Réutiliser les listes électorales

Bonjour,
Je voulais ouvrir un sujet sur les listes électorales. J’ai vu qu’un sujet en parlait même s’il portait sur les listes d’émargements à la base : Conservation et exploitation des données liées aux listes d'émargement. Cependant, je voulais savoir si des personnes avaient créé des réutilisations avec les listes électorales (application web, recherches, statistiques…).

Aussi, j’aimerais résumer mes recherches sur le sujet, nottament au niveau droit.

  • L’article L37 du code électoral indique que « Tout électeur peut prendre communication et copie de la liste électorale et des tableaux rectificatifs à la mairie, ou à la préfecture pour l’ensemble des communes du département à la condition de s’engager à ne pas en faire un usage purement commercial. ». Cependant, il apparait qu’on ne peut pas faire n’importe quoi avec ces données (et heureusement).
  • La CNIL a donné ses recommandations en 2013.
  • La CADA a aussi rendu des avis précisant certains trucs (avis 20052701, 20171741…).

J’ai personnellement entrepris de faire ces démarches pour avoir toutes les listes électorales (cela étant une initiative citoyenne qui concerne le référendum d’initiative partagée). J’ai utilisé la liste des PRADA (disponible ici : https://twitter.com/samgoeta/status/1169656855569805315). J’ai créé une petite application pour facilement envoyer des courriels : http://dav.li/prada/. Et c’est parti !

Mon retour d’expérience est le suivant. Déjà la liste des PRADA est incomplète et certaines adresses renvoient d’emblée un message automatique indiquant que l’adresse n’est plus utilisée. Ensuite, les préfectures ont des exigences qui diffèrent un peu. Certaines demande uniquement la copie de la carte électorale, d’autres ajoute la CNI, d’autres demande une lettre manuscrite attestant que le requêteur ne va pas faire d’utilisation commerciale, certaines envoient un formulaire à remplir et enfin certaines demandent quelle utilisation on va en faire pour vérifier que c’est bien non commercial.

Ma justification était celle-ci :
Dans le cadre d’une initiative citoyenne non commerciale, je souhaite mettre en place un outil informatique permettant aux citoyens de connaitre les erreurs orthographiques de leur inscription sur les listes électorales pour leur permettre d’apporter leur soutien à une proposition de loi référendaire dans le cadre d’une procédure de référendum d’initiative partagée sans que le formulaire disponible sur le site https://www.referendum.interieur.gouv.fr/ ne leur refuse l’enregistrement de leur soutien dès la première étape.

J’ai eu des réponses et des données dans la journée :clap: et d’autres le lendemain ou les jours suivants. Après plus d’une semaine, j’ai eu les listes de 14 départements. Voici la liste : 13, 14, 33, 42, 57, 63, 68, 76, 77, 78, 85, 88, 95, 973 (pour l’instant).

Ce sont des fichiers CSV, un pour chaque commune, formatés ainsi :

"libellé du scrutin";"date du premier tour";"date du second tour";"code du département";"libellé de l'ugle";"libellé du type de liste";"nom de naissance";"nom d'usage";"prénoms";"sexe";"date de naissance";"commune de naissance";"code du département de naissance";"pays de naissance";"numéro de voie";"libellé de voie";"complément 1";"complément 2";"lieu-dit";"code postal";"commune";"pays";"code du bureau de vote";"libellé du bureau de vote";"numéro d'ordre dans le bureau de vote";"circonscription du bureau de vote";"canton du bureau de vote"

Comme vous le voyez, on dispose de beaucoup d’informations et notamment des adresses postales… :no_mouth: Niveau vie privée, on a vu mieux.

Comme je l’ai dit au début, je recherche des personnes ayant travaillé sur le sujet et ayant déjà utilisé les listes électorales. Pour l’instant, je n’ai rien fait de plus que les demandes et je suis un peu dubitatif de tout ça. A mon sens, il me manque des précisions sur l’aspect réutilisation.

  • Est-ce qu’on peut réutiliser les données ?
  • Quelles précautions doit-on prendre ?
  • Avons-nous le droit de transmettre des données ? Lesquels ?
  • Avons-nous le droit de conserver les données ? Pendant combien de temps ?

Merci d’avance ! :innocent:

Est-ce qu’on peut réutiliser les données ?

C’est un secret de polichinelle que ces données sont régulièrement exploitées, et pas forcément avec une éthique irréprochable à fortiori à l’ère du RGPD.

Certaines entreprises ont même bâti un modèle économique dessus : Liegey Muller Pons, Nation Builder pour ne citer que les deux plus connues. Bref, si eux ne sont pas inquiétés…

Pour un exemple sans motivation économique et plus proche de ton initiative : https://au43.fr/2018/04/10/comment-reussir-une-votation-nationale-en-quatre-etapes/

1 J'aime

Comme le code électoral a été réorganisé, l’article qui nous intéresse est désormais le L37.

