RGPD et promotion des services publics : attention à l'utilisation des fichiers
La polémique créée par le SMS adressé à la rentrée aux lycéens de la région Auvergne-Rhône-Alpes invite les communicants publics à être attentifs à l'utilisation des fichiers de leurs collectivités pour la promotion des services publics ou des institutions. Une occasion de rappeler l'importance de se mettre en conformité avec le RGPD, démarche indispensable à l’approche des élections municipales et communautaires de 2020.
Le président de la région Auvergne-Rhône-Alpes a envoyé un SMS aux lycéens de sa région pour leur souhaiter une bonne rentrée scolaire. Selon l’opposition, « il s'agit d'un détournement du fichier du Pass' Région ». La CNIL a annoncé le 5 septembre qu’elle va « se rapprocher de la région Auvergne-Rhône-Alpes pour demander des précisions ».
Le fichier Pass’Région d’Auvergne-Rhône-Alpes compte cent quatre-vingt-dix mille lycéens. À l’inscription, les lycéens se voient demander s’ils souhaitent autoriser la région à leur « envoyer des informations liées aux dispositifs régionaux ou des bons plans ». Seuls les jeunes ayant coché cette case auraient reçu le SMS de rentrée. Mais, précise la CNIL, « de manière générale, les données ne doivent pas être réutilisées pour des finalités non prévues ».
Les données ne doivent pas être réutilisées pour des finalités non prévues.
CNIL
Depuis le 25 mai 2018, date d’entrée en application du Règlement général sur la protection des données (RGPD), les communicants publics sont mobilisés. Car le RGPD impacte les collectivités locales et appelle les communicants publics à faire évoluer la manière dont ils collectent et utilisent les données pour communiquer avec les citoyens.
« Des citoyens qui se sont fortement saisis du RGPD », constate la CNIL. Alors que le texte du RGPD vient tout juste de dépasser les 100 jours de mise en application, le nombre de plainte déposées auprès de la Commission est en forte hausse : + 56 %. Cette croissance témoigne du fait que les citoyens se sont fortement saisis des enjeux de la protection des données, notamment en raison du coup de projecteur médiatique sur le RGPD et, reconnaît la CNIL, suite à l’affaire Cambridge Analytica, cette société britannique accusée d'avoir récupéré illégalement les données personnelles de 50 millions d'utilisateurs du réseau social.
Avec la CNIL, le point sur les notions clefs et bons réflexes pour mettre en pratique le RGDP aux Rencontres de la communication numérique
Lors des Rencontre de la communication numérique des 27 et 28 septembre 2018, Alice de la Mure, juriste au service des délégués à la protection des données de la CNIL viendra expliquer en quoi la quasi-totalité des outils de communication sont en soumis au RGPD : réseaux sociaux, sites web, bases de données, sms, communiqués de presse, etc. Dès lors quelles sont les préoccupations prioritaires à avoir, par où commencer et comment planifier les principales étapes de la mise en conformité ?
Le caractère « public » des données disponibles sur internet ou les réseaux sociaux ne leur fait pas perdre le statut de données personnelles, tient à préciser la CNIL. Si leur simple consultation est toujours possible, le traitement de ces données (extraction, enregistrement, utilisation, enrichissement, etc.) est soumis à l’ensemble des conditions prévues par la loi « Informatique et Libertés ». Ainsi, comme cela a été rappelé par la Cour de cassation et le Conseil d’État, la collecte des données présentes sur internet ou les réseaux sociaux doit être loyale et licite.
Quel que soit le mode de collecte (direct ou indirect) des données, cela suppose l’information des personnes concernées ainsi que la possibilité de s’opposer à la collecte des informations. L’information générale donnée sur les sites ou par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins qui figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme informées.
La sensibilité des citoyens va augmenter à l’approche des élections municipales
Lors des dernières élections législatives, la CNIL avait aussi tiré la sonnette d’alarme après avoir reçu plusieurs témoignages relatifs à l’utilisation d’automates d’appel, qui permettent de passer de façon automatisée un grand nombre d'appels téléphoniques simultanés afin de délivrer un message préenregistré. La réception de tels messages à caractère politique est perçue par les électeurs comme particulièrement intrusive.
La CNIL recommande dès lors la mise en place de mesures particulières notamment de recueillir, avant tout appel, le consentement des intéressés à être prospectés à des fins politiques par automate d’appel. Un consentement qui doit en outre porter sur la plage horaire précise des appels.
Comme pour toutes démarche issue d’une collecte indirecte de coordonnées ou de location de bases de données déjà constituées par un prestataire, il convient de recueillir expressément le consentement de chaque intéressé avant toute communication.
Pour les collectivités, être en conformité avec le RGPD s’avère indispensable à l’approche des élections municipales et communautaires de 2020. Car c’est bien en cette période préélectorale que citoyens et candidats seront particulièrement attentifs à l’usage des fichiers publics et des données personnelles.
