L’Information Commissionner’s Office (ICO), l’homologue britannique de la CNIL, publie aujourd’hui un rapport parlementaire, Investigation into the use of data analytics in political campaigns, qui concerne aussi les Français, car la protection des données personnelles est un problème global qui nécessite des solutions globales.

L’ICO a lancé en mai une enquête formelle sur l’utilisation de l’analyse des données à des fins électorales, pour donner suite aux articles dans les médias affirmant qu’une entreprise, Cambridge Analytica, travaillait pour la campagne Leave. EU (quitter l’UE) lors du référendum.

Elle est devenue l’enquête la plus exhaustive menée à ce jour par toute autorité de protection des données : 40 enquêteurs, 172 organisations identifiées, 700 téraoctets de données saisies – l’équivalent de 52 milliards de pages de texte.

L’autorité de régulation a découvert un mépris troublant pour la vie privée des électeurs, et de nombreux objets de litiges, négligences et contraventions à la loi. Elle conclut qu’un code de conduite des plateformes sociales ne saurait en aucun cas se substituer à une législation et des régulations.

Elle a infligé des amendes maximales à des entreprises comme Facebook et le courtier de données Emma’s Diary, malheureusement insuffisamment élevées car basées sur le Data Protection Act de 1998, et non sur le Règlement Général sur la Protection des Données de l’Union Européenne, applicable depuis mai 2018, et beaucoup plus sévère.

Elle a lancé une procédure au pénal contre SCL Elections Ltd, la maison mère de Cambridge Analytica, et référé d’autres objets de litiges aux autorités ou aux agences du maintien de l’ordre compétentes.

Elle suggère la création d’une déontologie pour l’utilisation des données personnelles dans le cadre des élections et des votes, qui aurait force de loi.

Elle appelle le gouvernement à combler les manquements des régulations et des lois électorales.

L’ICO a envoyé des lettres à 11 partis politiques, avec un avertissement formel sur leurs pratiques, notamment l’acquisition de listes marketing et d’information sur le style de vie à des courtiers de données sans audit préalable suffisant, l’absence de traitement équitable de l’information, l’utilisation de données d’entreprises tierces d’analyse de données sans avoir suffisamment vérifié qu’elles ont obtenu un consentement en bonne et due forme des personnes dont on utilise les données, la fourniture de liste de membres aux réseaux sociaux sans traitement approprié des informations, ainsi que la combinaison de listes de membres avec des données des réseaux sociaux sans évaluation adéquate de la vie privée.

L’enquête a mené l’ICO au-delà des élections et des votes, et elle a découvert de nombreux motifs d’inquiétude, comme la façon dont les réseaux sociaux ciblent, contrôlent, et montrent des publicités à leurs utilisateurs.

Elle les a référée à l’autorité de protection des données en charge de Facebook pour l’Union européenne : l’Irish Data Protection Commission, qui malheureusement, comme toutes les autorités irlandaises, a tendance à prendre parti pour les multinationales qui font sa richesse.

L’ICO a également lancé une enquête sur des sociétés de notation de crédit comme Experian, et envoyé un avis de contrôle à des négociants de données comme Acxiom.

Le travail de l’ICO fait date, il est à l’origine de recommandations d’un comité parlementaire canadien, de la prise en considération par les États-Unis de la nécessité d’introduire sa première loi exhaustive sur la protection des données, et il a soutenu les initiatives européennes de lutte contre les interférences électorales.

Dans ces conditions, on espère que les négociateurs européens s’assureront que, même après le Brexit, la coopération avec l’ICO se poursuivra.