation.
Il convient de préciser que l’envoi de messages électroniques personnalisés par un moyen de communication électronique ne peut pas être fondé sur les « intérêts légitimes » du parti politique en vertu de l’article 6, paragraphe 1er, lettre f), du RGPD puisque ce type de traitement ne permet pas une mise en balance adéquate entre ces intérêts et les intérêts des personnes concernées.
5.2. Le ciblage publicitaire en ligne à des fins de prospection électorale
Outre les messages nominatifs, les partis politiques et les candidats peuvent être amenés à utiliser des publicités dans l’espace numérique pour promouvoir leurs programmes politiques. Or, contrairement aux espaces publicitaires physiques, relativement statiques par nature, les publicités en ligne peuvent impliquer d’une part une grande volatilité des messages publicitaires et d’autre part un ciblage basé sur un profil établi en recourant à un traitement de données à caractère personnel.
Bien que la communication politique présente des traits promotionnels, les communications en lien avec de la prospection politique présentent des caractéristiques particulières à cause précisément du contexte électoral. En effet, la circulation et la confrontation des idées et des convictions politiques sont l’essence même de ce débat. Contrairement à la commercialisation d’un produit ou d’un service, pour laquelle il est facile d’identifier le responsable du traitement, la promotion politique n’est pas toujours évidente à attribuer à un parti politique, à un candidat ou à un autre acteur actif dans la campagne électorale. Ainsi, il est important de faire preuve de transparence sur l’identité de l’auteur d’un message publicitaire à visée politique. Cette transparence a été identifiée comme l’un des vecteurs pour enrayer les risques de manipulation en ligne. Dans ce sens, il peut être recommandé que les candidats et les partis se dotent de comptes vérifiés sur les réseaux sociaux (par exemple la procédure « Verified Blue Badge » auprès de Facebook, TikTok ou Twitter) afin d’être clairement identifié et lutter en même temps contre des faux comptes et les tentatives de diffusion de désinformation.
Outre la transparence vis-à-vis du destinataire de la prospection politique, il conviendrait de rendre accessible au grand public et aux médias tous les messages publicitaires. De plus, ces messages pourraient être catégorisés par les diffuseurs en fonction des critères de ciblage utilisés et des profils auxquels ils ont été adressés. Cette pratique permettrait de pallier le risque d’opacité, de favoriser la tenue du débat contradictoire et public ainsi que la confrontation des idées et au final contribuer ainsi à la sincérité des campagnes électorales.
Les partis politiques et les candidats pourraient être tentés de concentrer leurs campagnes publicitaires à certains groupes de personnes jugés déterminants pour l’issue du scrutin. Cependant, de tels procédés peuvent entraver la libre circulation de l’information et enlever au reste de l’électorat la possibilité de faire leur choix en confrontant les points de vue défendus par les différents partis politiques. Ainsi, même si c’est techniquement possible et légalement défendable, il serait préférable, pour le bon fonctionnement du système électoral dans une société démocratique, de restreindre le recours à une trop grande segmentation des messages politiques et à un cloisonnement de groupes de personnes en fonction de leurs profils politiques.
Une attention particulière doit être apportée au micro-ciblage (« micro-targeting ») quand celui-ci est utilisé comme un révélateur de données sensibles. Le micro-ciblage est une forme de publicité ciblée en ligne qui analyse les données à caractère personnel pour identifier des intérêts d’un public spécifique ou d’individus afin d’influencer leurs actions. Le micro-ciblage peut permettre de déterminer la pertinence d’un contenu publicitaire, y compris d’un message envoyé à fins de prospection politique. Il s’agit d’un outil puissant, qui dépasse un profilage classique. En effet, le micro-ciblage croise une grande quantité d’informations qui, prises individuellement, ne seraient pas considérées comme des données sensibles, mais qui mises ensemble peuvent révéler des données sensibles, à savoir l’opinion politique d’une personne[2]. Ce type de traitement peut « comprendre des utilisations de données à caractère personnel qui vont à l’encontre ou au-delà des attentes raisonnables des individus et enfreignent ainsi les principes et règles applicables en matière de protection des données »[3]. La pratique dans d’autres pays montre que des partis politiques ou leurs sous-traitants peuvent recourir à des « techniques d’extraction de données capables de faire le lien entre les caractéristiques personnelles d’un individu et ses convictions politiques et de découvrir le comportement politique des électeurs »[4].
