En prévision des élections à venir, la CNIL a souhaité approfondir l’analyse des logiciels de stratégie électorale au regard de la loi Informatique et Libertés. Elle précise les conditions dans lesquelles les données issues des réseaux sociaux peuvent être utilisées.
La collecte de données issues des réseaux sociaux
La collecte massive de données issues des réseaux sociaux n’est pas légale en l’absence d’information des personnes concernées
Le caractère « public » des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles : si leur simple consultation est toujours possible, le traitement de ces données (extraction, enregistrement, utilisation, enrichissement, etc.) est soumis à l’ensemble des conditions prévues par la loi « Informatique et Libertés ».
Ainsi, comme cela a été rappelé par la Cour de cassation et le Conseil d’Etat, la collecte des données présentes sur internet ou les réseaux sociaux doit être loyale et licite.
Quel que soit le mode de collecte (direct ou indirect) des données, cela suppose l’information des personnes concernées ainsi que la possibilité de s’opposer à la collecte des informations.
L’information générale donnée par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins qui figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme informées.
La distinction entre contacts réguliers et occasionnels
Les problématiques soulevées par les logiciels de stratégie électorale doivent être analysées à la lumière des précédentes prises de position de la Commission en matière de communication politique. Dans sa recommandation de 2012 sur la communication politique, la CNIL s’est notamment fondée sur la distinction entre les « contacts réguliers » des candidats et partis et leurs « contacts occasionnels ».
Cette distinction reste tout à fait pertinente dans le cadre de l’utilisation de données issues des réseaux sociaux.
-
Enrichir une base de données de contacts
Cet enrichissement peut permettre aux candidats ou partis d’élargir les canaux de communication avec leurs contacts en utilisant, par exemple, l’adresse électronique d’un « contact Facebook », le compte Facebook d’un « follower », etc. Il permet ainsi d’affiner la communication politique et de personnaliser les messages à destination de chaque contact.
-
Profiler et cibler les utilisateurs des réseaux sociaux
Ce point constitue une des problématiques majeures, du point de vue de la protection des données personnelles.
Au-delà de la seule collecte des données de contact figurant sur les réseaux sociaux, le problème soulevé par les logiciels de stratégie électorale concerne également le ciblage des électeurs et les conséquences pratiques qui peuvent découler de leur présence dans ces bases de données. Celles-ci permettent de croiser de nombreuses catégories d’informations provenant de sources diverses :
- informations de profil des réseaux autres que les seules données de contact,
- données de navigation collectées via des cookies,
- données transmises par des tiers et collectées dans un contexte sans rapport avec la prospection politique, etc.
Les nouveaux outils de prospection électorale peuvent permettre de collecter non seulement les données déclaratives des profils (nom, prénom, profession dans la mesure où l’individu l’a renseignée), mais aussi des données d’usage (quand, avec quelle fréquence la personne interagit avec le candidat, quelles sont les pages qu’elle visite, etc.).
Ces logiciels posent ainsi la question des limites à apporter à la combinaison de données, à l’exploitation de données relatives au comportement, aux goûts et aux interactions sociales en ligne des personnes, ainsi qu’aux conséquences de ces opérations sur les personnes concernées.
La combinaison de données sur chacun des utilisateurs d’un service (comme un réseau social), en l’absence d’outil de contrôle suffisant à leur disposition et de possibilité de s’opposer au profilage, ne peut se fonder sur l’intérêt légitime du responsable de traitement en l’absence de juste équilibre avec les droits et libertés des personnes concernées. Le consentement des internautes est donc nécessaire.
Ces combinaisons de données doivent se fonder sur le consentement des personnes et ne sauraient être mises en œuvre uniquement sur le fondement de l’intérêt, même légitime, du candidat ou parti.
Le croisement des données personnelles ne peut concerner que les contacts réguliers. Les conditions d’information et de recueil du consentement peuvent en effet difficilement être satisfaites pour les contacts occasionnels.
Le recueil du consentement et la qualité de l’information sont d’autant plus importants que l’utilisation des logiciels de stratégie électorale peut susciter des réserves de la part des personnes ciblées, notamment lorsque que le ciblage sur internet est utilisé pour établir un contact direct.
Une des tendances constatées consiste en effet à passer d’une prospection ciblée en ligne à une prospection ciblée en face-à-face (« du virtuel au réel ») – le porte-à-porte –, qui vise en particulier à mobiliser l’électorat et notamment les abstentionnistes. Ainsi, le mouvement en cours est celui d’un passage d’un porte-à-porte traditionnel indifférencié (sur la base de la liste électorale) à un porte-à-porte ciblé, sur la base des informations collectées en ligne. Les deux types de contact sont cependant très différents.
En l’absence d’un tel consentement, seuls des porte-à-porte ciblés, à l’échelle d’une circonscription, d’un quartier ou d’une rue, devraient être réalisés sur la base des données traitées par ces logiciels, et non des porte-à-porte « personnalisés ».
Nouvelle épisode de la saga américaine sur la gestion des données. La question de la protection des données et la législation font régulièrement les titres de l’actualité, agitent tous les acteurs de la filière et impliquent que tous les clients et utilisateurs se conforment à la législation.
