Communication politique : quelles règles pour la collecte de données sur les réseaux sociaux ?
En prévision des élections à venir, la CNIL a souhaité approfondir l'analyse de l’usage des logiciels de stratégie électorale au regard de la législation sur la protection des données personnelles. Elle précise notamment les conditions dans lesquelles les données issues des réseaux sociaux peuvent être utilisées dans le cadre de la campagne électorale.
La collecte de données issues des réseaux sociaux
La collecte massive de données personnelles issues des réseaux sociaux, comme tout traitement de données, doit respecter la loi Informatique et Libertés et le règlement général sur la protection des données personnelles (RGPD).
Le caractère « public » ou éventuellement « librement accessible » des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles.
Ainsi, le traitement de ces données (consultation, extraction, enregistrement, enrichissement, etc.) doit notamment être loyal et licite.
Quels sont les grands principes à respecter ?
Définir une base légale adaptée
Comme pour tout traitement de données personnelles, le responsable de traitement doit d’abord fonder le traitement qu’il entend mettre en œuvre sur l’une des bases légales prévues par le RGPD.
Seules deux bases légales apparaissent ici possibles : le consentement des personnes ou l’intérêt légitime de l’organisme qui va traiter les données.
D’une manière générale, la CNIL recommande de recueillir le consentement des personnes dans le cadre d’opérations de prospection politique, d'autant plus lorsque la collecte des données s’effectue sur les espaces publics d’internet et les réseaux sociaux.
À défaut de recueillir un consentement valable (libre, informé et univoque), le responsable du traitement pourra mettre en avant son intérêt légitime à procéder à un tel traitement sous réserve de remplir certaines conditions cumulatives.
Il devra ainsi :
- justifier du respect de la condition de « nécessité » en s’assurant notamment qu’il n’existe pas de moyen moins intrusif pour la vie privée d’atteindre cet objectif que de mettre en œuvre le traitement envisagé ;
- déterminer de façon suffisamment claire et précise l’intérêt qu’il poursuit, qui devra être réel et présent, et non fictif ;
- s’assurer que le traitement ne heurte pas les droits et les intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. En pratique, cela revient à répondre à la question suivante : les personnes concernées pouvaient-elles s’attendre à un tel traitement et à ses conséquences (dans ce cas, la collecte de leurs données à des fins de démarchage politique) ? Pour y répondre, le responsable de traitement doit opérer une mise en balance entre les droits et intérêts en cause ;
- mettre en œuvre des mesures compensatoires ou additionnelles pour limiter les impacts du traitement sur les personnes concernées (qui pourrait être par exemple un droit d’opposition « inconditionnel »).
Vérifier l’origine des données
Les sociétés ou les personnes ayant recours à des logiciels collectant des données sur les réseaux sociaux doivent s’assurer de l’origine des données collectées. En effet, certains logiciels extraient ces informations à partir de sites web dont les conditions générales d’utilisation (CGU) interdisent l’aspiration ou restreignent la réutilisation des données.
Dans une telle hypothèse, la collecte des données des utilisateurs sera encore moins susceptible de répondre à leurs attentes raisonnables puisque le principe en est exclu dans le cadre de l’adhésion au service.
Ne pas traiter de données sensibles (sauf exception)
Le traitement de données sensibles, telles que les opinions politiques, réelles ou supposées des personnes est en principe interdit.
Pour envisager un tel traitement, le responsable de traitement devra :
- s’assurer qu’il peut justifier de l’une des exceptions prévues par le RGPD et la loi Informatique et Libertés ;
- réaliser des formalités préalables auprès de la CNIL (comme la réalisation d’une AIPD, le cas échéant, soumise à consultation préalable de la CNIL).
Une des exceptions prévues par les textes concerne l’hypothèse où les données ont été « manifestement rendues publiques par la personne concernée », c’est-à-dire lorsque la personne a délibérément divulgué des informations sensibles la concernant. Cela ne concerne pas les commentaires publiés par un tiers sur un réseau social.
Exemple : des opinions politiques tenues par un candidat à une élection lors d’une émission télévisée constituent des données manifestement rendues publiques par la personne concernée.
S’agissant des réseaux sociaux, selon le Comité européen de la protection des données (CEPD), les éléments suivants peuvent être pertinents pour aider à évaluer si les données ont été manifestement rendues publiques par la personne concernée :
- le paramétrage par défaut de la plateforme de médias sociaux (c'est-à-dire si la personne concernée a fait une action pour changer ses paramètres privés par défaut en paramètres publics) ; ou
- la nature de la plateforme de médias sociaux (c'est-à-dire si cette plateforme a vocation à connecter des connaissances proches avec la personne concernée ou à nouer des relations intimes, telles que les plateformes de rencontres en ligne), ou s'il est destiné à fournir un plus large éventail de relations interpersonnelles, telles que les relations professionnelles, ou le « microblogging », le partage de médias, les réseaux sociaux plateformes de partage d'avis en ligne, etc. ; ou
- l'accessibilité de la page où les données sensibles sont publiées (c'est-à-dire si les informations sont accessibles au public ou si, par exemple, la création d'un compte est nécessaire avant d'accéder aux informations) ; ou
- la visibilité de l’information sur le caractère public des contenus publiés par les personnes concernées (c'est-à-dire s'il y a par exemple une bannière continue sur la page, ou si le bouton de publication informe la personne concernée que les informations seront rendues publiques…) ; ou
- si la personne concernée a elle-même publié les données sensibles, ou si, à l’inverse, les données ont été publiées par un tiers (par exemple une photo publiée par un ami qui révèle des données sensibles) ou déduites.
