COMMISSION EUROPÉENNE

Bruxelles, le 12.9.2018

COM(2018) 638 final

Des élections libres et régulières

DOCUMENT D'ORIENTATION

Orientations de la Commission relatives à l'application du droit de l'UE en matière de protection des données dans le contexte électoral







La contribution de la Commission européenne à la réunion des chefs d'État et de gouvernement à Salzbourg les 19 et 20 septembre 2018

Orientations de la Commission relatives à l’application du droit de l’UE en matière de protection des données dans le contexte électoral

Communiquer avec les électeurs est un fondement du processus démocratique. Les partis politiques adaptent constamment leur communication électorale en fonction du public, en tenant compte de ses intérêts particuliers. Il est donc tout naturel que les acteurs participant à des élections étudient les possibilités d’utiliser des données en vue de remporter des votes. L’expansion des outils numériques et des plateformes en ligne a offert bon nombre de nouvelles opportunités d’amorcer un débat politique avec les citoyens.

Par contre, le développement du microciblage des électeurs sur la base d’un traitement illicite de données à caractère personnel, comme en témoignent les révélations de l’affaire Cambridge Analytica, est d’une tout autre nature. Il illustre les problèmes posés par les technologies modernes, mais démontre également l’importance particulière de protéger les données dans le contexte électoral. C’est devenu un enjeu essentiel non seulement pour les citoyens, mais également pour le fonctionnement de nos démocraties, parce que cela constitue une grave menace pour un processus électoral régulier et démocratique et est susceptible de nuire à l’ouverture des débats, à la régularité et à la transparence, qui sont essentielles à une démocratie. La Commission considère qu’il est de la plus haute importance de s’attaquer à cette problématique pour rétablir la confiance du public dans la régularité du processus électoral.

Les premières conclusions de l’autorité britannique de protection des données (Information Commissioner’s Office – ICO) relatives au recours à l’analyse de données dans les campagnes politiques 1 et l’avis du Contrôleur européen de la protection des données concernant la manipulation en ligne et les données à caractère personnel 2 ont confirmé l’importance croissante du microciblage, développé initialement à des fins commerciales, dans le contexte électoral.

D’une manière plus générale, plusieurs autorités de protection des données ont traité la question de la protection des données dans le contexte électoral 3 .

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données) 4 , qui est devenu directement applicable dans l’Union le 25 mai 2018, fournit à l’Union les outils nécessaires pour faire face aux cas d’utilisation illicite de données à caractère personnel dans le contexte électoral. Toutefois, seule une application stricte et systématique des règles contribuera à protéger l’intégrité d’une politique démocratique. Étant donné que c’est la première fois que ces règles seront appliquées dans le contexte électoral européen à l’occasion des prochaines élections du Parlement européen, il est important d’apporter de la clarté aux acteurs participant aux processus électoraux - tels que les autorités électorales nationales, les partis politiques, les courtiers en données et les analystes de données, les plateformes de médias sociaux et les réseaux d’annonces en ligne. Les présentes orientations visent donc à mettre l’accent sur les obligations de protection des données à prendre en considération pour les élections. Les autorités nationales de protection des données, en leur qualité d’autorités chargées de veiller au respect du règlement général sur la protection des données, doivent faire pleinement usage de leurs pouvoirs renforcés pour remédier à d’éventuelles infractions, en particulier celles liées au microciblage des électeurs.

1.Le cadre de l’Union relatif à la protection des données

La protection des données à caractère personnel est un droit fondamental inscrit dans la Charte des droits fondamentaux de l’Union européenne (article 8) et dans les traités (article 16 du TFUE). Le règlement général sur la protection des données renforce le cadre dans ce domaine, ce qui permettra à l’Union d’être mieux armée pour traiter les cas d’utilisation abusive de données à caractère personnel à l’avenir et à tous les acteurs d’être davantage comptables de leur action et plus responsables quant à la manière dont ils traitent les données à caractère personnel.