« Tout électeur peut prendre communication et obtenir copie de la liste électorale de la commune à la mairie ou des listes électorales des communes du département à la préfecture, à la condition de s’engager à ne pas en faire un usage commercial. »

Donc… tant qu’on ne fait pas d’usage commercial, qu’on s’assure que ceux qui y ont accès ne le font pas non plus, je pense qu’on peut réutiliser les données comme bon nous semble.

Le code électoral étant d’une portée plus précise que le RGPD, il est d’une certaine façon « plus fort » sur la partie consentement. Comme nul n’est censé ignorer la loi, en s’inscrivant sur les listes électorales, on accepte de fait le code électoral… et donc cet article L37 et ses conséquences.

Côté RGPD… à partir du moment où l’on traite des données personnelles, je pense que le RGPD s’applique quand même pour tout le reste, donc bien établir la liste des traitements, leur finalité, etc.
Pour éviter tout problème, en tout premier traitement, j’éliminerai toutes les infos inutiles à la finalité (ici: l’aide à la mobilisation pour le référendum).
Il faut donc bien réfléchir à comment tirer parti de ces données, mais en utilisant/conservant le moins possible d’infos personnelles, en hachant ce qui peut l’être (par exemple la date de naissance avec le département de naissance).

Je pense que, du point de vue du citoyen, s’inscrire sur les listes électorales a effectivement valeur de consentement, mais uniquement en ce qui concerne l’usage de ses données à caractère personnel par l’Etat, dans le contexte de l’organisation électorale, i.e. faire en sorte que je puisse voter et que l’élection se déroule bien.

En revanche, je pense que considérer que ce consentement vaut pour un usage par des tiers, et donc que ceux-ci puissent effectuer un traitement de mes données (e.g. reconstituer une base de données), est abusif voire tout simplement contraire au RGPD.

Le problème n’est pas la constitution d’une base de données, mais la finalité de celle-ci, non ?

Une finalité d’ordre politique telle que « mobiliser les citoyens pour une demande de référendum » ne me semble pas contraire au code électoral.

En effet, dans un tel cas on pourrait invoquer la notion d’ « intérêt légitime » dans le RGPD…

Arguments intéressants.
Dans l’hypothèse où je créerais vraiment cet outil, je ferrais un traitement déjà pour simplifier les bases et ne garder que nom, prénom, commune et date/lieu de naissance en hashé, c’est une bonne idée. L’idée ensuite serait qu’avant d’utiliser l’outil d’aide à la signature d’un RIP, on ait une case à cocher « Je certifie sur l’honneur utiliser cet outil pour enregistrer ma signature en mon nom propre ou avoir le mandat du signataire en devenir. ». Ensuite, le formulaire commencerait par la commune d’inscription, et la date/lieu de naissance permet, je pense, de vérifier l’identité de la personne puisque ce sont des infos personnelles précises.
A noter que le formulaire https://www.service-public.fr/particuliers/vosdroits/services-en-ligne-et-formulaires/ISE ne demande même pas le lieu de naissance, ni de case « certifie sur l’honneur que je suis légitime »…

@johan pour autant que je sache, ni LMP ni Nation Builder ne se procurent eux-mêmes les listes électorales. Ce sont leurs clients qui les leur fournissent, ces entreprises ont ainsi à mon sens le rôle de sous-traitants (ce qui ne les exonère pas du respect du RGPD) et non pas de responsables de traitement.

De mon point de vue l’article L37 ne permet pas de transmettre les données à un tiers (qui ne serait pas un sous-traitant au sens du RGPD). La question est en revanche plus complexe, je pense, s’agissant de données dérivées (agrégées, par exemple) qui ne permettraient pas la réidentification des individus.

Pour la conservation, je ne crois pas qu’il y a ait de limite fixée par la loi, mais comme l’indique @cquest les principes généraux du RGPD s’appliquent sans doute.

ces entreprises ont ainsi à mon sens le rôle de sous-traitants (ce qui ne les exonère pas du respect du RGPD) et non pas de responsables de traitement.

Oui tout à fait, c’est le même principe qui exonère Google (data processor) de demander le consentement pour Google Analytics, puisqu’en théorie il revient à l’éditeur du site (data controller) de le faire.

N’empêche que ces services poussent au crime et encouragent la collecte de données et le traitement d’une manière forcément contraire au RGPD. Si ces services imposaient à leurs clients le respect du RGPD, c’est tout simplement une bonne partie de leur marché qui disparaîtrait.

1 J'aime