Le CEPD note que la présence d'un seul élément peut ne pas toujours suffire à établir que les données ont été « manifestement » rendues publiques par la personne concernée. En pratique, une combinaison de ces éléments ou d'autres éléments peut devoir être prise en compte pour que les responsables du traitement démontrent que la personne concernée a manifesté clairement l'intention de rendre les données publiques.
Le fait que les données aient été manifestement rendues publiques par les personnes n’exonère pas de justifier en amont d’une base légale (consentement ou intérêt légitime).
Minimiser la collecte des données
Comme pour tout traitement de données personnelles, la collecte de données doit être réduite à ce qui est strictement nécessaire au regard de la finalité poursuivie.
Les sociétés utilisant des logiciels de démarchage doivent en particulier se montrer vigilantes pour éviter la collecte d’informations non pertinentes ou excessives, notamment si elles sont sensibles (par exemple des informations sur la santé, la religion ou l’orientation sexuelle des personnes).
Exemple : si les données sont collectées pour ensuite être utilisées à des fins de démarchage téléphonique, il n’apparaît pas utile de collecter l’adresse postale de la personne.
Respecter les droits des personnes concernées, notamment l’information sur le traitement
Le RGPD met à la charge des responsables de traitement une obligation de transparence à l’égard des personnes concernées et une obligation d’information renforcée. Quel que soit le mode de collecte (direct ou indirect) des données, il est essentiel que les personnes faisant l’objet d’un traitement par un candidat puissent exercer leurs droits Informatique et Libertés à tout moment.
Concrètement, cela se traduit pour le responsable de traitement par :
- l’obligation de fournir aux personnes les informations sur le traitement de leurs données, qui doivent être concises, transparentes, compréhensibles et aisément accessibles, en des termes clairs et simples ;
- l’obligation de faciliter l’exercice des droits des personnes, par exemple en fournissant un moyen simple de s’opposer au traitement.
À cet égard, le RGPD distingue et détaille les mentions à fournir selon que les données ont été collectées directement auprès des personnes ou de manière indirecte.
D’une manière générale, le responsable de traitement doit informer clairement les personnes concernées sur :
- l’identité et les coordonnées du responsable de traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;
- les finalités du traitement ainsi que sa base légale ;
- les destinataires des données personnelles, s’ils existent ;
- la possibilité d’un transfert des données vers un pays tiers à l’Union européenne ou à une organisation internationale ;
- la durée de conservation des données ;
- l’existence des droits Informatique et Libertés (droit d’accès, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition) et les modalités pratiques pour les exercer (coordonnées, postales ou électroniques ou tout moyen de contact utile) ;
- la possibilité pour la personne de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
- le droit d’introduire une réclamation auprès de la CNIL ;
- l’existence éventuelle d’une prise de décision automatisée, y compris un profilage.
En cas de collecte indirecte, applicable en cas de collecte sur un réseau social autre que celui du parti par exemple, il faut ajouter :
- les catégories de données recueillies ;
- la source des données.
Encadrer la relation contractuelle avec les sous-traitants
En cas de recours aux services d’un prestataire pour réaliser des activités de prospection politique par exemple, le responsable du traitement doit s’assurer que les principes précédemment indiqués sont pris en compte par ce prestataire.
Les conventions entre le responsable du traitement et son sous-traitant doivent respecter l’article 28 du RGPD en définissant, notamment :
- l'objet et la durée du traitement ;
- la nature et la finalité du traitement ;
- le type de données personnelles ;
- les catégories de personnes concernées ;
- les obligations et les droits du responsable du traitement.
Réaliser une analyse d’impact relative à la protection des données (AIPD)
Dans certaines situations, une AIPD est obligatoire avant la mise en œuvre du traitement. Par ailleurs, même si une telle analyse d’impact n’est pas obligatoire, il s’agit d’une bonne pratique à adopter pour s’assurer que le traitement de données envisagé est respectueux du RGPD.
La réutilisation des données issues des réseaux sociaux dans le cadre d’opérations de communication politique
Que ce soit le responsable de traitement qui a collecté les données sur les réseaux sociaux ou un autre responsable de traitement qui souhaite réutiliser ces données, dans ces deux hypothèses, il devra respecter la réglementation relative à la protection des données personnelles et en particulier les droits des personnes.