Il confère aux personnes physiques de l’Union des droits supplémentaires et renforcés qui sont particulièrement pertinents dans le contexte électoral. Le régime de protection des données en place dans l’Union au cours des vingt dernières années souffrait plus particulièrement d’une application fragmentée des règles dans les États membres, de l’absence de mécanisme formel de coopération entre les autorités nationales de protection des données et du champ limité des pouvoirs d’exécution de ces autorités. Le règlement général sur la protection des données remédie à ces lacunes: se fondant sur les principes éprouvés de la protection des données, il harmonise des notions essentielles telles que le consentement, renforce les droits des personnes physiques à obtenir des informations sur le traitement de leurs données, clarifie les conditions dans lesquelles les données à caractère personnel peuvent être traitées ultérieurement, introduit des règles relatives aux violations des données à caractère personnel, établit un mécanisme de coopération entre les autorités de protection des données dans les cas transfrontières et renforce les pouvoirs d’exécution de ces dernières. En cas d’infraction aux règles de l’UE en matière de protection des données, les autorités de protection des données ont le pouvoir d’enquêter (par exemple, en ordonnant la fourniture d’informations, en menant des inspections dans les locaux de responsables du traitement des données et de sous-traitants de données) et de mettre un terme à des comportements (par exemple, en adressant des avertissements et des rappels à l’ordre ou en imposant une suspension temporaire ou définitive du traitement). Elles ont également le pouvoir d’infliger des amendes pouvant atteindre 20 millions d’EUR ou, dans le cas d’une entreprise, pouvant représenter jusqu’à 4 % de son chiffre d’affaires mondial 5 . Lorsqu’elles décident d’infliger des amendes et de fixer leur montant, les autorités de protection des données prendront en considération les circonstances de l’espèce et des facteurs tels que la nature, l’étendue ou la finalité du traitement, le nombre de personnes concernées et le niveau de dommage qu’elles ont subi 6 . Dans le contexte électoral, il est probable que le niveau de gravité de l’infraction et le nombre de personnes concernés seront élevés, ce qui pourrait donnait lieu à des amendes conséquentes, en particulier si l’on tient compte de l’importance de la question de la confiance des citoyens dans le processus démocratique.

Le comité européen de la protection des données nouvellement établi, qui regroupe toutes les autorités nationales de protection des données ainsi que le Contrôleur européen de la protection des données, joue un rôle essentiel dans l’application du règlement général sur la protection des données en émettant des orientations, des recommandations et des bonnes pratiques 7 . Chargées de veiller au respect du règlement général sur la protection des données et faisant office de point de contact direct pour les parties prenantes, les autorités nationales de protection des données sont bien placées pour apporter un surcroît de sécurité juridique concernant l’interprétation du règlement. La Commission soutient activement cette tâche.

La directive «vie privée et communications électroniques» (directive 2002/58/CE du Parlement européen et du Conseil 8 ) complète le cadre de l’Union relatif à la protection des données, et elle entre en ligne de compte dans le contexte électoral car son champ d’application englobe les règles relatives à l’envoi de communications non sollicitées par voie électronique, y compris à des fins de marketing direct. La directive «vie privée et communications électroniques» établit également les règles relatives au stockage d’informations et à l’accès aux informations déjà stockées (telles que les cookies pouvant être utilisés pour suivre le comportement en ligne des utilisateurs) dans l’équipement terminal comme un téléphone intelligent ou un ordinateur. La proposition de règlement de la Commission sur la vie privée et les communications électroniques (le «règlement vie privée et communications électroniques») 9 , qui est en cours de négociation, se fonde sur les mêmes principes que la directive «vie privée et communications électroniques». Le nouveau règlement élargira son champ d’application au-delà des opérateurs de télécommunications traditionnels afin d’englober les services de communications électroniques basés sur l’internet.

2.Principales obligations incombant aux différents acteurs

Le règlement général sur la protection des données s’applique à tous les acteurs actifs dans le contexte électoral, tels que les partis politiques européens et nationaux (ci-après les «partis politiques»), les fondations politiques européennes et nationales (ci-après les «fondations»), les plateformes, les sociétés d’analyse de données et les autorités publiques chargées du processus électoral. Ils doivent traiter les données à caractère personnel (par exemple les noms et les adresses) de manière licite, régulière et transparente, uniquement à des fins déterminées. Ils ne peuvent pas les utiliser ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été recueillies initialement. Le traitement à des fins journalistiques relève en principe également du règlement général sur la protection des données, mais peut bénéficier des exemptions et dérogations prévues par le droit national, compte tenu de l’importance du droit à la liberté d’expression et à l’information dans une société démocratique 10 .