Or, une personne concernée « a le droit de ne pas faire l’objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire »[5]. Par ailleurs, ce type de prise de décision ne peut pas être fondé sur des données sensibles, à moins qu’une exception[6] s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place[7]. Comme l’indique le considérant 71 du RGPD, le traitement doit être « assorti de garanties appropriées », dont une « information spécifique » et le droit « d’obtenir une explication quant à la décision prise ». Les lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 fournissent d’avantage d’informations quant aux garanties appropriées[8].
Il apparaît que, selon la granularité du profilage, les messages publicitaires à des fins de prospection politique peuvent orienter les opinions des électeurs de façon à influencer le résultat du scrutin[9]. Il peut être considéré que ce type de profilage a le potentiel « de produire des effets juridiques à l’égard d’une personne concernée » ou « d’affect[er] l[la personne concernée] de manière significative » en produisant des effets sur l’issue des élections ou du vote[10]. Cette appréciation doit prendre en compte la vulnérabilité des personnes ciblées, notamment l’âge[11]. En fonction des traitements de données envisagés, le responsable du traitement doit vérifier si une analyse d’impact relative à la protection des données (AIPD)[12] est nécessaire lorsque celui-ci considère recourir à des messages ciblés. Les traitements impliquant un micro-ciblage pouvant révéler des opinions politiques nécessitent probablement la conduite d’une AIPD avant la mise en place du traitement.
Le cas échéant, le seul fondement de licéité envisageable pour légitimer ce traitement de données sensibles est le consentement explicite. De plus, il convient de souligner que les responsables du traitement doivent veiller à ce que le consentement explicite ait été recueilli avant le traitement et conformément aux autres exigences du RGPD[13].
Dès lors, la CNPD est d’avis qu’il y a lieu d’éviter un profilage excessif des citoyens. Elle ne conteste pas la possibilité d’effectuer des opérations de tri et de sélection en fonction de l’âge ou de l’adresse des électeurs. Toutefois, la CNPD met en garde contre des critères pouvant cibler des personnes sur base de leurs origines réelles ou supposées, notamment par la consonance des noms ou le lieu de naissance ainsi que contre l’agrégation de données d’une personne concernée avec des données statistiques ou démographiques ou des données pouvant révéler sa situation socio-économique réelle ou supposée. Par ailleurs, la CNPD recommande de ne pas utiliser de données sensibles dans les modèles de publicité comportementale à cause des risques inhérents à ce type de traitements.
Finalement, la CNPD rappelle qu’il est pénalement répréhensible de discriminer des personnes, notamment sur base de distinctions fondées sur l’origine, le genre ou l’appartenance ou la non-appartenance, vraie ou supposée, à une ethnie, une nation, une race ou une religion déterminée[14].
[1] Conformément à l’article 4, point 11, du RGPD.
[2] Article 9 du RGPD. Voir, ci-avant, le point 2.2. CJUE, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, ECLI:EU:C:2022:601. Voir aussi les lignes directrices 8/2020 du Comité Européen de la Protection des Données (EDPB) du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux et les lignes directrices du groupe de travail « article 29 » du 6 février 2018 relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (WP251rev0.1), approuvées par le Comité européen de la protection des données, pages 16-17
[3] Voir aussi les lignes directrices 8/2020 du Comité Européen de la Protection des Données (EDPB) du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux, point 10.
[4] Conseil de l’Europe, Comité d’Experts sur le pluralisme des médias et la transparence de leur propriété, Internet et campagnes électorales - Étude relative à l’utilisation d’internet dans le cadre des campagnes électorales, Étude du Conseil de l’Europe, DGI(2017)11, avril 2018
[5] Article 22, paragraphe 1er, du RGPD
[6] Le traitement ne peut être mis en œuvre que sur base de l'article 9, paragraphe 2, lettres a) ou g) du RGPD.
[7] Article 22, paragraphe 4 du RGPD.
[8] Groupe de travail « article 29 », Lignes directrices du 6 février 2018 relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (WP251rev.01), approuvées par le Comité européen de la protection des données.
[9] Lignes directrices 8/2020 du Comité Européen de la Protection des Données (EDPB) du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux, point 13.
[10] Idem., page 23.
[11] Voir, pour plus d’informations, Groupe de travail « article 29 », Lignes directrices du 6 février 2018 relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (WP 251rev.01)
[12] Voir notamment, sur les AIPD: https://cnpd.public.lu/fr/actualites/national/2019/03/liste-DPIA.html. Voir également : Groupe de travail « article 29 », Lignes directrices du 4 octobre 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 (WP248rev.01), approuvées par le Comité européen de la protection des données et Comité européen de la protection des données (EDPB), Lignes directrices 8/2020 du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux, section 7.
[13] Voir ci-haut, point 4.1.
[14] Voir Code pénal, articles 454 ss.