Un "Cambridge Analytica" à la française est-il possible ? Aucune campagne électorale ne peut faire l'économie d'un traitement de données. Ainsi, l'utilisation des listes électorales précédentes pour mobiliser les abstentionnistes, ou la gestion d'une base de données de sympathisants ou d'une mailing-list de prospection sont directement soumises au droit de la protection des données.

Si la France s'est dotée dès 1978 d'une législation à l'époque novatrice, le règlement général à la protection des données entré en vigueur le 25 mai 2018 a profondément modifié le droit de la protection des données. De nombreuses obligations pèsent désormais sur les candidats et leurs équipes.

Le simple fait de récupérer le nom et le prénom d'un électeur lors d'un porte-à-porte ou la simple inscription pour recevoir la newsletter d'un candidat doit donner lieu au respect du droit à la protection des données. Vouloir diriger une commune impose de respecter le droit à la vie privée "numérique" des électeurs de ladite commune.

Comment se projeter à la tête d'une commune sans avoir les idées claires et la bonne méthode pour gérer demain sa "smart city" ou utiliser au service de tous (électeurs, opérateurs économiques, etc.) les ressources apportées par le big data ?

Deux tiers des communes ne respectent pas le RGPD

Au-delà des sanctions administratives de la CNIL (de la mise en demeure publique parfois, à l'interdiction du traitement en passant par les amendes...), la probabilité de recours contentieux (individuels et/de collectifs voire de groupe) est suffisante pour altérer le bon déroulement de la campagne électorale, voire déstabiliser à terme la nouvelle équipe municipale à peine mise en place.

Dans une France où, selon certains chiffres, deux tiers des communes ne respectent pas les obligations du Règlement général à la protection des données, cette question de la protection des droits numériques des électeurs risque de se trouver rapidement au centre de la campagne électorale.

Le RGPD prévoit expressément la licéité des traitements de données pour les élections eu égard aux nécessités de fonctionnement du système démocratique (considérant n°156 du RGPD) et proscrit la prospection sauvage et le détournement des finalités de traitement des données personnelles.

Le Parlement européen vient d'être sanctionné par le contrôleur européen de la protection des données, et l'ICO, homologue britannique de la CNIL, a imposé une amende de 15 000 pounds au groupe "leave. UE" pour avoir utilisé les coordonnées de clients d'un assureur afin d'envoyer des messages politiques.

Besoin d'un DPO

Les obligations pesant sur les responsables du traitement (maire sortant, candidat tête de liste, associations) sont alourdies que ce soit :

• via le principe de responsabilisation qui impose de documenter son niveau de conformité alors que des collectivités locales sont à la traîne par manque de moyens (DPO, analyse d'impact, politiques de confidentialité, limitation des finalités, licéité de la collecte de source tierce, garanties appropriées sur le profilage, sécurité des données...)

• via le droit à l'autodétermination informationnelle des électeurs et des procédures d'exercice de droit (accès, effacement, opposition, etc...) qui rend délicat le traitement des fichiers sans s'entourer des procédures idoines telles que la suppression des données non nécessaire après la finalité choisie (par exemple l'élection).

Surtout, la nomination d'un délégué à la protection des données (plus connu sous son acronyme anglais de DPO) qui pilote la conformité des traitements de données et supervise l'obligation de conformité au RGPD, est une obligation très souvent méconnue par les différents acteurs des futures élections municipales.

Certaines des données traitées, en ce qu'elles révèlent les opinions politiques sont des catégories particulières de données à caractère personnel (dites données sensibles) soumises à un régime dérogatoire prévu à l'article 9 du RGPD, d'autant que le recours structurel et massif à ces données rend la désignation d'un DPO obligatoire (article 37 RGPD).

Plus spécifiquement, l'article 12 du RGPD prévoit un droit d'information renforcé, qui oblige les candidats à mentionner lors de leur communication l'origine des données personnelles utilisées et de respecter la finalité du traitement, c'est-à-dire quel est l'objectif pour lequel les données ont été collectées.

Si un certain nombre d'informations sont des données publiques non considérées comme des données à caractère personnel (résultats bureau de vote par bureau de vote dans les précédentes élections), les équipes collectent forcément lors de la campagne des données personnelles pour définir une stratégie ou assurer le déroulé de la campagne électorale. Dans cette perspective, l'absence de conformité au RGPD au-delà de sanctions administratives lourdes, sera politiquement désastreuse.

Aux équipes de campagne à veiller au respect des règles légales du RGPD... dès maintenant.