La notion de données à caractère personnel est très large. On entend par «données à caractère personnel» toute donnée concernant une personne physique identifiée ou identifiable. Les données traitées dans le contexte électoral incluront souvent des catégories spéciales de données à caractère personnel («données sensibles»), telles que des opinions politiques, l’appartenance à un syndicat, l’origine ethnique, la vie sexuelle, etc., qui bénéficient d’un régime plus protecteur 11 . En outre, l’analyse de données permet de déduire des «données sensibles» (telles que des opinions politiques, mais aussi des convictions religieuses ou des orientations sexuelles) à partir d’ensembles de données non sensibles. Le traitement de ces données déduites relève également du règlement général sur la protection des données et doit dès lors respecter toutes les règles en matière de protection des données.

En conclusion, presque toutes les opérations de traitement de données dans le contexte électoral sont soumises au règlement général sur la protection des données.

Compte tenu de la nécessité d’apporter de la clarté aux acteurs participant au processus électoral et des premières conclusions dans l’affaire Cambridge Analytica, les sections ci-après mettent l’accent sur les obligations en matière de protection des données qui revêtent une importance particulière dans le contexte électoral. Elles sont résumées dans l’annexe.

2.1Responsables du traitement des données et sous-traitants de données

La notion d’obligation de rendre des comptes qui incombe aux responsables et responsables conjoints du traitement de données est un élément central du règlement général sur la protection des données. Le responsable du traitement des données est l’organisation qui décide, seule ou en coopération avec d’autres, pourquoi et comment les données à caractère personnel sont traitées; le sous-traitant de données traite les données à caractère personnel uniquement pour le compte et sous les directives du responsable du traitement (leur relation est fixée dans un contrat ou tout autre acte juridique contraignant). Les responsables du traitement doivent mettre en place des mesures adaptées aux risques et mettre en œuvre la protection des données dès la conception et être en mesure de démontrer la conformité du traitement par rapport au règlement général sur la protection des données (principe de responsabilité).

La fonction de responsable du traitement ou de sous-traitant doit être appréciée au cas par cas. Dans le contexte électoral, un certain nombre d’acteurs peuvent être responsables du traitement des données: les partis politiques, les candidats à titre individuel et les fondations sont, dans la plupart des cas, responsables du traitement; les plateformes et les sociétés d’analyse de données peuvent être responsables (conjoints) du traitement ou sous-traitants pour un traitement donné, selon le degré de contrôle qu’elles exercent sur le traitement concerné 12 ; les autorités électorales nationales sont responsables du traitement pour les registres électoraux.

Lorsque leurs activités de traitement portent sur l’offre de biens et de services à des personnes physiques dans l’Union ou au suivi de leur comportement dans l’Union, les entreprises établies hors de l’Union doivent également se conformer au règlement général sur la protection des données. C’est le cas d’un certain nombre de plateformes et de sociétés d’analyse de données.

2.2Principes, licéité du traitement et conditions particulières applicables aux «données sensibles»

Les acteurs participant à des élections ne peuvent traiter des données à caractère personnel, y compris celles obtenues à partir de sources publiques, que dans le respect des principes relatifs au traitement de ce type de données et sur la base du nombre limité de motifs clairement identifiés par le règlement général sur la protection des données 13 . Il apparaît que les motifs les plus pertinents pour un traitement licite dans le contexte électoral sont le consentement d’une personne physique, le respect d’une obligation légale prévue par la législation nationale ou de l’Union, l’exécution d’une mission menée dans l’intérêt public et l’intérêt légitime d’un des acteurs. Toutefois, les acteurs opérant dans le contexte électoral ne peuvent se fonder sur le motif de l’intérêt légitime que si les intérêts ou les droits et libertés fondamentaux des personnes physiques ne prévalent pas sur leurs propres intérêts.

En outre, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal (ordinateur, téléphone intelligent, etc.) doit être conforme aux exigences de la directive «vie privée et communications électroniques» relatives à la protection des équipements terminaux, ce qui signifie que la personne physique concernée devra donner son consentement.

Lorsqu’il est fait appel au motif légal du consentement, le règlement général sur la protection des données exige que celui-ci soit donné à travers un acte positif clair et soit libre et éclairé 14 .

