2.1. Un bref aperçu des obligations en matière de protection des données
La législation en matière de protection des données s’applique à tout traitement de données à caractère personnel quel que soit l’identité du responsable du traitement. A cet égard, il importe peu que ce dernier soit un parti politique reconnu en tant que tel, une association, un groupement de personnes physiques ou une personne physique. Par conséquent, si un candidat individuel traite des données en vue de leur utilisation à des fins de prospection électorale, les présentes lignes directrices s’appliquent. Ce candidat ne peut en principe pas invoquer l’exception des « activités domestiques et personnelles » lorsqu’il traite des données personnelles pour le bénéfice de sa campagne électorale. En effet, même si le RGPD ne s’applique pas aux traitements de données effectués « dans le cadre d'une activité strictement personnelle ou domestique », cette exception doit être interprétée de manière restrictive selon la jurisprudence de la Cour de justice de l’Union européenne. Dès lors que le traitement de données effectués par un candidat dépasse son cercle familial et ses proches, le traitement est soumis au RGPD.
En application de l’article 5 du RGPD, les responsables du traitement doivent impérativement observer les principes découlant du RGPD pour tous leurs traitements de données.
Le principe de licéité[1] impose aux responsables du traitement de choisir la base juridique appropriée au traitement (aussi pour les données déduites (« inferred data »)[2]). Lorsque le traitement de données englobe des données dites « sensibles », comme des données révélant des opinions politiques, les responsables du traitement doivent non seulement respecter les prescriptions de l’article 6 du RGPD, mais également les conditions spécifiques imposées par l’article 9 du RGPD encadrant les traitements de catégories particulières de données[3].
Le principe de limitation des finalités[4] exige que les responsables du traitement identifient une finalité licite pour chaque traitement. Réutiliser des données pour un traitement ultérieur est uniquement possible si la finalité de cette réutilisation est compatible avec la finalité initiale de la collecte des données.
Le principe de transparence[5] requiert que les personnes concernées doivent recevoir certaines informations concernant le ou les traitements entrepris, quel que soit la source des données collectées par le responsable du traitement[6].
Exemple Un syndicat ou un groupement d’intérêts de citoyens pourrait être amené à solliciter de ses contacts le consentement à transmettre leurs données de contact à un parti politique afin que celui-ci puisse leur adresser des communications en matière de prospection politique dans le contexte d’une campagne électorale. Le parti politique en tant que responsable du traitement reçoit ainsi des données de tiers et doit vérifier si les données reçues ont été obtenues de manière licite. De plus, le parti politique doit veiller à ce que la finalité initiale utilisée pour légitimer la collecte soit compatible avec les finalités poursuivies et doit s’assurer que, si la collecte initiale a été légitimée par le consentement, les personnes concernées ont donné leur consentement éclairé également pour la finalité ultérieure[7]. Finalement, le parti politique doit encore informer les personnes concernées de la collecte de ces données, au plus tard à la première prise de contact. |
En vertu des principes de minimisation des données[8] et d’exactitude[9], les responsables du traitement ne doivent collecter et traiter que les données nécessaires au regard des finalités pour lesquelles elles sont traitées et doivent garantir l’exactitude des données, en particulier pour les données provenant de sources différentes et les données déduites. Par ailleurs, le principe de la limitation de la conservation exige que les responsables du traitement suppriment les données lorsqu’elles ne sont plus nécessaires à la finalité initiale pour laquelle elles ont été collectées[10].
En vertu du principe d’intégrité et de confidentialité des données[11], les responsables du traitement doivent prévoir des mesures de sécurité adéquates, c’est-à-dire s’assurer des mesures techniques et organisationnelles appropriées[12]. Parmi ces mesures techniques, il convient par exemple de sécuriser les listes utilisées pour la prospection électorale et de les conserver sur des supports suffisamment protégés contre des tentatives d’intrusion.
Concrètement, il est recommandé de chiffrer les ordinateurs et supports qui contiennent des données personnelles ou confidentielles. De plus, il convient d’avoir des systèmes informatiques à jour, de se protéger des intrusions via des suites logicielles ad-hoc ou des équipements dédiés (pare-feux). Autant que possible l’authentification à double facteur doit être utilisée si disponible et les mots de passe doivent être complexes. Concernant l’utilisation de listes de diffusion par courriel, il est recommandé d’utiliser le champ « CCI » afin de garantir la confidentialité des adresses e-mail des destinataires. Les fichiers de prospection devraient être cloisonnés lorsque les conditions relatives à leurs traitements diffèrent, c’est-à-dire qu’il y a par exemple différentes sources, conditions de licéité ou durées de conservation.
Parmi les mesures à prendre, les responsables du traitement doivent encore établir clairement qui a accès aux données[13]. Par exemple, les partis politiques doivent veiller à ce que seules les personnes au sein d’un parti politique qui ont besoin pour l’exécution de tâches particulières aient accès aux données personnelles en cause. Ils devraient également sensibiliser les personnes susceptibles d’exécuter les opérations de traitement.
En prévision d’une violation de données personnelles (telle que définie par l’article 4, point 12°, du RGPD, (attaques par des hackers, perte de la liste des membres, perte d’un ordinateur portable ou d’un stick USB), les responsables du traitement devraient prévoir des procédures de réaction rapide et de mitigation des conséquences sur les droits des personnes concernées et de notification à la CNPD et d’information aux personnes concernées[14].
