L’AFP a appris ce jeudi 17 novembre que la Cnil (Commission nationale informatique et liberté) a lancé des investigations sur l’application Knockin utilisée par la campagne de Nicolas Sarkozy pour géolocaliser les sympathisants potentiels et faciliter le porte-à-porte. En septembre, notre blogueur-avocat Emmanuel Daoud s’était fendu d’une note sur cette appli. Rue89

L’épisode a fait relativement peu de bruit. Outre une série d’articles parus le 2 septembre, les faits rapportés n’ont pas suscité le débat auquel on aurait pu s’attendre, compte tenu des enjeux et des irrégularités potentiellement commises.

Nous faisons référence ici à la collecte, par l’équipe de Nicolas Sarkozy, des données à caractère personnel sur les réseaux sociaux afin d’identifier les sympathisants du candidat à la primaire à droite et les localiser.

Tous à l’affût de vos données sur les réseaux

Plusieurs journalistes ont mis en lumière le fonctionnement de l’application Knockin, qui rassemble et croise les données collectées sur Facebook et Twitter et les met à la disposition des membres inscrits, afin qu’ils puissent faire du porte-à-porte auprès des potentiels sympathisants de droite ainsi identifiés.

On imagine sans mal l’incrédulité des personnes ainsi démarchées qui se voient expliquer qu’elles sont visitées parce qu’elles ont sans doute « liké » un post du candidat sur Facebook ou « retweeté » un message de ce même candidat !





Nicolas Sarkozy au Salon de l’agriculture, le 25 février 2015 à Paris - ESTEBAN/SIPA

Le caractère particulièrement intrusif de cette prospection politique est patent et interroge, tant sur les moyens d’identification des opinions politiques d’une personne par le biais de ses réactions sur Internet, que sur la licéité du démarchage ciblé à domicile.

L’affaire Knockin fait écho à d’autres faits également relatés dans la presse et qui mettaient en exergue l’utilisation, par certains assureurs, des données personnelles et informations figurant sur les réseaux sociaux afin de lutter contre la fraude à l’assurance.

On pense également à Legalup, la start-up qui met en émoi les avocats en collectant leurs données nominatives à leur insu et en se présentant comme leur intermédiaire auprès d’éventuels clients.

L’aspiration de données sur Internet semble ainsi se généraliser, sans que l’on en connaisse réellement les limites, notamment juridiques.

Les collectes de données par les assureurs, les start-up du droit, ou un candidat politique présentent des points communs. Les données proviennent des réseaux sociaux ou de sites internet. Elles sont également collectées à l’insu de la personne concernée et a fortiori, sans son consentement.

Techniquement, il n’y a aucune difficulté, la collecte de données sur les réseaux est effectuée par des robots qui aspirent les données tous azimuts. L’identification de l’adresse correspondant à la personne ainsi ciblée est le fruit d’un croisement de données sur Internet, en d’autres termes, l’illustration de l’utilisation combinée des algorithmes et du big data.

Juridiquement, la question mérite d’être analysée avec plus de précisions.

La collecte des données sur les réseaux est déloyale…

La loi du 6 janvier 1978 dite « loi informatique et libertés » est tout à fait claire sur les conditions dans lesquelles doit s’opérer une collecte de données.

L’article 6 de la loi prévoit que la collecte de données doit notamment être licite et loyale. Il convient d’informer la personne dont les données sont ainsi collectées, mais aussi de lui permettre de s’opposer, de rectifier, compléter, mettre à jour, effacer les données la concernant.

La Cnil a déjà sanctionné des entreprises pour des collectes indirectes de données, par le biais d’informations glanées sur les réseaux sociaux.

La société Pages jaunes, qui par le biais de son service « Pages blanches » diffuse les informations figurant dans l’annuaire téléphonique des particuliers, a eu recours à la fonctionnalité dite de webcrawl qui fouille Internet à la recherche d’informations sur les personnes.

Cette fonctionnalité permettait à la société d’afficher sur son site internet, outre les coordonnées classiques d’une personne physique, un plan d’accès du lieu d’habitation ainsi que des données issues des réseaux sociaux (photographie, établissements scolaires, employeurs, profession, etc.).

Dans une délibération de la Cnil en date du 21 septembre 2011, la société a fait l’objet d’un avertissement public, notamment pour violation du principe de collecte loyale des données et atteinte aux droits des personnes.

En outre, la Chambre criminelle de la Cour de cassation a décidé, dans un arrêt du 14 mars 2006, qu’« est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l’espace public d’Internet, ce procédé faisant obstacle à leur droit d’opposition ».

En l’occurrence, un informaticien avait mis en œuvre un robot aspirant les adresses électroniques sur Internet en vue de la diffusion de messages publicitaires. La Cour de cassation a confirmé la décision de la Cour d’appel qui l’avait sanctionné sur le fondement de la collecte de données nominatives par un moyen frauduleux, déloyal ou illicite (art. 226-18 du code pénal).

