Election présidentielle : cyber-campagne électorale et confiance dans l’intégrité du processus démocratique

Le spectre de l’abstention plane sur les élections présidentielle et législative de 2022. Alors que des sites internet de candidats à l’élection présidentielle française ont été épinglés pour non-respect du droit de la protection des données à caractère personnel, comment les acteurs politiques peuvent-ils susciter l’engagement des électeurs par le biais des médias sociaux tout en évitant les risques liés à la collecte et au traitement de leurs données à caractère personnel ?

Garantir des élections libres et équitables

Les partis politiques utilisent des plateformes de médias sociaux (Facebook, Instagram, WhatsApp, etc…) pour atteindre les électeurs parfois avec des messages très personnalisés (micro-ciblage) ayant identifié leurs intérêts personnels, habitudes de vie et valeurs. Les révélations de Cambridge Analytica (élection présidentielle américaine) et le référendum britannique sur le Brexit (podcast ‘Y aura-t-il un Cambridge Analytica de nos données ?’), et les phénomènes de désinformation mettent en péril les processus démocratiques et entachent la sincérité des échanges ce qui expose les électeurs à de la manipulation.

Des outils prédictifs peuvent formuler des hypothèses sur les opinions politiques et des catégories particulières de données : emojis, réactions, interactions et commentaires trahissent votre humeur, vos traits de personnalité, voire votre appartenance à un parti politique, vos croyances religieuses ou philosophiques qui sont les plus révélatrices de l’intimité de votre vie privée.

Les start-up de la data électorale croisent des millions d’informations issues des organismes publics avec les derniers résultats des bureaux de vote pour savoir presque rue par rue qui a voté pour qui, ce qui permet d’adapter les messages, les mails, les SMS, en fonction des sujets intéressant les électeurs (déserts médicaux, transports, etc…).

Les personnes ciblées par une intelligence artificielle à des fins de prospection politique se retrouvent enfermées dans des bulles numériques polarisées. Qu’en est-il de votre liberté de choix et de pensée ? De votre liberté d’expression en tant que citoyen ?

Les techniques de traitement des données à caractère personnel à des fins politiques font donc peser de graves risques sur la confiance dans l’intégrité du processus démocratique. Les opinions politiques sont une catégorie particulière de données au titre du RGPD qui encadre leur traitement strictement (art.9). De plus, et on l’ignore trop souvent, le fait d’utiliser des techniques de profilage pour combiner des données ne relevant pas a priori de l’opinion politique mais pouvant révéler cette opinion par déduction à des fins d’élaboration d’un profil d’électeurs entre également dans ce régime juridique protecteur.

 

Des données précises donc précieuses

La principale source sont les listes de membres ou sympathisants, les listes électorales (dont chaque citoyen peut demander une copie) : elles contiennent le prénom, le nom, le domicile, le lieu et la date de naissance, la nationalité et le cas échéant prénom et nom du conjoint. Ces précieuses données ne peuvent être utilisées qu’à des fins de prospection politique pendant les périodes électorales.

« Les partis et groupements politiques concourent à l’expression du suffrage. Ils se forment et exercent leur activité librement. Ils doivent respecter les principes de la souveraineté nationale et de la démocratie »

Constitution française du 4 octobre 1958 en vigueur, article 4.

Le parti politique doit aussi veiller à garantir que les citoyens qui font usage de leur droit d’opposition ne soient plus contactés lors d’élections futures (communales, européennes ou législatives).

Pour se rapprocher des électeurs, les candidats ne peuvent utiliser des fichiers obtenus d’organismes privés ou d’institutions publiques (associations, syndicat, fichier du personnel d’une administration ou d’une entreprise, données obtenues dans le cadre de l’exercice d’un mandat public, fichier client d’une entreprise). D’ailleurs, les associations ne peuvent communiquer la liste de leurs membres à des tiers que si elles ont recueilli leur consentement à cette fin. Le risque est ici de provoquer une rupture d’égalité entre les candidats.

Les données figurant sur des sources publiques (annuaire en ligne, site internet, réseau social) ne peuvent être réemployées à des fins électorales à moins d’avoir obtenu le consentement libre et éclairé des personnes ciblées pour une utilisation de leurs données à des fins de communication politique (prévoir une case que la personne doit cocher). La vigilance est donc de mise en cas de recours à des sous-traitants tels que des société d’analyse de données ou des revendeurs de données.

 

Comment susciter l’engagement des électeurs sans se mettre hors-la-loi ?

 

Face à un cadre juridique aussi complexe, comment piloter une cyber campagne électorale ?