Par ailleurs, les responsables du traitement doivent veiller au respect des droits des personnes concernées, à savoir le droit à l’information, le droit d’accès, le droit à l’oubli, le droit d’opposition et le droit de formuler une réclamation auprès de la CNPD[15]. Par exemple, lorsque les responsables du traitement envisagent de recourir au profilage, ils doivent prendre en compte les risques caractérisant ces techniques, adopter des garanties appropriées et se conformer aux conditions spécifiques encadrant ces moyens de traitement de données[16]. Selon le traitement envisagé, il peut être nécessaire d’effectuer en amont une analyse d’impact relative à la protection des données[17].
De plus, les responsables du traitement doivent recourir uniquement à des sous-traitants présentant des garanties suffisantes et démontrant des connaissances spécialisées, une fiabilité et des ressources appropriées[18] et doivent conclure des contrats avec eux clarifiant leurs obligations respectives.
Le principe de responsabilité (« accountability ») signifie que les responsables du traitement doivent être en mesure de démontrer leur conformité à tout moment[19]. Cela implique par exemple d’établir une documentation adéquate relative aux traitements de données effectués, y compris un registre de traitement des données, la documentation relative aux procédures mises en place, les contrats avec les sous-traitants et un registre interne des incidents et violations en matière de protection des données.
2.2. Les opinions politiques, une catégorie particulière de données
Les données à caractère personnel qui révèlent des opinions politiques constituent une catégorie particulière de données au titre du RGPD et leur traitement est strictement encadré par l’article 9.
Les finalités de l’utilisation des données à caractère personnel et l’identité du responsable du traitement peuvent entrer en ligne de compte quand il s’agit de déterminer si des données révèlent des opinions politiques. Par exemple, alors qu’une liste de clients d’une entreprise ou une liste de membres d’une association sportive ne révèle en principe pas les opinions politiques des personnes concernées, une liste de membres ou de sympathisants d’un parti politique révèle bien des opinions réelles ou supposées des personnes concernées.
Il est également important de noter que des « opération[s] intellectuelle[s] de déduction ou de recoupement » ou encore des techniques de profilage peuvent produire, via une combinaison de données a priori en dehors du champ de l’article 9 du RGPD, des données déduites pouvant révéler des opinions politiques au sens de cet article[20].
Dès que des données sont combinées, par exemple à des données statistiques ou démographiques, à des fins d’élaboration d’un profil d’électeur, l’article 9 du RGPD a vocation à s’appliquer. Si un responsable du traitement utilise les données observées pour catégoriser la personne concernée comme ayant certaines opinions politiques, que la catégorisation soit correcte ou non, cette catégorisation doit manifestement être considérée comme un traitement de données sensibles[21].Comme développé plus loin, cela signifie qu’il est en principe interdit de constituer un tel profil, à moins de remplir les conditions de l’article 9, paragraphe 2, du RGPD[22].
[1] Articles 5, paragraphe 1er, lettre a), et 6 du RGPD.
[2] Voir ci-après, notamment points 4. et 5.2.
[3] Voir ci-après, point 2.2.
[4] Article 5, paragraphe 1er, lettre b), du RGPD.
[5] Articles 5, paragraphe 1er, lettre a), 12, 13 et 14 du RGPD.
[6] Groupe de travail « article 29 », Lignes directrices du 11 avril 2018 sur la transparence au sens du règlement (UE) 2016/679 (WP260rev.01), approuvées par le Comité européen de la protection des données.
[7] Article 6, paragraphe 4, du RGPD.
[8] Article 5, paragraphe 1er, lettre c) du RGPD.
[9] Article 5, paragraphe 1er, lettre d), du RGPD.
[10] Article 5, paragraphe 1er, lettre e), du RGPD.
[11] Articles 5, paragraphe 1er, lettre f), 25 et 32 du RGPD.
[12] Voir, pour plus d’informations, le dossier thématique de la CNPD sur la sécurité informatique, disponible sous : https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/securite-informatique.html
[13] Egalement en application des principes de la protection des données dès la conception et par défaut, définis à l’article 25 du RGPD, ainsi qu’aux obligations liées à la mise en place d’un niveau de sécurité adapté au risque, définies à l’article 32 du RGPD.
[14] Articles 33 et 34 du RGPD.
[15] Articles 12 à 22 du RGPD.
[16] Article 22 du RGPD.
[17] Articles 35 et 36 du RGPD.
[18] Article 28 du RGPD.
[19] Article 5, paragraphe 2, du RGPD.
[20] CJUE, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, ECLI:EU:C:2022:601. Voir aussi les lignes directrices 8/2020 du Comité Européen de la Protection des Données (EDPB) du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux et les lignes directrices du groupe de travail « article 29 » du 6 février 2018 relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (WP251rev0.1), approuvées par le Comité européen de la protection des données, pages 16-17
[21] Voir les lignes directrices 8/2020 du Comité Européen de la Protection des Données (EDPB) du 13 avril 2021 sur le ciblage des utilisateurs de médias sociaux, points 123 et 125.
[22] Voir ci-après, points 4 et 5.2.