On aurait tôt fait de penser, au vu de ces décisions, que la collecte de toutes données à caractère personnel sur Internet à l’insu de la personne concernée est contraire au principe de collecte licite et loyale des données et expose son auteur à une sanction. La réalité est plus complexe.

… sauf en cas de prospection politique

Dans notre affaire de collecte de données nominatives au bénéfice d’un candidat à la primaire à droite, la collecte s’opère dans un contexte particulier, celui de la prospection politique.

Lors des dernières élections présidentielles, en 2012, qui constituent sans doute l’apogée de l’utilisation des outils numériques au service de la communication politique, tant en France qu’aux Etats-Unis, la question de l’utilisation des données disponibles sur Internet s’est posée avec une particulière acuité.

Cette même année, la Cnil a rendu une délibération portant recommandation relative à la mise en œuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives, de fichiers dans le cadre de leurs activités politiques. Elle a complété cette délibération d’une norme simplifiée qui pose les conditions dans lesquelles peuvent être collectées et traitées les données personnelles en vue d’une communication politique.

On y apprend que, dans le cadre de cette norme, des données à caractère personnel peuvent être collectées de façon indirecte par l’intermédiaire du réseau internet (article 3). La délibération de la Cnil envisage très précisément l’hypothèse d’une collecte de données par le biais du compte Facebook ou Twitter d’un candidat ou encore de blogs.

La collecte indirecte, à l’insu de la personne concernée, de données à caractère personnel sur le compte Facebook ou Twitter du candidat est donc licite et loyale.

Néanmoins, la Cnil et la loi Informatique et libertés encadrent strictement le traitement de ces données.

Consentement préalable

Plusieurs journalistes rapportaient qu’il était possible, en s’inscrivant simplement sur l’application Knockin du candidat, de prendre connaissance de l’intégralité des données nominatives des potentiels sympathisants ainsi que de leur localisation géographique (ce qui après vérification, n’était pas ou plus possible quelques jours après la publication des articles de presse).

Sur ce point, la norme simplifiée est très stricte et limite précisément les destinataires des données à l’élu, au candidat ou responsable de parti, au personnel habilité, à la personne en charge du financement du parti, etc. En aucun cas, ces données ne pourraient être communiquées à tous les membres du parti ou aux simples membres de l’application Knockin.

En outre et surtout, la norme simplifiée précitée n’autorise pas l’utilisation de ces données en vue d’effectuer du porte-à-porte ciblé. La simple prospection par e-mail ou SMS est soumise au consentement de la personne concernée (article 6 de la délibération) !

A fortiori, un démarchage à domicile ciblé, sans le consentement de la personne concernée, présente un caractère autrement plus intrusif et ne peut être conforme à la loi Informatique et libertés.

En conclusion, la collecte de données personnelles sur les réseaux, oui, le démarchage ciblé à domicile sans consentement préalable, non.



Knockin… knock-out

La norme simplifiée pose également des conditions précises afin de respecter les droits des personnes dont les données sont collectées :

« Lors de l’inscription à un réseau social, une application internet ou lors de l’utilisation d’outils de partage insérés sur une page internet, outils de communication politique, l’utilisateur doit être informé du caractère public de la relation créée et du fait que s’exprimer révèlera publiquement son opinion politique. »

En l’occurrence, cette information obligatoire apparaît-elle ? Si oui, est-elle suffisamment visible des internautes ?

La collecte de données sur Internet au service de divers intérêts, qu’ils soient politiques ou commerciaux doit plus que jamais alerter les internautes sur la portée des informations qu’ils communiquent sur Internet. Vous ne savez pas qui vous pouvez trouver sur votre palier !

Au moment où nous mettions la dernière main à ce billet, l’application Knockin a subitement disparu d’internet. Ses promoteurs et son bénéficiaire ont été – semble-t-il – enfin alertés sur les risques juridiques personnels encourus à flirter ainsi dangereusement avec les limites posées par la CNIL.

A la veille d’une échéance aussi capitale et alors même que le retour et la candidature de Nicolas Sarkozy semblent être préparées de longue date, cette absence de rigueur ne laisse pas d’étonner.

Réclamations

En tout état de cause, tous ceux qui ne se satisfont pas de l’exploitation sauvage de leurs données à caractère personnel pourraient être tentés de saisir les tribunaux ou la Cnil afin de demander des comptes aux principaux intéressés et obtenir réparation de leur préjudice.

En conclusion et au-delà de la défense des libertés individuelles, la question reste posée des modalités concrètes d’exploitation des données personnelles collectées par l’équipe du candidat Nicolas Sarkozy au travers de l’application Knockin et en conséquence, de la régularité de la campagne et des élections à venir de la primaire à droite.

En effet, qu’en sera-t-il si des inscrits « démarchés » de la sorte ou des rivaux opportunistes ou mécontents de l’ex-Président formaient des réclamations et engageaient sans attendre les contentieux pertinents ?

Par Emmanuel Daoud et Géraldine Péronne