Les autorités publiques participant au contexte électoral traitent des données à caractère personnel afin de se conformer à une obligation légale ou pour l’exercice d’une mission publique. D’autres acteurs participant au contexte électoral peuvent traiter des données pour des motifs de consentement ou d’intérêt légitime 15 . Les partis et les fondations politiques peuvent également traiter des données pour des motifs d’intérêt public si la législation nationale le prévoit 16 .

Des autorités publiques ne peuvent communiquer à des partis politiques certaines informations relatives à des personnes physiques figurant sur des listes électorales ou dans des registres de résidents que si le droit de l’État membre les y autorise et uniquement à des fins de publicité dans le contexte électoral et dans la mesure nécessaire à ces fins, comme le nom et l’adresse.

Un traitement dans le contexte électoral impliquera souvent des «données sensibles». Le traitement de telles données, y compris des «données sensibles» déduites, est généralement interdit, à moins qu’une des justifications spécifiques prévues par le règlement général sur la protection des données 17 ne s’applique. Le traitement de «données sensibles» est soumis au respect de conditions spécifiques plus strictes: la personne doit avoir donné son consentement explicite 18 ou avoir rendu publiques les données concernées 19 . Les partis et les fondations politiques peuvent également traiter des données «sensibles» s’il existe des motifs d’intérêt public important sur la base du droit de l’Union ou de l’État membre et si des garanties appropriées sont en place 20 . Le règlement général sur la protection des données dispose qu’ils peuvent également traiter des «données sensibles» dans la mesure où celles-ci se rapportent exclusivement à leurs membres ou anciens membres, ou aux personnes entretenant des contacts réguliers avec eux - mais uniquement à des fins de communication au sein du parti politique ou de la fondation politique 21 . Un parti politique ne peut toutefois recourir à cette disposition spécifique pour traiter les données de membres ou électeurs potentiels.

La finalité du traitement des données doit être spécifiée au moment de la collecte (principe de «limitation de la finalité») 22 . Les données collectées pour une finalité ne peuvent être traitées ultérieurement que pour une finalité compatible; à défaut, un nouveau motif légal prévu par le règlement général sur la protection des données, tel que le consentement, devra être établi afin de permettre le traitement pour la nouvelle finalité. Plus spécifiquement, lorsque des courtiers en données relatives au mode de vie ou des plateformes collectent des données à des fins commerciales, ces données ne peuvent être traitées ultérieurement dans le contexte électoral.

À moins qu’ils fassent preuve de la diligence requise et vérifient que les données ont été obtenues de manière licite, les partis et fondations politiques ne peuvent utiliser de telles données fournies par un tiers.

2.3Exigences en matière de transparence

L’affaire Cambridge Analytica a montré l’importance de combattre l’opacité et d’informer correctement les personnes concernées. Souvent, ces dernières ne savent pas qui traite leurs données à caractère personnel et à quelles fins. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités 23 . Le règlement général sur la protection des données clarifie les obligations incombant aux responsables du traitement à cet égard. Ces derniers doivent informer les personnes physiques sur les principaux aspects liés au traitement de leurs données à caractère personnel, à savoir:

·l'identité du responsable du traitement;

·les finalités du traitement;

·les destinataires des données à caractère personnel;

·la source des données lorsque celles-ci n’ont pas été collectées directement auprès de la personne;

·l’existence d’une prise de décision automatisée, et

·toute autre information nécessaire pour garantir un traitement équitable et transparent 24 .

En outre, le règlement général sur la protection des données exige que les informations soient fournies d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples 25 . À titre d’exemple, un avis court et opaque relatif à la protection des données qui serait imprimé uniquement en petits caractères sur du matériel électoral ne respecterait pas les exigences en matière de transparence.

Selon les conclusions préliminaires, le caractère incomplet des informations relatives à la finalité pour laquelle les données ont été collectées est un des principaux manquements constatés dans l’affaire Cambridge Analytica, qui remet également en cause la validité du consentement des personnes concernées. Toutes les organisations traitant des données à caractère personnel dans le contexte électoral doivent s’assurer que les personnes concernées, avant de donner leur consentement ou avant que le responsable du traitement n’entame le traitement pour tout autre motif, comprennent bien comment leurs données à caractère personnel seront utilisées et à quelles fins.

Des informations doivent être fournies aux personnes concernées à chaque stade du traitement, pas seulement lors de la collecte des données.

