Que change la nouvelle loi américaine sur la vente de données personnelles ?

trump double illusion digitalebox twitterNouvelle épisode de la saga américaine sur la gestion des données. La question de la protection des données et la législation font régulièrement les titres de l’actualité, agitent tous les acteurs de la filière et impliquent que tous les clients et utilisateurs se conforment à la législation.

Nouvelle législation US-UE de protection des données : quelles implications pour vous ?

Le Congrès américain a voté une nouvelle loi, à l’initiative de Donald Trump, la nouvelle loi permettra aux FAI de vendre leurs données client, révoquant la précédente loi de Barack Obama. Lire la suite

facebooktwittergoogle_pluslinkedin

Le RGDP en Europe (le Règlement général sur la protection des données)

banner-mqLes changements apportés à la gouvernance des données auront des conséquences de grande envergure pour votre entreprise. Le nouveau Règlement général sur la protection des données (GDPR) déterminera la façon dont votre entreprise fera et comment elle sera traitée à l’avenir. Les nouveaux règlements entrent en vigueur en 2018 et vous devez commencer à vous préparer maintenant – trouver de l’aide ici.

facebooktwittergoogle_pluslinkedin

Données électorales : Trump ordonne de retirer les droits à la vie privée de citoyens non américains pour les données collectées

trump vie privee donnees electorales citoyens francais europeens americains nationbuilder digitalebox 3Trump ordonne de retirer les droits à la vie privée de citoyens non américains.
Toutes les données collectées des citoyens européens et français dans les logiciels américains sont concernées.
Déjà très exposés avec le Safe Harbor, (l’accord entre l’UE et les US sur les droits à la vie privée concernant les données des européens collectées par les éditeurs de logiciels américains), les européens ne bénéficiaient pas des mêmes droits à la vie privée que les américains, les européens se retrouveraient désormais totalement privés de droits à la vie privé.

Lire la suite

facebooktwittergoogle_pluslinkedin

Présidentielle, législatives, Elections 2016 / 2017 : quelles règles doivent respecter les candidats et partis ?

cnil digitalebox communication politique reseaux sociaux juridique obligations legislationCommunication politique : quelles sont les règles pour l’utilisation des données issues des réseaux sociaux ?

08 novembre 2016

En prévision des élections à venir, la CNIL a souhaité approfondir l’analyse des logiciels de stratégie électorale au regard de la loi Informatique et Libertés. Elle précise les conditions dans lesquelles les données issues des réseaux sociaux peuvent être utilisées.

Voir l’article de la CNIL

La collecte de données issues des réseaux sociaux 

La collecte massive de données issues des réseaux sociaux n’est pas légale en l’absence d’information des personnes concernées

Le caractère « public » des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles : si leur simple consultation est toujours possible, le traitement de ces données (extraction, enregistrement, utilisation, enrichissement, etc.) est soumis à l’ensemble des conditions prévues par la loi « Informatique et Libertés ».

Ainsi, comme cela a été rappelé par la Cour de cassation et le Conseil d’Etat, la collecte des données présentes sur internet ou les réseaux sociaux doit être loyale et licite.

Quel que soit le mode de collecte (direct ou indirect) des données, cela suppose l’information des personnes concernées ainsi que la possibilité de s’opposer à la collecte des informations.

L’information générale donnée par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins qui figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme informées.

 

La distinction entre contacts réguliers et occasionnels

Les problématiques soulevées par les logiciels de stratégie électorale doivent être analysées à la lumière des précédentes prises de position de la Commission en matière de communication politique. Dans sa recommandation de 2012 sur la communication politique,  la CNIL s’est notamment fondée sur la distinction entre les « contacts réguliers » des candidats et partis et leurs « contacts occasionnels ».

Cette distinction reste tout à fait pertinente dans le cadre de l’utilisation de données issues des réseaux sociaux. 

Contact régulier

Toute personne qui accomplit, auprès d’un parti politique, une démarche positive en vue d’entretenir des échanges réguliers et touchant directement à son action politique. Cette notion est donc distincte de celle de « membre ».

Exemple : abonnement à une lettre de diffusion, soutien financier régulier, participation aux activités ou réunions du parti, etc. 