L’utilisation qui sera faite des données issues des réseaux sociaux devra être portée à la connaissance des personnes concernées. Comme indiqué précédemment, le RGPD distingue et détaille les mentions à fournir selon que les données ont été collectées directement auprès des personnes ou de manière indirecte.
Dans l’hypothèse où la personne qui a collecté les données a l’intention d’effectuer un traitement ultérieur des données personnelles pour une finalité incompatible avec celle pour laquelle les données ont été collectées, alors elle devra fournir au préalable à la personne concernée des informations au sujet de cette finalité (par exemple, des données sur les réseaux sociaux collectées dans le but d’inviter les personnes sollicitées à soutenir un candidat à une élection déterminée : avant de pouvoir réutiliser ses données ultérieurement à des fins de prospection pour une autre élection et un autre candidat, ces formalités devront être respectées).
À cet égard, l’information générale donnée par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins qui figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme informées.
-
Enrichir une base de données de contacts
Cet enrichissement peut permettre aux candidats ou partis d’élargir les canaux de communication avec leurs contacts en utilisant, par exemple, l’adresse électronique d’un « contact Facebook », le compte Facebook d’un « follower », etc. Il permet ainsi d’affiner la communication politique et de personnaliser les messages à destination de chaque contact.
Bonne pratique
La CNIL recommande de considérer les personnes qui ont sollicité ponctuellement l’élu ou le candidat comme des « contacts occasionnels » de celui-ci et de n’utiliser leurs données à des fins de communication politique qu’une seule fois afin d’inviter ces personnes à accepter d’entretenir des échanges plus réguliers avec l’élu ou le candidat (par exemple, internaute qui « aime », qui commente, partage ou « retweete » des contenus publiés sur les réseaux sociaux).
Pour les personnes dont les données sont collectées sans démarche volontaire de leur part, la CNIL recommande également de n’utiliser leurs données qu’une seule fois afin de recueillir leur consentement à être recontactées.
La CNIL considère en effet qu’est un « contact régulier » toute personne qui a accompli, auprès d’un parti ou d’un candidat, une démarche positive en vue d’établir des rapports réguliers et directement liés à son action politique (abonnement à une lettre d’information, « follower » sur Twitter, personne « amie » sur Facebook, et plus généralement la personne qui, par l’intermédiaire des réseaux sociaux, a clairement manifesté sa volonté d’entretenir des contacts réguliers avec le parti politique ou le candidat, etc.).
-
Profiler et cibler les utilisateurs des réseaux sociaux
Ce point constitue une des problématiques majeures, du point de vue de la protection des données personnelles.
Au-delà de la seule collecte des données de contact figurant sur les réseaux sociaux, le problème soulevé par les logiciels de stratégie électorale concerne également le profilage des électeurs et les conséquences pratiques qui peuvent découler de leur présence dans ces bases de données. Celles-ci permettent de croiser de nombreuses catégories d’informations provenant de sources diverses :
- informations de profil des réseaux autres que les seules données de contact ;
- données de navigation collectées via des cookies ;
- données transmises par des tiers et collectées dans un contexte sans rapport avec la prospection politique, etc.
Les nouveaux outils de prospection électorale peuvent permettre de collecter non seulement les données déclaratives des profils (nom, prénom, profession dans la mesure où l’individu l’a renseignée), mais aussi des données d’usage (quand, avec quelle fréquence la personne interagit avec le candidat, quelles sont les pages qu’elle visite, etc.). Ces logiciels posent ainsi la question des limites à apporter à la combinaison de données, à l’exploitation de données relatives au comportement, aux goûts et aux interactions sociales en ligne des personnes, ainsi qu’aux conséquences de ces opérations sur les personnes concernées.
En outre, l’utilisation de données issues des réseaux sociaux pour catégoriser les utilisateurs comme ayant certaines convictions religieuses, philosophiques ou politiques, que la catégorisation soit correcte/vraie ou non, conduit à un traitement de données dites « sensibles », cette catégorie particulière de données faisant l’objet d’une protection spécifique.
Le RGPD pose ainsi les règles applicables au profilage, notamment lorsqu’il conduit à prendre des décisions automatisées à l’égard des personnes (article 22).
Tout traitement de profilage doit en effet faire l’objet d’une vigilance accrue, car il soulève par nature des risques particulièrement importants pour les droits et libertés des personnes. Les dispositions du RGPD doivent donc être appliquées à ces traitements en tenant compte de cette spécificité, par exemple en assurant la plus grande transparence et le respect des droits des personnes concernées par le profilage réalisé.
Le RGPD précise notamment que le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités et qu’elle devrait être informée de l'existence d'un profilage et des conséquences de celui-ci.
-
Réaliser une analyse d’impact relative à la protection des données (AIPD)
Il est rappelé qu’une AIPD est requise pour les traitements de profilage faisant appel à des données provenant de sources externes, comme un profilage de potentiels électeurs à partir de la collecte de données issues des réseaux sociaux.