Plus spécifiquement, lorsque des partis politiques traitent des données obtenues auprès de sources tierces (registres électoraux, courtiers en données, analystes de données et autres sources), ils doivent généralement informer les personnes concernées et leur expliquer de quelle manière ils combinent et utilisent ces données pour garantir un traitement loyal 26 .

2.4Profilage, prise de décision automatisée et microciblage

Le profilage est une forme de traitement de données automatisé qui est utilisée pour analyser ou prédire des aspects concernant par exemple les préférences personnelles, les intérêts, la situation économique, etc 27 . Le profilage peut être utilisé pour microcibler des personnes, c’est-à-dire analyser des données à caractère personnel (telles que l’historique de recherches sur l’internet) afin de déterminer les intérêts particuliers d’un public particulier ou d’une personne particulière et influencer ainsi ses actions. Le microciblage peut être utilisé pour adresser un message personnalisé à une personne ou à un public au moyen d’un service en ligne, par ex. un média social.

L’affaire Cambridge Analytica a mis en lumière les problèmes spécifiques posés par les méthodes de microciblage sur les médias sociaux. Des organisations peuvent explorer les données collectées par le biais d’utilisateurs de médias sociaux pour créer des profils d’électeurs, ce qui pourrait leur permettre d’identifier les électeurs qui peuvent être plus facilement influencés et, partant, d’exercer une influence sur le résultat d’élections.

Tous les principes généraux et toutes les règles du règlement général sur la protection des données s’appliquent à un traitement de ce type, notamment les principes de licéité, de loyauté, de transparence et de limitation de la finalité. Très souvent, les personnes concernées ne savent pas qu’elles font l’objet d’un profilage: elles ne comprennent pas pourquoi elles reçoivent des publicités très clairement liées à leurs dernières recherches, ou pourquoi elles reçoivent des messages personnalisés de diverses organisations. Le règlement général sur la protection des données oblige tous les responsables du traitement de données, par exemple des partis politiques ou des analystes de données, à informer les personnes concernées lorsqu’ils utilisent de telles techniques et à les informer de leurs conséquences 28 .

Le règlement général sur la protection des données reconnaît que la prise de décision automatisée, y compris le profilage, peut avoir de graves conséquences. Selon le règlement général sur la protection des données, une personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé et produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, à moins qu’un tel traitement soit effectué dans des conditions strictes, à savoir que la personne concernée donne son consentement explicite, ou lorsque le droit de l’Union ou de l’État membre qui établit les garanties appropriées permet un tel traitement 29 .

Les pratiques de microciblage dans le contexte électoral relèvent de cette catégorie lorsqu’elles produisent un effet suffisamment significatif sur les personnes concernées. Le comité européen de la protection des données a affirmé que c’était le cas lorsque la décision est susceptible d’affecter de manière significative la situation, le comportement ou les choix des personnes concernées ou d’avoir un impact prolongé ou permanent sur la personne concernée 30 . Le comité a considéré que les publicités ciblées en ligne étaient susceptibles, dans certaines circonstances, d’influencer de manière significative les personnes concernées lorsque, par exemple, elles sont intrusives ou exploitent les vulnérabilités connues de ces personnes. Compte tenu de l’importance de l’exercice du droit démocratique de voter, les messages personnalisés qui peuvent par exemple avoir pour effet de dissuader des personnes de voter ou de les faire voter d’une manière déterminée sont susceptibles de remplir le critère de l’«effet significatif».

Par conséquent, dans le contexte électoral, les responsables du traitement de données doivent s’assurer que tout traitement utilisant ces techniques soit licite aux termes des principes et des conditions strictes du règlement général sur la protection des données qui sont mentionnés plus haut.

2.5Sécurité et exactitude des données à caractère personnel

La sécurité revêt une importance particulière dans le contexte électoral, compte tenu de la taille des ensembles de données concernés et du fait que ces ensembles contiennent souvent des «données sensibles». Le règlement général sur la protection des données impose aux opérateurs traitant des données à caractère personnel (à la fois aux responsables du traitement et aux sous-traitants) de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques que le traitement fait peser sur les droits et libertés des personnes 31 .

Le règlement général sur la protection des données impose aux responsables du traitement de notifier les violations des données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, au plus tard dans les 72 heures. Lorsque la violation des données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit également informer les personnes concernées par cette violation dans les meilleurs délais 32 .