Sur les réseaux sociaux : « follower » sur Twitter, personne « amie » sur Facebook, et plus généralement la personne qui, par l’intermédiaire des réseaux sociaux, a clairement manifesté sa volonté d’entretenir des contacts réguliers avec le parti politique ou le candidat. Pour autant, on ne saurait déduire automatiquement de telles relations une orientation politique univoque.

Contact occasionnel

Toute personne qui sollicite ponctuellement un parti politique ou un candidat, sans entretenir avec lui d’échanges réguliers dans le cadre de son activité politique. Toute personne sollicitée sans démarche volontaire de sa part

Exemples : Demande d’information sur un projet ou à l’occasion d’une campagne électorale particulière, demande d’intervention ( logement, intervention dans un différend, etc)

Un membre du parti ou un soutien du candidat qui communique son carnet d’adresses personnel, une opération de parrainage, la location d’une base de prospection, etc.

Sur les réseaux sociaux : internaute qui « aime », qui commente, partage ou « retweete » des contenus publiés sur les réseaux sociaux.


L’utilisation des données issues des réseaux sociaux dans le cadre d’opérations de communication politique

  1. Communiquer à destination des contacts

Communiquer à destination d’un contact régulier

Ces personnes doivent être informées des conditions de traitement de leurs données, par le biais des onglets « politique vie privée » intégrés sur les pages dédiées aux candidats ou partis de ces réseaux sociaux, auxquelles ils accèdent pour nouer ces interactions.

Cette information préalable doit notamment indiquer de manière claire :

  • la nature des données collectées ;
  • l’objectif de leur traitement ;
  • les modalités permettant de s’opposer à ce traitement

Exemple d’information devant figurer dans la politique vie privée des réseaux sociaux
Le [candidat/parti] est susceptible de collecter et utiliser les [préciser le type de données] des membres du [nom du réseau] s’étant inscrits en tant que [« amis » / « followers » /etc.] afin de [les contacter sur le réseau social utilisé, leur transmettre des informations, etc]. Les membres du [nom du réseau] peuvent s’opposer à tout moment à une telle utilisation en s’adressant à [point de contact tel qu’une adresse électronique].

Toutes les fonctionnalités offertes par ces réseaux sociaux peuvent alors être utilisées par les candidats ou partis pour communiquer avec ces contacts réguliers : ils peuvent par exemple publier des contenus qui seront portés à leur connaissance, leur adresser des messages privés par l’intermédiaire de ces réseaux, etc. Les personnes doivent pouvoir s’opposer à tout moment à cette communication.

 

Comment proposer à un contact occasionnel de devenir un contact régulier ?

Les coordonnées des contacts occasionnels ne doivent être utilisées qu’une seule fois afin de leur proposer d’établir un échange régulier ou de devenir membre d’une association.

  • En cas de réponse positive, ils deviennent des « contacts réguliers » des responsables de traitement ;
  • En cas de réponse négative ou d’absence de réponse, leurs données ne peuvent pas faire l’objet d’un traitement. Elles doivent être effacées.

Ces informations ne peuvent être utilisées pour en déduire une sensibilité ou orientation politique réelle ou supposée. Seul l’établissement de contacts réguliers permet aux candidats et aux partis de traiter les opinions politiques des personnes concernées.


  1. Enrichir une base de données de contacts

Cet enrichissement peut permettre aux candidats ou partis d’élargir les canaux de communication avec leurs contacts en utilisant, par exemple, l’adresse électronique d’un « contact Facebook », le compte Facebook d’un « follower », etc. Il  permet ainsi d’affiner la communication politique et de personnaliser les messages à destination de chaque contact.

Les contacts réguliers ont exprimé le souhait de communiquer sur un vecteur en particulier (réseau social, par courrier électronique, etc.), et non de façon générale sur l’ensemble des vecteurs.

Exemple : les personnes qui ont volontairement fourni leur adresse électronique aux fins de recevoir une newsletter de tel candidat ne peuvent être considérées comme ayant été informées ou ayant consenti à nouer des relations avec ce candidat par le biais d’un réseau social.

Le fait d’être un contact régulier par l’intermédiaire du réseau Facebook ne permet pas automatiquement de collecter et d’utiliser les coordonnées de contact indiquées sur le profil Twitter.

 

Dans quelles conditions les partis ou candidats peuvent-ils traiter les données « supplémentaires » collectées d’un contact régulier ?

