Le Contrôleur européen de la protection des données (CEPD, ou European Data Protection Supervisor, EDPS) estime que la Commission européenne a enfreint le RGPD en « traitant illégalement » des données à caractère personnel « sans base juridique valable ».

La Commission avait, en effet, identifié les Pays-Bas comme un État membre qu'elle souhaitait influencer politiquement, rappelle l'ONG noyb (pour « none of your business »). Elle cherchait alors à influencer l'opinion en vue de l'adoption du très controversé règlement européen visant à « combattre les abus sexuels concernant les enfants » en scannant les contenus des messageries, y compris chiffrées, ce pourquoi il a été surnommé #ChatControl par ses opposants.

• Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

Une campagne excluant les mots-clefs conservateurs et d'extrême-droite

La campagne, qui aurait ciblé les « Twittos » d'au moins sept pays membres, avait cumulé plus de 4 millions de vues. Elle avait été paramétrée pour ne pas s'afficher sur les profils de personnes intéressées par les responsables politiques européens d'extrême-droite et eurosceptiques, Poutine, le Sinn Fein, le terme « nazi » et, plus étrangement, les chrétiens et la christianophobie.

• #ChatControl : la Commissaire européenne visée par plusieurs plaintes et enquêtes

Aux Pays-Bas, les messages publicitaires avaient particulièrement ciblé des utilisateurs n'étant pas intéressés par des mots clés tels que : #Qatargate, Brexit, Marine Le Pen, Alternative für Deutschland, Vox ou Giorgia Meloni.

« L'intention était clairement de ne cibler que les utilisateurs politiquement libéraux ou de gauche, mais pas les utilisateurs conservateurs ou de droite », résume noyb : « ce faisant, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l'UE pour les cibler avec des publicités ».

• #ChatControl : 48 eurodéputés appellent au rejet du projet de surveillance des messageries

Quand la Commission européenne s'inspire de Cambridge Analytica

Ce pourquoi noyb avait déposé une plainte auprès du CEPD en novembre 2023. « Depuis Cambridge Analytica, il est clair que les publicités ciblées peuvent influencer la démocratie », explique Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb :

« L'utilisation des préférences politiques pour les publicités est clairement illégale. Néanmoins, de nombreux acteurs politiques s'appuient sur cette pratique et les plateformes en ligne ne prennent presque aucune mesure. Par conséquent, nous saluons la décision du CEPD. »

Le RGPD accorde en effet une protection spéciale aux données dites sensibles, qui incluent les opinions politiques, précise noyb. Dès lors, un tel traitement ne peut être autorisé que dans des conditions très limitées, telles qu'un consentement explicite. Or, ce consentement n'existait pas, et la Commission européenne ne disposait pas non plus d'autre base juridique.

Un blâme, mais pas d'amende

Le CEPD en a conclu que la Commission était pleinement responsable de ce ciblage illégal sur la plateforme. La décision a été rendue en vertu du règlement (UE) 2018/1725, souvent appelé « RGPD UE », qui ne s'applique qu'aux institutions de l'UE, mais qui est très similaire au RGPD, relève noyb.

Il note aussi que le CEPD n'a émis qu'un blâme, à savoir une constatation formelle que le traitement était illégal, via un avertissement formel. Le CEPD a estimé que d'autres mesures, telles qu'une amende, n'étaient pas nécessaires puisque la Commission avait mis un terme à ce micro-ciblage publicitaire politisé.

« De nombreux partis politiques s'engagent dans la même pratique illégale », précise Felix Mikolasch : « nous espérons que la décision du CEPD servira de guide aux autorités nationales qui enquêtent actuellement sur de telles pratiques ».