Vers une interdiction du ciblage publicitaire à des fins politiques en Europe
Le Contrôleur européen de la protection des données (CEPD) a récemment rendu son opinion dans le cadre d’une procédure de consultation législative relative à la Proposition de Règlement relatif à la transparence et au ciblage de la publicité à caractère politique (ci-après, la Proposition)(art. 42 par. 1 Règlement (UE) 2018/1725).
Situation actuelle
L’idée de réglementer la transparence et la publicité ciblée à caractère politique au niveau de l’Union européenne vient d’une trop grande fragmentation entre les règles existantes dans chacun des États membres. Afin d’éviter que des acteurs profitent de la libre circulation des services (art. 56 TFUE) en diffusant leur message publicitaire dans un État membre doté de règles plus strictes alors qu’ils satisfont uniquement à celles d’un autre moins exigeant, l’adoption d’une réglementation uniforme au niveau de l’Union est apparue nécessaire au législateur européen.
La Commission européenne a publié en 2020 son Plan d’action pour la démocratie européenne, dont fait partie la Proposition, qui a notamment pour objectifs de protéger l’intégrité des élections, de promouvoir la participation démocratique et de lutter contre la désinformation. Elle affirme que l’utilisation croissante du ciblage politique effectué sur la base de données personnelles, parfois sensibles, « permet de segmenter différents groupes d’électeurs ou de particuliers et d’exploiter leurs caractéristiques ou vulnérabilités […] [c]ela affecte négativement et spécifiquement les libertés et droits fondamentaux des citoyens en ce qui concerne le traitement de leurs données à caractère personnel ainsi que la possibilité pour elles de recevoir des informations objectives, de se forger leur opinion, de prendre des décisions politiques et d’exercer leur droit de vote, ce qui porte préjudice au processus démocratique » (consid. 47 Proposition). Le but d’une telle réglementation est que les règles de la Proposition puissent produire leurs effets lors de la prochaine élection de la Commission européenne en 2024.
Le texte qui nous intéresse a été conçu comme un complément à la Proposition de législation sur les services numériques (Digital Services Act) visant à réglementer la transparence liée à la publicité en ligne. Leurs champs ne sont pas identiques, la Proposition ne se limitant pas à la publicité en ligne.
Opinion du CEPD
Le CEPD reconnaît que la communication politique est essentielle aux processus démocratiques et à la liberté d’expression, mais est d’avis qu’elle ne peut exister qu’à condition d’être exercée conformément au respect de la vie privée et familiale et à la protection des données à caractère personnel (art. 7 et 8 Charte des droits fondamentaux de l’UE).
Tout d’abord, la Proposition interdit les techniques de ciblage et d’amplification qui impliquent un traitement de catégories particulières de données au sens de l’art. 9 RGPD (art. 12 par. 1 Proposition). Ces techniques sont « utilisées soit pour adresser une publicité à caractère politique personnalisée uniquement à une personne spécifique ou à un groupe spécifique de personnes, soit pour accroître la circulation, la portée ou la visibilité d’une publicité à caractère politique » (art. 2 ch. 8 Proposition).
Cependant, par renvoi au RGPD, l’interdiction souffre deux exceptions, à savoir le consentement explicite de la personne concernée au traitement de ses données (art. 9 par. 2 let. a RGPD) et l’hypothèse dans laquelle « le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées » (art. 9 par. 2 let. d RGPD).
Le CEPD est d’avis que ces deux exceptions doivent être supprimées, car elles n’apportent pas de valeur ajoutée à cette réglementation spéciale, les autres exceptions de l’art. 9 par. 2 RGPD ne semblant de toute façon pas applicables au ciblage publicitaire et aux techniques d’amplification. Il ne voit pas non plus en quoi il pourrait se justifier de collecter des données sensibles pour promouvoir un message politique. La première exception lui pose de plus problème étant donné qu’un consentement donné en ligne n’est pas forcément une garantie effective de la protection de la personne concernée, car celle-ci peut succomber à ce qu’il appelle la lassitude du consentement (consent fatigue) ou parce que les informations données ne sont pas suffisantes. La seconde exception n’est guère plus opportune puisque les associations, fondations et autres organismes à but non lucratif sont en pratique les principaux sponsors de la publicité à but politique.