Si le prospect est abonné à une lettre de diffusion, vous suit sur Twitter ou est votre ami sur Facebook, il entretient des contacts réguliers, il a aussi accepté la Politique de confidentialité de ces médias sociaux. A ce titre, l’envoi de messages privés est tout à fait possible. Si le contact est en revanche occasionnel, par exemple la personne demande des informations sur le projet politique, like ou retweete un post, ici encore la Politique de confidentialité qu’il a acceptée peut servir de fondement juridique à l’envoi d’un message direct par exemple : « vous avez retweeté… souhaitez-vous aussi recevoir des messages ? ». Si l’utilisateur du média social accepte, dans ce cas le consentement est validé ce qui légitime l’envoi de messages ultérieurs.

 

Les réflexes pour une cyber-campagne responsable

Une bonne pratique pour la cyber-prospection d’électeurs consiste à communiquer les informations suivantes :

  1. Indiquer qui est le responsable de traitement (nom du parti politique, élu ou candidat),
  2. Indiquer la source des données :
    • « Vous êtes abonné à notre newsletter » (collecte directe),
    • ou en pas de collecte indirecte : listes électorales accessibles au public, nom du réseau social, ou achat de base de données de contacts,
  3. Indiquer le fondement juridique : « vous avez donné votre accord pour être contacté »,
  4. Indiquer la finalité : « vos coordonnées sont utilisées pour vous informer tout au long de la campagne électorale… » (indiquer la nature de la campagne présidentielle, législative ou autre),
  5. Indiquer explicitement la durée de conservation qui est celle de la campagne visée,
  6. Mentionner les droits des électeurs et comment les exercer : « si vous ne le souhaitez pas, répondez STOP à … (insérer l’adresse mail) »,
  7. Conclure avec la mention obligatoire d’une possible réclamation à la CNIL.

 

Pour mémoire, tout manquement aux règles de protection des données donne lieu au paiement d’amendes administratives dissuasives dont le montant est fixé par la CNIL : jusqu’à 10 ou 20 millions d’euros selon les cas. Des sanctions pénales sont également encourues pouvant aller jusqu’à 5 ans d’emprisonnement les 300 000€ d’amende (art.226-16 et s. du code pénal).

La CNIL peut d’ailleurs exercer ses pouvoirs d’enquête : contrôle sur place dans les locaux, recours à une identité d’emprunt pour des contrôles en ligne. La campagne actuelle est surveillée par l’Observatoire des élections placé sous l’autorité de la CNIL.

Afin de limiter les risques, le candidat devra tenir un registre de ces activités de traitement même s’il confie la gestion à un tiers en vertu du principe de responsabilisation. Ce registre devra recenser :

  • les différents traitements : liste de donateurs et de contacts réguliers,
  • les catégories de données traitées : nom, genre, coordonnées voire opinion politique,
  • les finalités poursuivies : gestion du parti, propagande électorale, gestion des dons, prospection,
  • les catégories de personnes concernées et les destinataires : sous-traitant, direction, service communication.

Ces règles s’appliquent même à un candidat qui fait campagne seul.

 

Lexique

Responsable de traitement : personne morale (entreprise, commune…) ou physique qui détermine les finalités et moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique il s’agit de son représentant légal.

Sous-traitant : personne physique ou morale (entreprises ou organismes publics) qui traite les données pour le compte d’un responsable de traitement dans le cadre d’un service ou d’une prestation. Ses obligations concernant les données à caractère personnel sont définies dans le contrat de prestation.

 

Sources

CNIL, Présidentielle 2022 : le plan d’action de la CNIL pour protéger les données des électeurs, 2022

LINC CNIL, Civic tech, données et Demos, Cahiers IP Innovation & Prospective n° 07, 2019

CNIL, Campagnes électorales : tout savoir sur les règles CSA et CNIL, 2016

CNIL, Recommandations sur la communication politique, 2012

 

Étiquette:, , , ,

Dr Nathalie DEVILLIER
Dr Nathalie DEVILLIER

Nathalie DEVILLIER est la fondatrice d’Influence Cyber.

Docteur en droit international économique, son expertise est recherchée par les institutions européennes et internationales.

Vous pourriez aussi aimer

CREDIT : Faut qu’on en parle !
Carte d’identité et carte vitale: une fusion à risques?
30 mai, 2023
copyright Family3DNA
Ali Data et les 40 voleurs: fin de la récré pour le business des tests ADN commerciaux?
21 août, 2022
Crédit photo : Depositphotos @rafapress
Le certificat vert européen où comment assurer la libre circulation des personnes dès juin 2021
4 mai, 2021