#ChatControl : le microciblage publicitaire de la Commission européenne était illégal
Faites ce que je dis, pas ce que je fais
En micro-ciblant une campagne publicitaire de sorte qu’elle ne s’affiche que sur des profils d’internautes politiquement libéraux ou de gauche, en excluant les utilisateurs conservateurs ou de droite, la Commission européenne a procédé à un traitement de donnés illégal et sans base juridique valable.
Le Contrôleur européen de la protection des données (CEPD, ou European Data Protection Supervisor, EDPS) estime que la Commission européenne a enfreint le RGPD en « traitant illégalement » des données à caractère personnel « sans base juridique valable ».
La Commission avait, en effet, identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement, rappelle l’ONG noyb (pour « none of your business »). Elle cherchait alors à influencer l’opinion en vue de l’adoption du très controversé règlement européen visant à « combattre les abus sexuels concernant les enfants » en scannant les contenus des messageries, y compris chiffrées, ce pourquoi il a été surnommé #ChatControl par ses opposants.
Une campagne excluant les mots-clefs conservateurs et d’extrême-droite
La campagne, qui aurait ciblé les « Twittos » d’au moins sept pays membres, avait cumulé plus de 4 millions de vues. Elle avait été paramétrée pour ne pas s’afficher sur les profils de personnes intéressées par les responsables politiques européens d’extrême-droite et eurosceptiques, Poutine, le Sinn Fein, le terme « nazi » et, plus étrangement, les chrétiens et la christianophobie.
Aux Pays-Bas, les messages publicitaires avaient particulièrement ciblé des utilisateurs n’étant pas intéressés par des mots clés tels que : #Qatargate, Brexit, Marine Le Pen, Alternative für Deutschland, Vox ou Giorgia Meloni.
« L’intention était clairement de ne cibler que les utilisateurs politiquement libéraux ou de gauche, mais pas les utilisateurs conservateurs ou de droite », résume noyb : « ce faisant, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités ».
Quand la Commission européenne s’inspire de Cambridge Analytica
Ce pourquoi noyb avait déposé une plainte auprès du CEPD en novembre 2023. « Depuis Cambridge Analytica, il est clair que les publicités ciblées peuvent influencer la démocratie », explique Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb :
« L’utilisation des préférences politiques pour les publicités est clairement illégale. Néanmoins, de nombreux acteurs politiques s’appuient sur cette pratique et les plateformes en ligne ne prennent presque aucune mesure. Par conséquent, nous saluons la décision du CEPD. »
Le RGPD accorde en effet une protection spéciale aux données dites sensibles, qui incluent les opinions politiques, précise noyb. Dès lors, un tel traitement ne peut être autorisé que dans des conditions très limitées, telles qu’un consentement explicite. Or, ce consentement n’existait pas, et la Commission européenne ne disposait pas non plus d’autre base juridique.
Un blâme, mais pas d’amende
Le CEPD en a conclu que la Commission était pleinement responsable de ce ciblage illégal sur la plateforme. La décision a été rendue en vertu du règlement (UE) 2018/1725, souvent appelé « RGPD UE », qui ne s’applique qu’aux institutions de l’UE, mais qui est très similaire au RGPD, relève noyb.
Il note aussi que le CEPD n’a émis qu’un blâme, à savoir une constatation formelle que le traitement était illégal, via un avertissement formel. Le CEPD a estimé que d’autres mesures, telles qu’une amende, n’étaient pas nécessaires puisque la Commission avait mis un terme à ce micro-ciblage publicitaire politisé.
« De nombreux partis politiques s’engagent dans la même pratique illégale », précise Felix Mikolasch : « nous espérons que la décision du CEPD servira de guide aux autorités nationales qui enquêtent actuellement sur de telles pratiques ».