En outre, le CEPD estime qu’il faut également élargir l’ampleur de l’interdiction en visant également des données personnelles dites simples, par opposition aux données personnelles sensibles. Il considère qu’une publicité politique ciblée et basée sur une analyse de l’activité en ligne, un profilage comportemental ou d’autres techniques d’analyse comporte des risques pour la protection de la personnalité.
A cet égard, nous relevons que même si la Proposition n’est pas encore en vigueur, les dispositions générales de protection des données permettent déjà de répondre au problème soulevé. L’autorité belge de protection des données a ainsi récemment rendu une décision sanctionnant une association pour différents manquements au RGPD dans le cadre d’un profilage politique d’utilisateurs de Twitter.
Ensuite, le CEPD est d’avis que la Proposition doit être plus claire quant à ses liens avec le RGPD et le Règlement (UE) 2018/1725. En effet, l’art. 1er par. 4 de la Proposition liste des directives et règlements dont les règles ne sont pas affectées par celle-ci. Or ni le RGPD ni le Règlement (UE) 2018/1725 n’y sont mentionnés, les deux contenant des dispositions de base de protection des données. Malgré le fait que l’art. 12 de la Proposition fasse plusieurs renvois à ces deux règlements, le CEPD recommande un renvoi général à ceux-ci de sorte qu’aucune interprétation biaisée de la Proposition ne puisse mener à déroger à ces textes généraux de protection des données. Par exemple, le CEPD souligne que le responsable du traitement et l’éditeur de publicité à caractère politique (art. 12 par. 4 et 7 Proposition) sont des responsables conjoints. Ainsi, les obligations découlant des art. 26 RGPD et 28 du Règlement (UE) 2018/1725 leur seront également applicables.
Enfin, la Proposition prévoit également des obligations de transparence. Le destinataire de la publicité ciblée doit ainsi notamment être informé des groupes de personnes ciblées, des critères utilisés pour les identifier dans des termes aussi précis que ceux utilisés pour effectuer le ciblage, des catégories de données personnelles utilisées, des buts du ciblage, de la période de diffusion de la publicité, du nombre de destinataires ou encore de la source des données personnelles utilisées. Le CEPD accueille favorablement ces obligations en indiquant là encore qu’elles s’ajoutent à celles existant dans le RGPD et le Règlement (UE) 2018/1725.
Situation en Suisse
En Suisse, la publicité à caractère politique est uniquement interdite si celle-ci est diffusée à la radio ou à la télévision et dans des cas spécifiques (art. 10 al. 1 let. d LRTV). Un postulat a été déposé en décembre 2020 et vise à réguler la publicité politique en ligne et concerne également les techniques de ciblage. Même si les délibérations n’ont pas encore débuté, le Conseil fédéral a proposé de rejeter ce postulat.
Selon nous, il est opportun de légiférer également en Suisse sur la publicité politique en ligne afin de garantir le bon déroulement du processus démocratique. La LRTV a été adoptée en 2006, époque à laquelle internet n’était pas encore aussi omniprésent et où les réseaux sociaux venaient à peine de naître. Aujourd’hui, la diffusion d’informations en ligne a atteint une portée considérable et les outils de ciblage permettent de les utiliser à ses propres fins. On pense en particulier aux différents scandales de Cambridge Analytica qui ont eu lieu il y a quelques années. En effet, cette société spécialisée dans le marketing politique avait procédé à des campagnes de micro-ciblage publicitaire à but politique, notamment lors des élections présidentielles américaines de 2016 et lors du référendum sur le Brexit. Des profils psychologiques d’utilisateurs de Facebook étaient créés sur la base de leur activité sur le réseau social dans le but d’influencer leur vote.
Si une législation relative à la publicité politique en ligne devait voir le jour en Suisse, des moyens de surveillance et d’action efficaces devraient être mis en place afin d’assurer son respect.
Proposition de citation : Alexandre Barbey, Vers une interdiction du ciblage publicitaire à des fins politiques en Europe, 2 février 2022 in www.swissprivacy.law/121
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.