Comment allier élections et respect du RGPD ?
Avec l’évolution des technologies, les méthodes utilisées par les partis politiques et les candidats pour atteindre les électeurs changent.
En 2024, l’exploitation des données à caractère personnel à des fins de campagne électorale concerne chaque candidat et citoyen. Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, il appartient à chacun de respecter certains principes pour traiter ces informations de manière adéquate.
En cette année d’élection, l’Autorité de protection des données (« APD » ci-après) a publié une note sur les bonnes pratiques à observer à l’approche des élections.
Dans cet article, nous souhaitons souligner quelques points importants.
Communication électorale et protection des données
Dans toute démocratie, les partis politiques doivent pouvoir informer les citoyens de leurs programmes pour que ces derniers puissent faire des choix éclairés lors des élections. Cela se fait via des canaux de communication « traditionnels », comme des courriers postaux, mais de plus en plus, les outils numériques sont utilisés pour diffuser des messages ciblés aux électeurs.
Principes fondamentaux à respecter
1. Respect des finalités pour lesquelles les données sont collectées
Les données à caractère personnel utilisées pour des campagnes électorales doivent avoir été collectées dans ce but précis. Il n’est pas autorisé d’utiliser des données collectées dans un autre domaine et les utiliser à des fins de propagande.
Exemple : Un bourgmestre a été sanctionné pour avoir utilisé les adresses e-mail obtenues dans le cadre du service d’’urbanisme afin d’envoyer des communications électorales. Cette réutilisation des données à d’autres fins que celles pour lesquelles elles avaient été initialement collectées était contraire au principe de finalité du RGPD. Il a été condamné à une amende de 2 000 euros (Décision quant au fond n° 04/2019).
2. Consentement lors des communications électroniques
Les partis politiques et les candidats peuvent joindre les citoyens par courriers postaux lorsque les données des citoyens proviennent de la liste des électeurs fournie par l’administration communale.
Cependant, l’envoi de communications électroniques (e-mails, SMS) nécessite toujours le consentement explicite de la personne concernée. Ce consentement devient indispensable dès qu’il s’agit de canaux numériques.
Exemple : Un échevin s’est vu infliger une amende de 5 000 euros pour avoir utilisé les coordonnées de ses clients privés dans le cadre de sa campagne électorale. L’Autorité de Protection des Données a jugé que cela violait les principes du RGPD, car ces informations avaient été obtenues dans un contexte commercial, et non électoral (Décision quant au fond n°11/2019).
3. Sous-traitance
Les partis politiques font souvent appel à des sous-traitants pour gérer les aspects techniques de leurs campagnes, comme l’envoi de courriers.
Une convention de sous-traitance doit être rédigée avec chaque sous-traitant afin de s’assurer qu’ils respectent les règles fixées par le RGPD .
Responsabilités des communes et des candidats politiques
Les communes
En Wallonie, les communes ont l’obligation légale de fournir les listes d’électeurs aux partis politiques et aux candidats. Cette tâche doit se faire dans le cadre de la législation électorale, notamment le Code wallon de la démocratie locale et de la décentralisation. Les données transmises aux partis ne peuvent être utilisées que pour la campagne électorale et dans le respect des règles en vigueur.
Les citoyens ont également la possibilité de faire valoir leur droit d’opposition. En vertu du RGPD, toute personne peut refuser que ses données figurent sur les listes utilisées pour la propagande électorale. Le citoyen doit alors en faire la demande auprès de la commune, qui annotera les listes d’électeurs afin d’exclure la personne concernée des envois de communication électorale.
Dès lors, un citoyen ayant exercé son droit d’opposition auprès de sa commune ne pourra plus recevoir de courriers personnalisés de la part des candidats politiques. Les listes d’électeurs devront être modifiées en conséquence pour respecter ce choix.
Les communes doivent également veiller à la sécurité des données lors de leur transmission aux partis et candidats, pour éviter tout accès non autorisé.
Les candidats politiques
Les partis et candidats peuvent utiliser les listes des électeurs dans le seul but de mener leur campagne. Toute autre utilisation, comme la revente des données ou leur réutilisation à des fins commerciales, est interdite. De plus, après la campagne, les données doivent être détruites, sauf si une obligation légale justifie leur conservation.
En Wallonie, les listes d’électeurs fournies aux partis ne peuvent être utilisées que pendant la campagne électorale. L’utilisation des listes après cette période est une violation du RGPD et du Code wallon de la démocratie locale et de la décentralisation. Dès lors, des sanctions peuvent être prononcées pour cette utilisation ultérieure.
Conclusion
À l’approche des élections de 2024, les partis, les candidats et les communes doivent respecter les règles en matière de protection des données. Le cadre juridique établi par le RGPD garantit à la fois la protection des droits des citoyens et la bonne gestion des campagnes électorales. Les communes doivent notamment faciliter l’exercice du droit d’opposition, tandis que les partis politiques doivent veiller à utiliser les données de manière responsable et dans les limites fixées par la loi.
Si vous souhaitez en savoir plus, nous vous invitons à prendre connaissance de la note de l’Autorité de protection des données, disponible via ce lien.
Denis Antoine
Compliance team lead & Data privacy Consultant – CTI Consulting
Expert en protection de la vie privée (CIPP/E)