Les partis politiques et les autres acteurs participant au processus électoral doivent s’attacher en particulier à garantir l’exactitude des données à caractère personnel dans le cas d’ensembles de données volumineux et lorsque les données sont compilées à partir de sources différentes et hétérogènes. Les données inexactes doivent être immédiatement effacées ou rectifiées et, le cas échéant, actualisées.

2.6Analyse d’impact relative à la protection des données

Le règlement général sur la protection des données introduit un nouvel outil pour évaluer le risque avant le début du traitement: il s’agit de l’analyse d’impact relative à la protection des données. Celle-ci est requise dès que le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées 33 . C’est le cas dans le contexte électoral lorsqu’un responsable du traitement des données procède à une évaluation systématique et approfondie d'aspects personnels concernant des personnes (profilage compris), qui affecte de manière significative ces dernières, et lorsqu’il traite à grande échelle des «données sensibles». Les autorités électorales nationales agissant dans l’exercice de leur mission publique ne devront peut-être pas effectuer une analyse d’impact relative à la protection des données si une telle analyse a déjà été réalisée dans le contexte de l’adoption d’un acte législatif.

Les analyses d’impact que les différents acteurs doivent effectuer dans le contexte d’élections doivent englober les éléments nécessaires pour faire face aux risques associés à un tel traitement, notamment la licéité du traitement, y compris pour les ensembles de données obtenus auprès de tiers, et les exigences en matière de transparence.

3.Droits des personnes concernées

Le règlement général sur la protection confère aux personnes concernées des droits supplémentaires et renforcés qui sont particulièrement pertinents dans le contexte électoral:

·le droit d’accéder à leurs données à caractère personnel;

·le droit de demander la suppression de leurs données à caractère personnel si le traitement est fondé sur le consentement et que ce consentement est retiré, si les données ne sont plus nécessaires ou si le traitement est illicite; et

·le droit de faire corriger des données à caractère personnel incorrectes, inexactes ou incomplètes.

Les personnes concernées ont également le droit de s’opposer au traitement (par exemple de données figurant sur des listes électorales transmises à des partis politiques) si celui-ci se fonde sur les motifs d’«intérêt légitime» ou d’«intérêt public».

Les personnes concernées ont le droit de ne pas faire l’objet de décisions fondées exclusivement sur le traitement automatisé de leurs données à caractère personnel. Dans de tels cas, elles peuvent demander une intervention humaine et ont le droit d’exprimer leur point de vue et de contester la décision.

Pour que les personnes concernées soient en mesure d’exercer ces droits, tous les acteurs concernés doivent fournir les outils et paramètres requis. Le règlement général sur la protection des données prévoit la possibilité d’élaborer un code de conduite approuvé par une autorité de protection des données et spécifiant l’application du règlement dans certains domaines, y compris dans le contexte électoral.

Le règlement général sur la protection des données confère aux personnes concernées le droit d’introduire une réclamation auprès d’une autorité de contrôle et le droit à un recours juridictionnel. Il leur garantit également le droit de charger une organisation non gouvernementale d’introduire une réclamation pour leur compte 34 . Dans certains États membres, la législation nationale autorise une organisation non gouvernementale à introduire une réclamation sans qu’une personne physique l’en ait chargée. C’est particulièrement pertinent dans le contexte électoral, compte tenu du grand nombre de personnes potentiellement concernées.

Questions essentielles associées à la protection des données dans le processus électoral 35  

