Etude Candidats à la présidentielle 2022 et protection des données personnelles

Les candidats à l'élection présidentielle 2022 protègent-ils les données personnelles de leurs soutiens et sympathisants. Pas si sur que cela.

L'usage des données personnelles est devenu un enjeu politique, social et juridique important. Mais, dans un contexte où les entreprises éprouvent des grandes difficultés à respecter l'ensemble des réglements en matière d'usage des données personnelles, l'agence de marketing digital, Neodia a souhaité vérifier si les sites des candidats à l'élection présidentielle respectaient les dites réglementations en la matière:

• Les sites des candidats à l'élection respectent-ils bien la réglementation en matière de protection de données personnelles ?
• Respectent-ils les grandes obligations liées au RGPD ?
• Collectent-ils correctement le consentement au tracking de la part des internautes ?
• Stockent-ils des données personnelles sensibles (données politiques) sur des services américains ?

Principal enseignement: aucun candidat ne respecte totalement la réglementation

Les sites de chaque candidat, affichent au moins un point important de non conformité avec les régles du RGPD ou de recueil de consentement au tracking.

On distingue, cependant, trois grands cas types.

Certains candidats ont fait des efforts pour respecter la loi, mais sans être prêt à remettre en question des outils qui sont incompatibles avec le RGPD: on trouve une CMP, une page présentation la politique de protection des données personnelles, un responsable DPO), mais des outils américains qui stockent des données personnelles.

Pour ces candidats (Emmanuel Macron, Eric Zemmour, Yannick Jadot), les points de non conformité sont les mêmes que ceux constatés chez de nombreuses entreprises: usage de Google Analytics (qui stocke, via le clientID, des données personnelles sur des serveurs américains, ce qui a été déclaré non conforme au RGPD par la CNIL en février 2022) et usage de services d'emailing américains pour la newsletter

Un deuxième groupe de candidats (Jean-Luc Mélenchon, Fabien Roussel, Philippe Poutou) a fait le choix de renoncer aux outils américains classiques (Google Analytics, Google Tag Manager) au profil de solutions françaises ou Open Source et de limiter le volume de données personnelles collectées, mais, probablement par méconnaissance technique ou négligence, enfreignent un point important de la réglementation (hébergement de données sur des services américains ou absence pur et simple de page présentant la politique de protection des données personnelles, par exemple).

Enfin, un troisième groupe est constitué de Nathalie Arthaud, qui a fait le choix de ne collecter aucune donnée personnelle autre que les emails.

50% des candidats utilisent Matomo et Axeptio

Les candidats à l'élection président utilisent, dans leur ensemble, davantage les outils d'analyse d'audience français que la moyenne des entreprises: 6 candidats sur 6 utilisent Matomo plutôt que Google Analytics.

Cela va de pair avec le recours à une plateforme de gestion du consentement française (Axeptio, la seule solution française détectée dans l'étude) ou une solution Open Source (Tarte au citron).

Ces choix sont salutaires car tous les candidats qui ont fait le choix de Google Analytics, sont hors la loi, puisqu'ils ont une implémentation de Google Analytics qui capte un clientID, alors que la CNIL dans un avis de février 2022 que cette pratique n'est pas conforme avec le RGPD.

Nathalie Artaud, la championne du respect des données personnelles

Nathalie Artaud qui analyse son trafic avec une solution française (Matomo) et ne tracke aucune données personnelles. Elle n'utilise donc pas de CMP.

D'ailleurs sur la page de politique de protection de données personnelles, le site annonce fièrement "Ce site ne collecte pas de données personnelles, à l’exception des interaction utilisateurs listées ci-dessous : Formulaires de contact. Abonnements aux lettres d'information.". Le site utilise d'ailleurs, une version auto hébergée de Matomo.

Les mauvais élèves: Emmanuel Macron, Jean-Luc Mélenchon, Anne Hidalgo,

Emmanuel Macron décroche le prix de la non conformité car le site du candidat-président est celui qui collecte le plus de données personnelles, qu'il n'utilise que des services américains (Google Analytics, Google Optimize, Google Ads, Facebook Pixel, Facebook Video, Mailchimp...), dont certains sont déclenchés sans consentement. L'arrêt Schrems 2 de 2020, constate l'incompatibilité des dispositions du RGPD et de la législation américaine, au motif que cette dernière prévoit que des agences et organismes publics américains puissent demander aux services qui hébergent les données (Google Analytics ou une plateforme d'emailing, par exemple) d'accéder aux données personnelles d'un utilisateur même s'il est européen. La CNIL a confirmé que cela avait pour conséquence que l'usage de Google Analytics, avec ses paramétrages par défaut, n'est plus conforme au RGPD. Or, les sites des candidats qui utilisent Google Analytics ont tous des paramétrages par défaut et transmettent, donc, des données personnelles (sensibles qui plus est, car de nature politique) à des serveurs américains.

Partagent ce prix de la non conformité, Jean-Luc Mélenchon et Anne Hildago dont les sites de campagne n'affichent pas de page sur la politique de gestion des données personnelles et qui ne permettent donc pas à leurs utilisateurs de faire valoir leurs droits.

Le prix du paradoxe: Eric Zemmour

Zemmour2022.fr n'utilise aucune solution française.

Méthodologie

Date de réalisation de l'étude: 7 mars 2022.

Données analysées

RGPD

Un contrôle superficiel de certains signes de conformité "visibles" sur le site a été réalisé

• Existence d'une page exposant la Politique de protection des données personnelles sur le site
• Présence d'un délégué à la protection des données (DPO) sur cette page
• Stockage des données sur un serveur américain (le stockage de données personnelles sur un serveur américain ne permet d'offrir les garanties de protection des données prévues par le RGPD, attendu que le Cloud Act états-unien contraint les fournisseurs de ces serveurs à communiquer les données personnelles des candidats à des agences et administrations américaines, dans certaines conditions, ce qui est incompatible avec le RGPD).

La mention "conforme" de cette colonne indique uniquement que sur ces points, aucune anomalie n'a été détectée, à partir d'une observation du site.

Recueil du consentement

• Existence d'une CMP (Plateforme de Gestion du Consentement, le pop-up qui demande à l'internaute s'il accepte d'être tracké)
• Paramétrage correct de la CMP
• Blocage effectif des trackers collectant des données personnelles par cette CMP en cas de refus
• Des trackers/cookies collectant des données personnelles sont-ils chargés même si l'internaute ne donne pas son consentement/autorisation ?
• Le cas de Google Analytics a été étudié de façon spécifique car la CNIL a indiqué, en février 2022, que cet outil n'était pas conforme au RGPD, au motif qu'il transmettait des données considérées comme personnelles sur des serveurs états-uniens (notamment, mais uniquement, le clientID, un identifiant généré automatiquement pour permettre à Google Analyitcs de suivre l'utilisateur au cours de ses différentes visites d'un site).

La mention "conforme" indique uniquement que sur ces points de contrôle, aucune anomalie n'a été détectée à partir d'une observation du site.

Cas de la CMP Tarte au citron.

Tarte au citron est un service de gestion du consentement (CMP) open source, performant, mais qui n'offre pas toutes les fonctions techniques nécessaires à la gestion des consentements. Un certain nombre de sites utilisant cette solution ne développent pas les fonctionnalités manquantes et ne sont, donc, pas en conformité à l'insu de leur plein gré. Pour cette raison, un avertissement est signalé pour les sites utilisant cette solution.

Résultats de l'étude