Le Contrôleur euro­péen de la protec­tion des données (CEPD) a récem­ment rendu son opinion dans le cadre d’une procé­dure de consul­ta­tion légis­la­tive rela­tive à la Proposition de Règlement rela­tif à la trans­pa­rence et au ciblage de la publi­cité à carac­tère poli­tique (ci-après, la Proposition)(art. 42 par. 1 Règlement (UE) 2018/​1725).

Situation actuelle

L’idée de régle­men­ter la trans­pa­rence et la publi­cité ciblée à carac­tère poli­tique au niveau de l’Union euro­péenne vient d’une trop grande frag­men­ta­tion entre les règles exis­tantes dans chacun des États membres. Afin d’évi­ter que des acteurs profitent de la libre circu­la­tion des services (art. 56 TFUE) en diffu­sant leur message publi­ci­taire dans un État membre doté de règles plus strictes alors qu’ils satis­font unique­ment à celles d’un autre moins exigeant, l’adoption d’une régle­men­ta­tion uniforme au niveau de l’Union est appa­rue néces­saire au légis­la­teur européen.

La Commission euro­péenne a publié en 2020 son Plan d’action pour la démo­cra­tie euro­péenne, dont fait partie la Proposition, qui a notam­ment pour objec­tifs de proté­ger l’intégrité des élec­tions, de promou­voir la parti­ci­pa­tion démo­cra­tique et de lutter contre la désin­for­ma­tion. Elle affirme que l’utilisation crois­sante du ciblage poli­tique effec­tué sur la base de données person­nelles, parfois sensibles, « permet de segmen­ter diffé­rents groupes d’électeurs ou de parti­cu­liers et d’exploiter leurs carac­té­ris­tiques ou vulné­ra­bi­li­tés […] [c]ela affecte néga­ti­ve­ment et spéci­fi­que­ment les liber­tés et droits fonda­men­taux des citoyens en ce qui concerne le trai­te­ment de leurs données à carac­tère person­nel ainsi que la possi­bi­lité pour elles de rece­voir des infor­ma­tions objec­tives, de se forger leur opinion, de prendre des déci­sions poli­tiques et d’exercer leur droit de vote, ce qui porte préju­dice au proces­sus démo­cra­tique » (consid. 47 Proposition).  Le but d’une telle régle­men­ta­tion est que les règles de la Proposition puissent produire leurs effets lors de la prochaine élec­tion de la Commission euro­péenne en 2024.

Le texte qui nous inté­resse a été conçu comme un complé­ment à la Proposition de légis­la­tion sur les services numé­riques (Digital Services Act) visant à régle­men­ter la trans­pa­rence liée à la publi­cité en ligne. Leurs champs ne sont pas iden­tiques, la Proposition ne se limi­tant pas à la publi­cité en ligne.

Opinion du CEPD 

Le CEPD recon­naît que la commu­ni­ca­tion poli­tique est essen­tielle aux proces­sus démo­cra­tiques et à la liberté d’expression, mais est d’avis qu’elle ne peut exis­ter qu’à condi­tion d’être exer­cée confor­mé­ment au respect de la vie privée et fami­liale et à la protec­tion des données à carac­tère person­nel (art. 7 et 8 Charte des droits fonda­men­taux de l’UE).

Tout d’abord, la Proposition inter­dit les tech­niques de ciblage et d’amplification qui impliquent un trai­te­ment de caté­go­ries parti­cu­lières de données au sens de l’art. 9 RGPD (art. 12 par. 1 Proposition).  Ces tech­niques sont « utili­sées soit pour adres­ser une publi­cité à carac­tère poli­tique person­na­li­sée unique­ment à une personne spéci­fique ou à un groupe spéci­fique de personnes, soit pour accroître la circu­la­tion, la portée ou la visi­bi­lité d’une publi­cité à carac­tère poli­tique » (art. 2 ch. 8 Proposition).

Cependant, par renvoi au RGPD, l’interdiction souffre deux excep­tions, à savoir le consen­te­ment expli­cite de la personne concer­née au trai­te­ment de ses données (art. 9 par. 2 let. a RGPD) et l’hypothèse dans laquelle « le trai­te­ment est effec­tué, dans le cadre de leurs acti­vi­tés légi­times et moyen­nant les garan­ties appro­priées, par une fonda­tion, une asso­cia­tion ou tout autre orga­nisme à but non lucra­tif et pour­sui­vant une fina­lité poli­tique, philo­so­phique, reli­gieuse ou syndi­cale, à condi­tion que ledit trai­te­ment se rapporte exclu­si­ve­ment aux membres ou aux anciens membres dudit orga­nisme ou aux personnes entre­te­nant avec celui-ci des contacts régu­liers en liai­son avec ses fina­li­tés et que les données à carac­tère person­nel ne soient pas commu­ni­quées en dehors de cet orga­nisme sans le consen­te­ment des personnes concer­nées » (art. 9 par. 2 let. d RGPD).