Partis et fondations politiques	Les partis et les fondations politiques sont responsables du traitement de données
	·Respecter le principe de limitation de la finalité, traitement ultérieur possible uniquement pour une finalité compatible (par exemple, en cas de partage de données avec des plateformes) ·Choisir la base juridique appropriée au traitement (aussi pour les données induites): consentement, intérêt légitime, mission d’intérêt public (si prévue par la loi), conditions spécifiques pour des «données sensibles» (par exemple: opinion politique) ·Effectuer une analyse d’impact relative à la protection des données ·Informer les personnes concernées de chaque finalité du traitement (exigences en matière de transparence), que ce soit lors de la collecte directe de données ou de leur obtention auprès de tiers ·Garantir l’exactitude des données, en particulier pour les données provenant de sources différentes et les données déduites ·Vérifier si les données reçues de tiers ont été obtenues de manière licite et pour quelles finalités (par exemple: si les personnes concernées ont donné leur consentement éclairé pour une finalité donnée) ·Prendre en compte les risques spécifiques du profilage et adopter des garanties appropriées ·Se conformer à des conditions spécifiques en cas de recours à la prise de décision automatisée (par exemple, obtenir un consentement explicite et mettre en œuvre des garanties appropriées) ·Établir clairement qui a accès aux données ·Garantir la sécurité du traitement au moyen de mesures techniques et organisationnelles; notifier les violations de données ·Clarifier les obligations figurant dans les contrats ou d’autres actes juridiques contraignants avec les responsables du traitement des données, tels que les sociétés d’analyse de données ·Supprimer les données lorsqu’elles ne sont plus nécessaires à la finalité initiale pour laquelle elles ont été collectées
Courtiers en données et sociétés d’analyse de données	Les courtiers en données et les sociétés d’analyse de données sont, selon le degré de contrôle qu’ils exercent sur le traitement, soit des responsables (conjoints) du traitement, soit des sous-traitants
	En qualité de responsable du traitement des données	En qualité de sous-traitant de données
	·Respecter le principe de limitation de la finalité, traitement ultérieur possible uniquement pour une finalité compatible (en particulier en cas de partage des données avec des tiers) ·Choisir la base juridique appropriée au traitement: consentement, intérêt légitime Dans le cas de «données sensibles», traitement possible uniquement dans le cas d’un consentement explicite ou de données manifestement rendues publiques ·Effectuer une analyse d’impact relative à la protection des données ·Informer les personnes concernées de chaque finalité du traitement (exigences en matière de transparence) - en particulier lorsque le consentement est sollicité, étant donné que les données seront généralement vendues à un tiers ·Se conformer à des conditions spécifiques en cas de recours à la prise de décision automatisée (par exemple, obtenir un consentement explicite et mettre en œuvre des garanties appropriées) ·Accorder une attention particulière à la licéité du traitement et à l’exactitude des données lorsque différents ensembles de données sont combinés ·Garantir la sécurité du traitement au moyen de mesures techniques et organisationnelles; notifier les violations de données	·Se conformer aux obligations du contrat ou de tout autre acte juridique contraignant conclu avec le responsable du traitement ·Garantir la sécurité du traitement au moyen de mesures techniques et organisationnelles ·Aider le responsable du traitement dans le contexte de l’élaboration de l’analyse d’impact relative à la protection des données ou de l’exercice des droits des personnes concernées ou l’aider à communiquer à l’autorité de contrôle une violation des données dans les meilleurs délais si elle a connaissance d’une telle violation
	Les plateformes sont généralement responsables du traitement pour les traitements ayant lieu sur leurs plateformes et peuvent être responsables conjoints avec d’autres organisations
Plateformes de médias sociaux / réseaux d’annonces en ligne	·Choisir la base juridique appropriée au traitement: contrat avec des personnes physiques, consentement, intérêt légitime Dans le cas de «données sensibles», traitement possible uniquement dans le cas d’un consentement explicite ou de données manifestement rendues publiques ·Utiliser uniquement les données nécessaires à la finalité définie ·Effectuer une analyse d’impact relative à la protection des données ·Garantir la licéité lors du partage de données sur des membres avec des tiers ·Se conformer aux exigences en matière de transparence, en particulier en rapport avec les conditions et modalités, si les données sont partagées ultérieurement avec un tiers, etc. ·Se conformer à des conditions spécifiques en cas de recours à la prise de décision automatisée (par exemple, obtenir un consentement explicite et mettre en œuvre des garanties appropriées) ·Garantir la sécurité du traitement au moyen de mesures techniques et organisationnelles; notifier les violations de données ·Offrir aux personnes concernées des contrôles et des réglages leur permettant d’exercer de manière effective leurs droits, y compris le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris un profilage
	Les autorités électorales nationales sont responsables du traitement des données
Autorités électorales nationales	·Base juridique du traitement: obligation légale ou mission d’intérêt public fondée sur la législation ·Effectuer une analyse d’impact relative à la protection des données si l’impact n’a pas encore été examiné dans la législation

(1)

Rapports des autorités britanniques de protection des données (Information Commissioner’s Office – ICO) du 10 juillet 2018: «Investigation into the use of data analytics in political campaigns – Investigation update» et «Democracy Disrupted? Personal information and political influence».

