Laurent Wauquiez, les SMS adressés aux lycéens et le RGPD

Wauquiez sur glace 56
Accès libre
image dediée
Crédits : Fondapol (CC BY-SA 2.0)
Loi
Marc Rees

Afin d’adresser un chaleureux message de rentrée scolaire, Laurent Wauquiez a exploité les numéros de téléphone des jeunes inscrits sur le Pass'Région. Ce faisant, au-delà de la politesse, la démarche pose de nombreuses questions au regard du RGPD. Analyse. 

« Je vous souhaite à tous une excellente rentrée, et que cette année vous réserve à tous de belles réussites ! » Passée son apparente sympathie, ce SMS signé Laurent Wauquiez va-t-il entraîner quelques heures de colle au président de la région Auvergne-Rhônes-Alpes ?

C’est notamment Jean-François Debat, maire de Bourg-en-Bresse et secrétaire national PS à la transition écologique, qui a allumé la mèche lorsqu’il s’est ouvertement étonné sur Twitter que sa fille lycéenne ait reçu un tel message : « Comment Laurent Wauquiez peut-il avoir LÉGALEMENT accès au portable de tous les lycéens sauf via le PassRegion ? Ce fichier n’est pas destiné à cela ».

Même réaction au sein du Rassemblement Citoyens Écologistes Solidaires, qui réunit des élus de la région : « Après avoir récupéré les fichiers des chasseurs et des agriculteurs et leur avoir adressé bon nombre de courriers pendant la campagne électorale de 2015, Laurent Wauquiez cible les lycéen-nes. Peut-être est-ce la CNIL qui va avoir une rentrée chargée ? » 

sms laurent wauquiez
Crédits : Jean-François Debat

Dans Libération, le cabinet réduit l’affaire à « un non-sujet ». Pour lui, « ce serait un message politique, récurrent... Là, c’est un message totalement apolitique, républicain et bon enfant. Ça arrive dans d’autres collectivités de souhaiter à ses jeunes une bonne rentrée. À l’époque, les maires offraient des dictionnaires aux écoliers, le média a évolué, c’est par texto, mais il n’y a aucune ambiguïté juridique sur l’utilisation des numéros des lycéens. » 

Un « non-sujet » que d’exploiter les données de mineurs, bientôt majeurs et donc électeurs, pour faire sa comm’ de rentrée ? Revenons un instant aux fondamentaux.

268 785 Pass'Région

D’abord, qu’est-ce que le Pass'Région ? Il s'agit d'un dispositif offrant aux jeunes une ribambelle d’avantages : places de cinéma à un euro, musique, tarifs préférentiels sur les licences sportives ou le permis de conduire, etc. Cette carte a également pour vocation « de devenir le support unique d’identification au sein [des] établissement[s] : contrôle d’accès, restauration scolaire », explique le site officiel .

Une sorte de super carte jeune au profit de ceux qui fréquentent un lycée, un centre de formation d’apprentis, une maison familiale rurale ou une école de production, tous installés en région Auvergne-Rhône-Alpes.

Les 268 785 pass déjà commandés ont été obtenus en remplissant un formulaire en ligne. Avant cette phase, la région Auvergne-Rhône-Alpes assure garantir « la confidentialité et la sécurité des données personnelles » saisies à cette occasion. Mieux : « elle s'engage par ailleurs à respecter les dispositions de la loi sur l'informatique et les libertés ». 

Trois cases à cocher, des finalités

Ce formulaire commence par une étape très simple : trois cases sont par défaut décochées. La première exige la lecture et l'acceptation d’une maigre charte d’engagement, les deux autres, optionnelles, autorisent la région à envoyer « les bons plans du Pass'Région (places gratuites, tarifs préférentiels,...) » et des « informations liées aux dispositifs régionaux (événements, actualités, questionnaires...) ». Par l’usage de ces trois points, la liste des finalités des trois traitements n’est pas limitative.