Le CEPD est d’avis que ces deux excep­tions doivent être suppri­mées, car elles n’apportent pas de valeur ajou­tée à cette régle­men­ta­tion spéciale, les autres excep­tions de l’art. 9 par. 2 RGPD ne semblant de toute façon pas appli­cables au ciblage publi­ci­taire et aux tech­niques d’amplification. Il ne voit pas non plus en quoi il pour­rait se justi­fier de collec­ter des données sensibles pour promou­voir un message poli­tique. La première excep­tion lui pose de plus problème étant donné qu’un consen­te­ment donné en ligne n’est pas forcé­ment une garan­tie effec­tive de la protec­tion de la personne concer­née, car celle-ci peut succom­ber à ce qu’il appelle la lassi­tude du consen­te­ment (consent fatigue) ou parce que les infor­ma­tions données ne sont pas suffi­santes. La seconde excep­tion n’est guère plus oppor­tune puisque les asso­cia­tions, fonda­tions et autres orga­nismes à but non lucra­tif sont en pratique les prin­ci­paux spon­sors de la publi­cité à but politique.

En outre, le CEPD estime qu’il faut égale­ment élar­gir l’ampleur de l’interdiction en visant égale­ment des données person­nelles dites simples, par oppo­si­tion aux données person­nelles sensibles. Il consi­dère qu’une publi­cité poli­tique ciblée et basée sur une analyse de l’activité en ligne, un profi­lage compor­te­men­tal ou d’autres tech­niques d’analyse comporte des risques pour la protec­tion de la personnalité.

A cet égard, nous rele­vons que même si la Proposition n’est pas encore en vigueur, les dispo­si­tions géné­rales de protec­tion des données permettent déjà de répondre au problème soulevé. L’autorité belge de protec­tion des données a ainsi récem­ment rendu une déci­sion sanc­tion­nant une asso­cia­tion pour diffé­rents manque­ments au RGPD dans le cadre d’un profi­lage poli­tique d’utilisateurs de Twitter.

Ensuite, le CEPD est d’avis que la Proposition doit être plus claire quant à ses liens avec le RGPD et le Règlement (UE) 2018/​1725. En effet, l’art. 1er par. 4 de la Proposition liste des direc­tives et règle­ments dont les règles ne sont pas affec­tées par celle-ci. Or ni le RGPD ni le Règlement (UE) 2018/​1725 n’y sont mention­nés, les deux conte­nant des dispo­si­tions de base de protec­tion des données. Malgré le fait que l’art. 12 de la Proposition fasse plusieurs renvois à ces deux règle­ments, le CEPD recom­mande un renvoi géné­ral à ceux-ci de sorte qu’aucune inter­pré­ta­tion biai­sée de la Proposition ne puisse mener à déro­ger à ces textes géné­raux de protec­tion des données. Par exemple, le CEPD souligne que le respon­sable du trai­te­ment et l’éditeur de publi­cité à carac­tère poli­tique (art. 12 par. 4 et 7 Proposition) sont des respon­sables conjoints. Ainsi, les obli­ga­tions décou­lant des art. 26 RGPD et 28 du Règlement (UE) 2018/​1725 leur seront égale­ment applicables.

Enfin, la Proposition prévoit égale­ment des obli­ga­tions de trans­pa­rence. Le desti­na­taire de la publi­cité ciblée doit ainsi notam­ment être informé des groupes de personnes ciblées, des critères utili­sés pour les iden­ti­fier dans des termes aussi précis que ceux utili­sés pour effec­tuer le ciblage, des caté­go­ries de données person­nelles utili­sées, des buts du ciblage, de la période de diffu­sion de la publi­cité, du nombre de desti­na­taires ou encore de la source des données person­nelles utili­sées. Le CEPD accueille favo­ra­ble­ment ces obli­ga­tions en indi­quant là encore qu’elles s’ajoutent à celles exis­tant dans le RGPD et le Règlement (UE) 2018/​1725.

Situation en Suisse

En Suisse, la publi­cité à carac­tère poli­tique est unique­ment inter­dite si celle-ci est diffu­sée à la radio ou à la télé­vi­sion et dans des cas spéci­fiques (art. 10 al. 1 let. d LRTV). Un postu­lat a été déposé en décembre 2020 et vise à régu­ler la publi­cité poli­tique en ligne et concerne égale­ment les tech­niques de ciblage. Même si les déli­bé­ra­tions n’ont  pas encore débuté, le Conseil fédé­ral a proposé de reje­ter ce postulat.

Selon nous, il est oppor­tun de légi­fé­rer égale­ment en Suisse sur la publi­cité poli­tique en ligne afin de garan­tir le bon dérou­le­ment du proces­sus démo­cra­tique. La LRTV a été adop­tée en 2006, époque à laquelle inter­net n’était pas encore aussi omni­pré­sent et où les réseaux sociaux venaient à peine de naître. Aujourd’hui, la diffu­sion d’informations en ligne a atteint une portée consi­dé­rable et les outils de ciblage permettent de les utili­ser à ses propres fins. On pense en parti­cu­lier aux diffé­rents scan­dales de Cambridge Analytica qui ont eu lieu il y a quelques années. En effet, cette société spécia­li­sée dans le marke­ting poli­tique avait procédé à des campagnes de micro-ciblage publi­ci­taire à but poli­tique, notam­ment lors des élec­tions prési­den­tielles améri­caines de 2016 et lors du réfé­ren­dum sur le Brexit. Des profils psycho­lo­giques d’utilisateurs de Facebook étaient créés sur la base de leur acti­vité sur le réseau social dans le but d’influencer leur vote.

Si une légis­la­tion rela­tive à la publi­cité poli­tique en ligne devait voir le jour en Suisse, des moyens de surveillance et d’action effi­caces devraient être mis en place afin d’assurer son respect.