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267 «Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale», publié au Journal officiel de l’Autorité italienne de protection des données, n° 71 du 26.3.2014 [doc. web n° 3013267]; https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux «Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?», publié par la Commission nationale française de l’informatique et des libertés le 8.11.2016; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf Information Commissioner’s Office «Guidance on political campaigning» [20170426].

(4)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(5)

Orientations de la Commission relatives à l’application du règlement général sur la protection des données, à l’adresse suivante: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_fr

(6)

Article 83 du règlement général sur la protection des données.

(7)

Le Contrôleur européen de la protection des données formule également des avis.

(8)

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(9)

Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), COM(2017) 10 final.

(10)

Article 85, paragraphe 2, du règlement général sur la protection des données.

(11)

Article 9, paragraphe 1, du règlement général sur la protection des données.

(12)

La jurisprudence récente de la Cour de justice de l’Union européenne (affaire C-25/17 Témoins de Jéhovah, arrêt du 10 juillet 2018) a spécifié qu’une organisation «exerçant une influence» sur l’activité de collecte et de traitement de données à caractère personnel peut, dans certaines circonstances, être considérée comme responsable du traitement.

(13)

Articles 5 et 6 du règlement général sur la protection des données.

(14)

Article 7 et article 4, paragraphe 11, du règlement général sur la protection des données.

(15)

Sous réserve de l’absence d’atteinte sérieuse aux droits et aux libertés des personnes physiques concernées.

(16)

Voir le considérant 56 du règlement général sur la protection des données, «lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues».

(17)

Article 9 du règlement général sur la protection des données.

(18)

Article 9, paragraphe 2, point a), du règlement général sur la protection des données.

(19)

Article 9, paragraphe 2, point e), du règlement général sur la protection des données.

(20)

Article 9, paragraphe 2, point g), du règlement général sur la protection des données.

(21)

Article 9, paragraphe 2, point d), du règlement général sur la protection des données. Un parti politique ou une fondation politique ne peut partager des données relatives à ses membres ou anciens membres, ou aux personnes entretenant des contacts réguliers avec lui, avec un tiers sans le consentement de la personne concernée.

(22)

Article 5, paragraphe 1, point b), du règlement général sur la protection des données.

(23)

Article 5, paragraphe 1, point a), du règlement général sur la protection des données.

(24)

Articles 13 et 14 du règlement général sur la protection des données.

(25)

Orientations du comité européen de la protection des données concernant la transparence.

(26)

Article 14 du règlement général sur la protection des données.

(27)

Tel que défini à l’article 4, paragraphe 4, du règlement général sur la protection des données.

(28)

Article 13, paragraphe 2, du règlement général sur la protection des données.

(29)

Article 22 du règlement général sur la protection des données.

(30)

Lignes directrices du comité européen de la protection des données relatives à la prise de décision automatisée, WP251rev.01, tel que révisées en dernier lieu et adoptées le 6.2.2018.

(31)

Article 32 du règlement général sur la protection des données.

(32)

Articles 33 et 34 du règlement général sur la protection des données et lignes directrices du comité européen de la protection des données relatives à la notification des violations de données à caractère personnel.

(33)

Articles 35 et 36 du règlement général sur la protection des données et lignes directrices du comité européen de la protection des données concernant l’analyse d’impact relative aux données à caractère personnel.

(34)

Article 80, paragraphe 1, du règlement général sur la protection des données.

(35)

Les informations présentées ci-dessus ne sont en aucun cas exhaustives. Elles visent à mettre l’accent sur un certain nombre d’obligations essentielles relatives aux données qui sont prévues par le règlement général sur la protection des données et sont pertinentes dans le processus électoral. Elles correspondent à un scénario dans lequel les partis politiques collectent des données eux-mêmes (à partir de sources publiques, par leur présence sur les médias sociaux, directement auprès des électeurs, etc.) et recourent aux services de courtiers en données ou de sociétés d’analyse de données afin de cibler des électeurs via des plateformes de médias sociaux. Les plateformes peuvent également être une source de données pour les acteurs susmentionnés. D’autres dispositions législatives peuvent également présenter un intérêt, notamment les règles de la directive «vie privée et communications électroniques» relatives à l’envoi de communications non sollicitées et à la protection des équipements terminaux.