Catégories
Newsletter

Présidentielles et données personnelles

Cette année, le 10 avril rime avec urne, avec “a voté”, avec candidat·es. Bref, c’est le premier tour de l’élection présidentielle. On connaît désormais le nom des 12 femmes et (surtout) hommes qui ont réussi à obtenir les 500 parrainages pour se présenter. Ainsi, la campagne présidentielle bat son plein. Va-t-on parler politique dans cette lettre d’information ? C’est pas l’envie qui nous en manque mais non, on va parler récolte et utilisation de vos données pendant la campagne. Et surtout de vos droits face à cela.

Récolter des données personnelles afin de mieux cibler ses potentiels électeur·ices ne date pas de cette campagne. Cela a démarré aux Etats-Unis avec Barack Obama en 2008 et 2012. C’est complètement parti en cacahuète en 2016 avec Trump et le scandale Cambridge Analytica, une campagne de micro-ciblage qui a nécessité le siphonnage de données personnelles de dizaines de millions d’Américains sur Facebook au profit du candidat Trump.

En France, les candidat·es ont mis les bouchées doubles cette année et on même développé pour certains leurs propres outils pour une meilleure efficacité des militant·es et pour inviter les non-inscrit·es à voter. En marge des candidat·es et des partis, n’oublions pas de mentionner les initiatives citoyennes qui fleurissent en période pré électorale telles que l’application Elyze ou feu la primaire populaire. Ces initiatives sont soumises aux même règles que celles des partis politiques.

Le problème c’est que ces pratiques riment rarement avec respect des données personnelles. Une enquête de France Inter dévoile que la CNIL a reçu 20 plaintes “pour de la prospection politique, notamment par email, ou l’absence totale ou partielle de politique de protection des données sur des sites web de candidats”.

La CNIL a développé diverses stratégies pour protéger les électeurs. Elle a envoyé des courriers aux partis politiques et candidats pour leur rappeler les bonnes pratiques à respecter et a fait de même avec des sociétés proposant des logiciels de stratégie électorale. L’institution a également créé un observatoire des élections qui propose des actions très concrètes :

Le but, annonce la Cnil : “assurer que l’utilisation de fichiers de données personnelles au cours de la campagne électorale s’effectue dans le respect du RGPD”. Celles et ceux à qui le règlement général de protection des données donne encore des boutons peuvent filer faire notre quiz pédagogique et digeste (si, si !).

A priori, le message n’a pas été super bien entendu par tous. Pour pallier aux manquements des candidat·es et de leurs équipes, on reprend tout ça.

Les devoirs des candidat·es et partis politiques :

  1. Les candidat·es et partis politiques ont récolté vos données personnelles de manière directe : vous avez alors donné vous-même votre accord. Dans ce cas, l’entité a le devoir d’informer les électeurs de l’identité et les coordonnées du responsable de traitement, expliciter l’ensemble des finalités de ce traitement, informer de la possibilité d’un transfert des données vers un pays tiers à l’Union ou à une organisation internationale, préciser de la durée de conservation des données et, le cas échéant, les coordonnées du Délégué à la Protection de l’Organisme.
  2. Les candidat·es et partis ont récolté vos données personnelles de manière indirecte : d’autres obligations s’ajoutent, telles que la mention de la ou des sources d’où proviennent les données et notamment si ces données personnelles sont publiques. Les équipes des candidat·es utilisent volontiers les listes électorales par exemple, qui sont effectivement publiques. Attention : le seul fait que vos données aient été mises en public ne constitue pas une base légale et n’exonère en aucun cas un Responsable de Traitement de ses obligations, dont celle… de disposer d’une base légale (le consentement ou l’intérêt légitime, dûment justifié).

Vos droits en tant qu’électeurs et électrices :

  • Le droit d’accès : vous pouvez demander directement aux partis ou au candidat·es l’accès à vos données. Qui n’a jamais rêvé d’écrire à Emmanuel Macron ou Marine Le Pen ? Cela permet de savoir quelles données sont collectées, grâce à quelles sources, pour qui, à quelle visée et à quels prestataires elles ont été ou seront transmises.
  • Le droit de rectification : vous pouvez demander la correction de vos données (oh wait, nos candidats feraient-ils des erreurs ?) et demander l’effacement de données erronées. Dans ce cas l’organisme sera dans l’obligation de communiquer cet effacement à l’ensemble des responsables de traitement qui auront reçu vos données (autant dire, potentiellement, beaucoup d’organismes).
  • Le droit d’opposition : sans justification aucune, vous pouvez vous opposer au traitement de vos données à tout moment. La personne ou l’entité qui les aurait récoltées – serait-ce même avec votre accord – se doit alors de prendre en compte cette opposition sans délais.
  • Le droit à l’effacement : enfin reste la possibilité de demander la suppression pure et simple de vos données.

Le RGPD a ajouté à cela deux autres droits :

  • Le droit à la limitation du traitement : Il s’agit de geler (ni utiliser, ni supprimer) le traitement des données par le candidat ou parti le temps de régler une situation litigieuse. En effet, ce droit s’applique en cas de manquement au respect des obligations Informatique et Libertés
  • Le droit à la portabilité. Vous avez le droit d’avoir donné vos données à un parti, et de les transmettre à un autre sans que le premier, qui les traitaient initialement, fasse obstacle.

En cas de non réponse ou de manquement, la personne peut alors saisir la CNIL. D’où les quelques dizaines de plaintes recensées par la CNIL. Un nombre qui pourrait grimper en flèche après cette newsletter.

Précédemment dans Nothing2Hide

  • Dans le cadre du projet Tech4Press, nous avons eu l’occasion d’intervenir auprès de plusieurs journalistes partis en Ukraine pour fournir des outils de contournement de la censure en ligne, pour des formations ou pour l’analyse de smartphones et d’ordinateurs qui ont été saisis par des brigades armées. Vous pouvez soutenir notre action et la liberté d’informer an faisant un don à notre association qui pour l’instant effectue ces interventions sur fonds propres.
  • Sur un sujet un peu plus léger, quoiqu’un peu obscur, notre CTO Jean-Marc aka @fo0_ est intervenu sur France Culture dans l’émission “Le meilleur des mondes” pour parler de darknet
  • Nous étions invités ce samedi 26 mars par l’Electrolab pour parler protection des données et logiciels libres. La vidéo de la table ronde est accessible sur Twitch.
  • Notre wiki a fait peau neuve (oui on a un wiki, so 2000’s, mais il paraît que les années 2000 reviennent à la mode). On en a profité pour réorganiser nos fiches et ateliers sur l’Éducation aux Médias et à l’Information. Elles sont publiées sous licence creative commons et sont librement réutilisables et modifiables. Servez-vous !

À venir dans Nothing2Hide

  • On vous avoue qu’on a un mois d’avril au moins aussi chargé qu’un agenda de candidat·e à la présidentielle. À venir : beaucoup de formations à la sécurité numérique dont on ne peut pas trop parler avant qu’elles aient eu lieu pour ne pas compromettre leur bonne tenue. On sera ravis de vous raconter tout ça un peu plus tard et notamment lors de notre Assemblée Générale qui se prépare bientôt. Rappel, pour y assister, il faut adhérer et pour adhérer, c’est ici

Revue de presse