Chère Commission européenne : Ne laissez pas les partis manipuler les élections avec nos données personnelles

“Propaganda” par Pawel Kuczynski. Illustration reproduite avec l'autorisation de l'artiste.

Cet article d'opinion a été écrit par Valentina Pavel, Mozilla fellow à Privacy International et membre de l'Association pour la technologie et Internet, basée en Roumanie. Les articles d'opinion ne reflètent pas les opinions de Global Voices. Sauf mention contraire, les liens de cet article renvoient vers des pages en anglais.

Quand on a appris que Cambridge Analytica [fr] avait récolté les données personnelles de millions d'utilisateurs de Facebook (et ensuite utilisé ces informations pour influencer les élections), les retombées ont été immédiates. L'entreprise britannique d'extraction des données a fermé, Facebook s'est retrouvé soumis à un examen minutieux, et les citoyens du monde ont appris à quel point les élections démocratiques pouvaient être facilement piratées en abusant des données personnelles des électeurs.

Depuis que ce scandale a éclaté, on pourrait croire que les démocraties européennes ont utilisé tous les outils à leur disposition, dont le Règlement général sur la protection des données (RGPD) [fr], pour prévenir des méfaits similaires dans le futur.

Mais le Règlement offre quelques “flexibilités” dans la façon dont il est intégré dans les lois nationales et permet aux États membres d'introduire quelques règles qui leur sont propres. Dans certains cas, plutôt que de protéger les droits des citoyens, ces exceptions limitent la liberté d'expression, érodent la confidentialité et encouragent la dissémination de la désinformation. Ce manque d’uniformité dans l'application des règles du RGPD pourrait mener à des différences dans le niveau de protection des données personnelles entre les États membres, y compris dans un contexte électoral.

Le RGPD, entré en vigueur en mai 2018, établit un ensemble de règles européennes concernant la collection, le traitement et le stockage des données personnelles des citoyens.

Entre autres, les règles requièrent généralement que les entreprises privées et les organisations obtiennent le consentement des individus avant de collecter leurs données personnelles (telles que leur nom, adresse e-mail, numéro de téléphone et d'autres informations personnelles et moyens de contact). Le RGPD améliore aussi les droits individuels, permettant aux citoyens de demander une copie de leurs données.

Bien que le RGPD soit un règlement européen [fr], les gouvernements nationaux ont le droit de légiférer sur leurs propres dispositions, ouvrant ainsi la voie à certaines exceptions pour les partis politiques décrites dans cet article.

Par exemple en Roumanie, les législateurs ont introduit une exception qui permet aux partis politiques et aux organisations de traiter les données personnelles sans consentement et sans mesure de protection contre de potentiels abus, créant une sorte de “Far West” des données personnelles. Ainsi, la Poste roumaine, un organisme public, a commencé à offrir aux partis politiques [ro] des informations sur les personnes âgées, permettant aux partis de les cibler avec des informations personnalisées pendant la campagne électorale.

Les législateurs roumains ont aussi introduit des limitations excessives à l'utilisation des données personnelles à des fins journalistiques, une mesure qui pourrait interférer avec le journalisme d'investigation et empêcher de révéler des affaires d’intérêt public. Les effets de cette exception problématique restent à voir.

Cependant, des tentatives d'utiliser le RGPD comme un outil pour faire taire la presse libre ont été signalées au projet RISE : l’Autorité roumaine de protection des données s'est adressée à des journalistes enquêtant sur les possibles liens d'un politicien avec une entreprise frauduleuse, leur demandant des informations sur leurs sources et les menaçant d'importantes amendes.

Ces exceptions problématiques ont conduit au dépôt d'une plainte auprès de la Commission européenne, mais aucune mesure n'a été prise.

Des régulations similaires dans d'autres pays européens

La Roumanie n'est pas le seul pays européen où des restrictions moindres s'appliquent aux partis politiques sur le traitement des données personnelles. En Espagne, la loi autorise les partis politiques à collecter des informations personnelles depuis des sources publiques comme des sites internet et des médias sociaux. Cette exception a été évoquée auprès de la Commission européenne dès novembre 2018, mais l'institution n'a pris aucune action concrète en six mois.

Des élections locales ont ainsi eu lieu en Espagne à la fin du mois d'avril 2019, et les électeurs se rendront à nouveau aux urnes fin mai 2019 pour les élections européennes. Des recherches de Privacy International ont démontré que des doutes existent sur la conformité de l'utilisation des données personnelles par les partis politiques avec les critères [es] définis par l’Autorité espagnole de protection des données.

Au Royaume-Uni, la loi permet encore aux partis de traiter des données personnelles révélant des opinions politiques sans obtenir le consentement des utilisateurs. Nous savons déjà combien ceci est sensible : bien avant Cambridge Analytica, il y eut Emma's Diary, un blog de puériculture qui a vendu les données personnelles de plus d'un million de particuliers aux partis politiques. C'est la raison pour laquelle, malgré la disposition dans la loi britannique, les partis ont été poussés à promettre de ne pas utiliser l'exception prévue dans la loi pour cibler les électeurs

Que signifient ces exceptions pour les citoyens ?

L'histoire des abus d'usage des données personnelles indiquent que ces exceptions pourraient aboutir aux problèmes suivants :

Plus de manipulation des électeurs. Dans les faits, l'exception roumaine rend les pratiques de Cambridge Analytica légales. Résultat, les partis politiques peuvent émettre des publicités fallacieuses répondant aux anxiétés personnelles des électeurs, et les inciter ainsi à voter pour (ou contre) certains candidats. Ces dernières années, nous avons constaté le rôle surdimensionné que la désinformation en ligne a joué dans des élections du monde entier. Ces erreurs du passé devraient fournir aux législateurs une justification pour intervenir et empêcher d'autres abus de se reproduire, mais rien n'a encore été fait dans ce sens.

Des menaces envers la vie privée et la sécurité des particuliers. Si un parti politique ou un publicitaire qui possède vos données se fait pirater, vous vous faites pirater aussi. En permettant à ces groupes de collecter et de stocker d'importantes quantités de données personnelles sans garde-fou, des millions d’Européens deviennent vulnérables à des fuites de données et des incidents sécuritaires.

Un accès à l'information réduit. Dans un monde où le pistage  ou tracking est omniprésent et où des messages personnalisés peuvent cibler les électeurs, se faire une opinion vraiment bien informée peut être difficile. Comment pouvez-vous réfléchir de façon critique quand vous n'apprenez que des faits fragmentaires, ici et là, et ne recevez que des messages conçus spécialement pour vous ? Comment un dialogue libre et informé peut-il encore exister ?

La mise en place de garde-fous pour nos données n'a jamais été aussi importante : la désinformation a atteint de nouveaux sommets et les élections parlementaires européennes ont bientôt lieu. Il est crucial de réparer ces dispenses nocives avant les élections et avant que le mal soit fait.

Le 26 mai 2019, les électeurs de l'UE doivent accentuer la pression sur leurs candidats pour que ceux-ci fassent de la vie privée une priorité et préservent ainsi le processus démocratique. Après l’élection, quand la nouvelle Commission européenne entrera en fonction, les électeurs devront réclamer une application ferme du RGPD et des mesures de protection de la vie privée.

Des dispositions vagues sur le traitement des données par les partis politiques peuvent affaiblir nos démocraties. La Commission européenne doit faire son travail et s'assurer que les règles du RGPD sont cohérentes dans toute l'Europe et que les données de tous sont protégées.

Apprenez comment arrêter de recevoir des publicités ciblées sur Twitter, YouTube, Facebook et Instagram, avec ces guides créés par Privacy International.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.