noyb victoire contre la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles "sensibles" sur leurs opinions politiques.
- Décision du CEPD(téléchargé ultérieurement)
- Plainte déposée auprès du CEPD en 2023
- Plaintes connexes du noyb en Allemagne ("Target Leaks")
La Commission européenne a tenté d'influencer les opinions politiques aux Pays-Bas. Dans le cadre de la lutte contentieuse autour du très critiquérèglement sur le contrôle des chats(une proposition de loi européenne qui pourrait compromettre toutes les communications en ligne cryptées en permettant aux autorités de lire les chats en ligne), la Commission européenne a identifié les Pays-Bas comme un État membre qu'elle souhaitait influencer politiquement. Pour tenter de "renverser" les opinions aux Pays-Bas, la Commission s'est rendue sur X/Twitter et a publié des messages faisant indirectement la promotion de ce règlement.
Ciblage politique sur X/Twitter. La Commission européenne ne s'est pas contentée de publier ces messages politiques, elle a également ciblé des utilisateurs qui n'étaient pas intéressés par des mots-clés tels que : #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Christian-phobia ou Giorgia Meloni. L'intention était clairement de ne cibler que les utilisateurs politiquement libéraux ou de gauche, mais pas les utilisateurs conservateurs ou de droite. Les annonceurs utilisent souvent ce que l'on appelle des "données proxy" (c'est-à-dire des données étroitement associées à la pensée politique) pour cibler les opinions politiques. Ce faisant, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l'UE pour les cibler avec des publicités.
Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb : "Depuis Cambridge Analytica, il est clair que les publicités ciblées peuvent influencer la démocratie. L'utilisation des préférences politiques pour les publicités est clairement illégale. Néanmoins, de nombreux acteurs politiques s'appuient sur cette pratique et les plateformes en ligne ne prennent presque aucune mesure. Par conséquent, nous saluons la décision du CEPD."
Pas de base juridique. Outre les données personnelles "normales", la loi accorde une protection spéciale aux données dites sensibles, qui incluent les opinions politiques. Les catégories choisies par la Commission ne sont pas toutes directement "conservatrices" ou "de droite", mais elles ciblent clairement les opinions politiques des citoyens. L'exclusion du terme "Brexit" dans un tel contexte n'a d'autre but que d'écarter les personnes sympathisantes du Brexit. Un tel traitement n'est autorisé que dans des conditions très limitées, telles qu'un consentement explicite. Ce consentement n'existait pas. La Commission européenne n'avait pas non plus d'autre base juridique.
La Commission européenne en contrôle. Le CEPD a précisé que la Commission était un responsable du traitement et qu'elle était pleinement responsable du ciblage illégal sur la plateforme. Noyb a également déposé une plainte contre X/Twitter auprès de l'autorité néerlandaise de protection des données en 2023.
Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb : "Nous avons beaucoup plus de cas de microciblage politique dans les États membres. De nombreux partis politiques s'engagent dans la même pratique illégale. Nous espérons que la décision du CEPD servira de guide aux autorités nationales qui enquêtent actuellement sur de telles pratiques."
Réprimande. Le CEPD n'a émis qu'un blâme - c'est-à-dire une constatation formelle que le traitement était illégal et un avertissement formel. Le CEPD a estimé que d'autres mesures, telles qu'une amende, n'étaient pas nécessaires puisque la Commission a mis fin à la pratique. La décision a été rendue en vertu du règlement (UE) 2018/1725, souvent appelé "GDPR de l'UE", qui ne s'applique qu'aux institutions de l'UE, mais qui est très similaire au GDPR "normal" qui s'applique à tout le monde.
- Decision by the EDPS
- Complaint filed with the EDPS in 2023
- Related noyb complaints in Germany ("Target Leaks")
EU Commission tried to influence political views in the Netherlands. In the contentious fight over the heavily criticized chat control regulation (a proposed EU law that could undermine all encrypted online communication to allow authorities to read online chats), the European Commission has identified the Netherlands as a Member State that they wanted to influence politically. In an attempt to "flip" the views in the Netherlands, the Commission went to X/Twitter and made postings indirectly promoting this Regulation.
Political Targeting on X/Twitter. The European Commission did however not only post these political messages, but also targeted users who weren't interested in keywords like: #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Christian-phobia or Giorgia Meloni. The clear intention was to only target politically liberal or left users, but not conservative or right-wing users. Advertisers often use so-called "proxy data" (so data closely associated with political thinking) to target politician views. By doing so the European Commission has clearly triggered the processing of personal data of EU citizens to target them with ads.
Felix Mikolasch, Data Protection Lawyer at noyb: "Since Cambridge Analytica it is clear that targeted ads can influence democracy. Using political preferences for ads is clearly illegal. Nevertheless many political players rely on it and online platforms take almost no action. Therefore, we welcome the decision of the EDPS."
No legal basis. Other than "normal" personal data, the law gives special protection to so-called sensitive data, which includes political opinions. The categories chosen by the Commission are not all directly "conservative" or "right-wing" but still clearly targeted political views of citizens. The only purpose to exclude "brexit" in such a context is to remove people sympathizing with Brexit. Such processing is only allowed under very limited conditions - such as explicit consent. Such consent did not exist. The European Commission also lacked any other legal basis.
EU Commission in control. The EDPS clarified that the Commission was a controller of the processing operation and is fully liable for unlawful targeting on the platform. However, the online platform may also be held responsible for the same case. noyb has also filed a complaint against X/Twitter with the Dutch DPA in 2023.
Felix Mikolasch, Data Protection Lawyer at noyb: "We have many more cases on political microtargeting in the Member States. Many political parties engage in the same illegal practice. We hope the EDPS decision will be a guiding light for national authorities that currently investigate such practices."
Reprimand. The EDPS only issued a reprimand - so a formal finding that the processing was illegal and a formal warning. The EDPS considered that other measures, such as a fine, were not necessary as the Commission stopped the practise. The decision was issued under Regulation (EU) 2018/1725, often called the "EU GDPR" that only applies to the EU institutions, but is very similar to the "normal" GDPR that applies to everyone else.