Wauquiez Pass Region
Crédits : Région Auvergne Rhone Alpes

Une fois la première étape franchie, vient la page de commande proprement dite. Diverses données personnelles sont récoltées : les informations nominatives, les coordonnées, l’adresse email, le sexe, mais aussi le numéro de portable.

« Il est fortement recommandé de renseigner le n° de téléphone mobile du jeune bénéficiaire ainsi que son email afin de recevoir les offres et bons plans liés au Pass'Région », insiste la région. Pour le numéro, une donnée personnelle, la finalité du recueil se limite donc aux « offres » et « bons plans », sans concerner les informations liées aux dispositifs régionaux, et donc les faits d’actualités.

Wauquiez Pass Region
Crédits : Région Auvergne Rhone Alpes

Auprès de Lyon Capitale, le cabinet de Laurent Wauquiez a donc eu beau prévenir que « le fichier de numéros a été obtenu via le Pass'Région » ou que lors de l'activation en ligne, « les lycéens pouvaient cocher une case pour savoir si oui ou non ils voulaient recevoir des informations de la région et le contenu du Pass ». Ce n’est pas ce que la même région indique dans le formulaire.

Les mineurs, un public à risque selon le RGPD

Au regard du règlement général sur la protection des données personnelles, des problèmes se posent, en particulier parce qu’il ne s’agit pas de n’importe quel public.

Le considérant 38 du RGPD prévient en effet que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement ».

En ce sens, le considérant 58 prévient que toute information et communication « devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre ».

Et pour cause, en France, les mineurs de quinze ans ou plus peuvent consentir seuls à ce que leurs données fassent l’objet d’un tel traitement. En partant du principe que la culture du risque n’est pas aussi aiguisée que chez l’adulte, cette obligation d’information spécifique veut combler ce déséquilibre.

Ici, l’information transmise aux personnes concernées par ces traitements n’évoque pas l’exploitation des numéros aux fins d’aiguiser la communication de Laurent Wauquiez par SMS interposés. Il y a donc clairement une défaillance. Et ces garanties ne sont sûrement pas limitées aux messages apolitiques... 

La question du consentement et de l'intérêt légitime

L’information spécifique n’est pas la seule obligation. Le consentement de la personne concernée doit également être recueilli pour autoriser le traitement dans des finalités spécifiques. Comme expliqué préalablement, un problème de finalité se pose ici.

Certes, l’intéressé pourra plaider une autre justification à ce traitement, celle de l’intérêt légitime, laquelle vient en concurrence pour autoriser un tel traitement.

« L'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée » retient le RGPD dans ses lignes introductrices. 

Les personnes qui ont coché les cases et renseigné leur numéro pour la finalité indiquée s’attendaient-elles à ce que les services de Laurent Wauquiez exploitent la base de données ? Pas si sûr. 

Une dernière justficiation peut être avancée : celle d’un traitement « nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Cependant, on voit mal en quoi un tel traitement répond au principe de nécessité…

La question de la sécurité 

Enfin, un autre souci est intimement lié à cette question : celui de la sécurité.

Comment se fait-il qu’un personnage politique de premier plan puisse avoir accès aux informations personnelles d’un public à risque, les mineurs ? Il ne s’agit que d’un SMS, certes, mais qu’en sera-t-il aux portes des futures élections locales ? Qu’est-ce qui garantit la parfaite étanchéité d’un système qui semble fuiter dans des mains non autorisées ? 

La réaction de la Cnil

L’article 57 demande aux autorités de contrôle de porter une « attention particulière » aux activités destinées spécifiquement à ce public. À l’AFP, la Cnil a indiqué n’avoir reçu aucune plainte particulière. Néanmoins, elle compte « se rapprocher de la région Auvergne-Rhône-Alpes pour demander des précisions », non sans ajouter que « de manière générale les données ne doivent pas être réutilisées pour des finalités non prévues ».

Avec cette précision non-neutre, une nouvelle fois l’autorité aura l’opportunité de montrer que le RGPD n’est pas un dispositif théorique, surtout au regard de la protection des mineurs. Réponse dans quelques mois. 


chargement
Chargement des commentaires...