JDN. Un reportage diffusé sur Complément d'enquête (France 2) cette semaine le démontre : le traitement de données et le ciblage à des fins de communication politique et électorale sont une pratique courante en France. Est-ce légal ?

Me Alexandra Iteanu. Le profilage politique sans le consentement exprès de la personne concernée préalable à la collecte de données est interdit. Généralement, ce qui est collecté dans le cadre des campagnes électorales ou en général sur le web concerne souvent des données a priori anodines, comme le nom, l'âge et l'adresse postale.  Mais l'analyse de ces données et le fait de les combiner peuvent se prêter à un démarchage politique. Cela s'appelle du profilage. Rappelons par ailleurs que, contrairement aux données des bases marketing, les données relatives à une opinion politique relèvent de la catégorie des données sensibles traitées par l'article 9 du Règlement général sur la protection des données (RGPD), qui sont par principe interdites de traitement sans consentement exprès préalable à la collecte.

Comment ce consentement exprès peut-il être obtenu ?

Il faut non seulement informer les citoyens des finalités de cette collecte et obtenir leur consentement préalable mais aussi leur donner la possibilité de s'y opposer à tout moment. Cette opposition doit pouvoir s'exercer de manière simple et facilitée.

Le souci, c'est que dans la majorité des cas, le contexte où les internautes donnent leur accord pour que leurs données soient partagées avec des partenaires du site consulté n'a plus rien à voir avec les démarchages auxquels ils s'exposent. Cocher cette case d'opt-in équivaut-il à offrir son blanc-seing ?

Non, pas du tout. Lorsque vous cochez la case selon laquelle vous acceptez que vos données soient partagées, votre consentement n'est donné qu'aux finalités qui vous sont présentées et aux partenaires indiqués. Si ces informations ne sont pas précisées, le site en question n'est pas conforme. Le RGPD exige en effet une totale transparence sur la catégorie des partenaires du site et sur les finalités de la collecte et du traitement.

En pratique il n'y a souvent pas de concordance entre les finalités de l'opt-in (donné lors de l'abonnement à un service ou l'achat d'un produit) et celles des messages auxquelles les internautes s'exposent…

Oui, c'est vrai, c'est pourquoi l'entreprise – ou ici le parti politique – qui se sert de ces données pour communiquer avec ces personnes doit clairement mentionner comment elle les a obtenues et leur offrir un moyen simple de se désinscrire. Le maître mot pour être dans la légalité, c'est la transparence. C'est un minimum pour que l'exploitation de ces données soit considérée comme licite.

"En cas de violation du RGPD, les data brokers partagent leur responsabilité avec leurs partenaires fournisseurs des données"

Les data brokers qui collectent ces données auprès de publishers pour ensuite les commercialiser aux partis et aux entreprises sont-ils à la limite de la légalité vu que les finalités changent ?

Les data brokers doivent fournir des efforts pour que cette activité reste licite et légale. En cas de violation du RGPD, ils partagent leur responsabilité avec leurs partenaires fournisseurs des données. Ces derniers sont les publishers – médias, e-commerçants, services de devis en ligne, etc. – qui collectent ces data auprès des citoyens et des consommateurs. De la même manière, les data brokers sont les sous-traitants des partis politiques et entreprises qui se servent de ces données pour s'adresser à ces audiences. Chaque maillon de cette chaîne doit fournir une information claire et précise sur l'origine de ces données.

En revanche le fait que la finalité du partenaire qui envoie le message ne corresponde pas au contexte et aux finalités de l'opt-in n'est pas forcément un problème si tout est fait de manière transparente. Encore une fois, le citoyen ou le consommateur doit savoir comment ces données sont arrivées entre les mains de l'émetteur du message et disposer de la possibilité de refuser ce traitement.

Le reportage de France 2 illustre beaucoup de dérives. Est-ce ce que vous observez ?

Oui, nous observons en effet beaucoup de dérives encore dans l'activité de collecte puis de commercialisation des données personnelles. Certaines sociétés cherchent à se mettre en conformité, certaines pratiques changent, des consciences s'éveillent et surtout la Cnil s'est emparé de ces sujets.  Mais le fait est qu'il est encore rare que l'émetteur du message explique clairement comment il a obtenu vos données.  De plus, la demande d'opt-in est souvent peu explicite sur les finalités et les partenaires qui accéderont à ces données. L'internaute a le droit de connaître au moins la catégorie des partenaires. Nous conseillons à nos clients de donner accès aux noms et aux activités des sociétés partenaires pour que les gens comprennent clairement qui ils autorisent à accéder à leurs données.

Comment les internautes opt-in peuvent-ils s'opposer à la réception d'un message politique ou publicitaire ?

Quelle que soit la raison de son opt-in, le consommateur, le citoyen, a toujours le droit de s'opposer au traitement de ses données, d'accéder aux données collectées et de demander leur effacement. Il lui suffit de le formuler auprès de la personne responsable de ce traitement, c'est-à-dire l'émetteur du message. Si cela n'est pas respecté ou qu'il est démarché de manière illégale, il peut déposer une plainte en ligne auprès de la Cnil. Il peut également attaquer en justice les responsables du traitement dans le cadre d'actions collectives.

Ce reportage révèle encore que de très importants partis politiques français font appel à une société américaine dont les serveurs sont aux Etats-Unis pour stocker et traiter leurs données de campagnes, relatives aux militants et sympathisants recrutés.  Quels problèmes cela pose ?

Cette situation pose de sérieux problèmes d'ingérence. La législation américaine donne la possibilité aux services de renseignement américains d'accéder aux donner des Européens si ces dernières sont hébergées ou stockées par des entreprises américaines, peu importe d'ailleurs où se trouvent les serveurs. La Cnil peut imposer des sanctions à ces sociétés.