Les droits des électeurs
Lorsqu’ils adressent des messages de communication politique, les partis et candidats aux élections doivent informer leurs prospects de l’origine des données qu’ils utilisent. Les personnes démarchées doivent pouvoir exercer leurs droits Informatique et Libertés à tout moment, notamment pour s’opposer facilement à recevoir de nouveaux messages.
Les grands principes qui régissent la protection des données personnelles n’ont pas été modifiés avec l’entrée en application du règlement général sur la protection des données (RGPD). Celui-ci a tout de même introduit des changements dans le domaine de la communication politique.
L’information des personnes prospectées
Le candidat ou le parti politique qui traite des données personnelles concernant les électeurs dans un but de prospection doit les informer du traitement qui est fait de leurs données. A cet égard, le RGPD distingue les mentions à fournir selon que les données ont été collectées directement auprès des électeurs ou de manière indirecte.
Dans tous les cas, il conviendra d’informer clairement les électeurs sur :
- l’identité et les coordonnées du responsable de traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;
- les finalités du traitement ainsi que sa base légale ;
- les destinataires des données personnelles, s’ils existent ;
- la possibilité d’un transfert des données vers un pays tiers à l’Union ou à une organisation internationale ;
- la durée de conservation des données ;
- l’existence des droits Informatique et Libertés (droit d’accès, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition) et les modalités pratiques pour les exercer (coordonnées, postales ou électroniques ou tout moyen de contact utile, justificatifs à présenter) ;
- la possibilité pour l’électeur de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
- le droit d’introduire une réclamation auprès de la CNIL ;
- l’existence éventuelle d’une prise de décision automatisée, y compris un profilage.
Dans l’hypothèse où le candidat ou le parti politique a l’intention d’effectuer un traitement ultérieur des données personnelles pour une finalité autre que celle pour laquelle les données ont été collectées, le candidat ou le parti fournit au préalable à la personne concernée des informations au sujet de cette finalité.
Ex. : les données de l’électeur sont collectées dans le cadre de l’organisation de primaires ouvertes et le parti politique organisateur souhaite pouvoir réutiliser les données de l’électeur ultérieurement à des fins de prospection.
La collecte indirecte des données
Dans l’hypothèse d’une collecte indirecte, le candidat ou le parti politique devra en outre préciser d’autres informations, notamment la source d’où proviennent les données personnelles et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (les listes électorales par exemple).
Cette information devra intervenir dans un délai raisonnable après avoir obtenu les données personnelles et au plus tard au moment de la première communication à la personne concernée. Si le responsable de traitement (un parti politique par exemple) envisage de communiquer les informations à un autre destinataire (les candidats à des primaires internes au parti par exemple), il doit alors informer les personnes concernées au plus tard lorsque les données sont transmises au destinataire pour la première fois.
Dans le cas d’une collecte au moyen d’un formulaire, outre les mentions d’information prévues par le RGPD, la CNIL recommande également que le candidat ou le parti politique informe les personnes concernées sur le caractère obligatoire ou facultatif des réponses et les conséquences de l’absence de réponse.
L’information doit être délivrée sous une forme concise, compréhensible et aisément accessible, en des termes clairs et simples, ainsi que par le recours à des mesures d’information appropriées.
Ex. : en cas d’utilisation d’automates d’appel, les messages préenregistrés doivent également contenir toutes les mentions d’information prévues par le RGPD.
Par ailleurs, dans le cas d’une collecte au moyen d’un formulaire, la CNIL rappelle que le candidat ou le parti politique doit informer les personnes concernées sur le caractère obligatoire ou facultatif des réponses et les conséquences de l’absence de réponse.
Les données sensibles (données qui révèlent les opinions politiques ou l’appartenance syndicale de la personne notamment) ne peuvent être collectées que sous réserve de répondre à l’une des conditions énumérées à l’article 9.2 du RGPD.
Une telle collecte peut notamment être réalisée si le consentement explicite de l’intéressé est recueilli. Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque. Il peut, par exemple, être recueilli par le biais d’un système de case à cocher.
L’exercice des droits Informatique et Libertés
Le RGPD prévoit désormais expressément que le responsable de traitement doit faciliter l’exercice des droits conférés à la personne concernée par le RGPD et traiter les demandes d’exercice des droits dans les meilleurs délais, et au plus tard dans un délai d’un mois.
Le droit d’accès (article 15 du RGPD)
Tout électeur peut écrire directement à un candidat ou parti politique pour :
- savoir si celui-ci détient des données personnelles le concernant ;
- obtenir des informations sur les finalités du traitement, les données collectées, les destinataires, la durée de conservation des données ;
- obtenir des informations sur ses droits Informatique et Libertés ;
- l'interroger sur l’origine des données lorsque celles-ci n’ont pas été collectées auprès de l’électeur ;
- demander une copie de ses données.
L'exercice du droit d’accès permet de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.
Le droit d'accès : connaître les données qu’un organisme détient sur vous
Les droits de rectification et d’effacement (articles 16 et 17 du RGPD)
L’électeur peut également demander au candidat ou au parti politique de faire corriger les données le concernant lorsqu’elles sont incorrectes, inexactes ou incomplètes. Il peut obtenir la suppression de ses données, notamment si celles-ci ne sont plus nécessaires, si le traitement est fondé sur le consentement et que le consentement est retiré, ou si le traitement est illicite. Lorsqu’un candidat ou parti politique a rendu publiques des données puis les a effacées, il doit informer de leur effacement tous les responsables du traitement qui traitent ces données.
Le droit d’opposition (article 21 du RGPD)
Tout électeur dispose du droit de s’opposer à l’utilisation de ses données personnelles à des fins de communication politique, sans avoir à justifier des raisons de sa démarche.
Le droit d’opposition peut s’exercer à tout moment. La prise en compte de l'opposition doit intervenir dès la première demande.
Le droit d'opposition : refuser l’utilisation de vos données
Les nouveaux droits issus du RGPD
Le droit à la limitation du traitement (article 18 du RGPD)
L’électeur peut demander à un candidat ou parti politique la limitation du traitement, c’est-à-dire de « geler » le traitement dans l’état où il se trouve, en cas de manquement au respect des obligations Informatique et Libertés (inexactitude des données, traitement illicite), si les données lui sont nécessaires pour l’exercice ou la défense d’un droit en justice ou s’il a exercé son droit d’opposition pour motifs légitimes. Ce droit permet de conserver la donnée le temps de traiter la situation litigieuse.
Le droit à la portabilité (article 20 du RGPD)
Chaque électeur peut recevoir les données personnelles le concernant qu’il a fournies à un candidat ou un parti politique, dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre candidat ou parti politique sans que le candidat ou parti politique qui traitait initialement les données y fasse obstacle. Pour exercer ce droit, le traitement doit être fondé sur le consentement et le traitement doit être effectué à l’aide de procédés automatisés.
Le droit à la portabilité : obtenir et réutiliser une copie de vos données
► Signalez-le à la CNIL