  • Il est possible de collecter l’adresse mail d’un « contact régulier Facebook » uniquement pour lui adresser un message lui proposant d’entretenir des contacts réguliers par voie électronique ;
  • Il est possible de « collecter » le profil Facebook d’un « follower » uniquement pour lui adresser un message privé via ce réseau pour lui proposer d’entretenir des contacts réguliers sur Facebook ;
  • En l’absence de réponse positive à cette invitation, ces données ne peuvent faire l’objet d’une utilisation ultérieure et elles doivent être supprimées de la base de données des responsables de traitement.

  1. Profiler et cibler les utilisateurs des réseaux sociaux

Ce point constitue une des problématiques majeures, du point de vue de la protection des données personnelles.

Au-delà de la seule collecte des données de contact figurant sur les réseaux sociaux, le problème soulevé par les logiciels de stratégie électorale concerne également le ciblage des électeurs et les conséquences pratiques qui peuvent découler de leur présence dans ces bases de données. Celles-ci permettent de croiser de nombreuses catégories d’informations provenant de sources diverses :

  • informations de profil des réseaux autres que les seules données de contact,
  • données de navigation collectées via des cookies,
  • données transmises par des tiers et collectées dans un contexte sans rapport avec la prospection politique, etc.

Les nouveaux outils de prospection électorale peuvent permettre de collecter non seulement les données déclaratives des profils (nom, prénom, profession dans la mesure où l’individu l’a renseignée), mais aussi des données d’usage (quand, avec quelle fréquence la personne interagit avec le candidat, quelles sont les pages qu’elle visite, etc.).

Ces logiciels posent ainsi la question des limites à apporter à la combinaison de données, à l’exploitation de données relatives au comportement, aux goûts et aux interactions sociales en ligne des personnes, ainsi qu’aux conséquences de ces opérations sur les personnes concernées.

La combinaison de données sur chacun des utilisateurs d’un service (comme un réseau social), en l’absence d’outil de contrôle suffisant à leur disposition et de possibilité de s’opposer au profilage, ne peut se fonder sur l’intérêt légitime du responsable de traitement en l’absence de juste équilibre avec les droits et libertés des personnes concernées. Le consentement des internautes est donc nécessaire.

Ces combinaisons de données doivent se fonder sur le consentement des personnes et ne sauraient être mises en œuvre uniquement sur le fondement  de l’intérêt, même légitime, du candidat ou parti.

Dans quelles conditions les partis ou candidats peuvent-ils croiser des données ?

Les conditions de croisement peuvent être ainsi résumées :

  • Information de l’internaute à chaque collecte de données sur les réseaux sociaux,
  • Recueil de son consentement (acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant) quant à l’ensemble des conditions de mise en œuvre du traitement de données ainsi agrégées.

Une case à cocher pourrait être proposée assortie d’une mention indiquant « j’accepte que mes données [préciser lesquelles] soient utilisées afin de [indiquer la finalité par ex. « mieux connaitre mes attentes », « personnaliser des messages », etc.].

Ce consentement doit pouvoir être retiré à tout moment.

Le croisement des données personnelles ne peut concerner que les contacts réguliers.  Les conditions d’information et de recueil du consentement peuvent en effet difficilement être satisfaites pour les contacts occasionnels.

Le recueil du consentement et la qualité de l’information sont d’autant plus importants que l’utilisation des logiciels de stratégie électorale peut susciter des réserves de la part des personnes ciblées, notamment lorsque que le ciblage sur internet est utilisé pour établir un contact direct.

Une des tendances constatées consiste en effet à passer d’une prospection ciblée en ligne à une prospection ciblée en face-à-face (« du virtuel au réel ») – le porte-à-porte –, qui vise en particulier à mobiliser l’électorat et notamment les abstentionnistes. Ainsi, le mouvement en cours est celui d’un passage d’un porte-à-porte traditionnel indifférencié (sur la base de la liste électorale) à un porte-à-porte ciblé, sur la base des informations collectées en ligne. Les deux types de contact sont cependant très différents.

En l’absence d’un tel consentement, seuls des porte-à-porte ciblés, à l’échelle d’une circonscription, d’un quartier ou d’une rue, devraient être réalisés sur la base des données traitées par ces logiciels, et non des porte-à-porte « personnalisés ».

 

 

 

facebooktwittergoogle_pluslinkedin