Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Transmission fichier adhérents LR => signalement CNIL ?

glucas

Article dans le Canard enchaîné du jour :

Ciotti dépouille LR

ERIC CIOTTI n’a pas quitté les mains vides la présidence de LR. Le patron démissionnaire dispose en effet de l’intégralité du fichier des adhérents de son ancienne formation, soit au moins 250 000 noms. Et c’est Cécile Richez, la directrice générale du parti, toujours en poste, qui lui a transmis ledit fichier.

« Le Canard » a mis le bec sur ce courriel, envoyé le 11 juin à 19h21 à Quentin Kermen, alors chef de cabinet d’Eric Ciotti. La pièce jointe est un fichier au format Excel intitulé « Adhérents et non renouvelants », avec la date « 2024-05-03 ». Grâce à cette manne, Ciotti peut donc à loisir tenter de débaucher ses ex-compagnons.

À commencer par son ancienne DG ?

Plusieurs points m'interpellent :

On est plus proche d'une fuite de fichier que d'une cession régulière d'un fichier ;
Une cession régulière porte uniquement sur des PC actives. Or, là, le fichier contient aussi les « non renouvellants ». Le Canard évoque 250 k adhérents alors que la presse fait état de 48,5 k adhérents en 2022 (https://www.capital.fr/economie-politique/les-republicains-le-nombre-dadherents-en-chute-libre-1442257), 72 k à jour de cotis en 2023 (https://www.lopinion.fr/politique/au-sein-de-lr-la-silencieuse-desertion-des-cadres) ;
Tout le fichier a été communiqué, sans expurgation des personnes qui auraient pu s'opposer ou ne pas consentir à la transmission de leur fiche pour se faire démarcher ;
Je doute que Ciotti procédera à l'information des PC ni ne qualifiera les DCP (opposition / consentement).

Conclusion : je ferai bien un signalement à la CNIL (pas une récla, je ne suis pas une PC). Un avis ?

aeris

glucas Plutôt aligné mais avec un bémol quand même.

Ce n’est pas la transmission en elle-même qui serait illicite, puisque Ciotti était au moment de la prise de possession du listing toujours membre de LR et en capacité juridique d’en prendre possession. À l’extrême limite on peut s’interroger sur le fait qu’on aurait réellement du lui transmettre le fichier (intérêt d’en connaître, etc), mais guère plus.

C’est essentiellement l’usage qui va en être fait derrière qui constituerait une violation du RGPD, Ciotti étant supposé détruire ce fichier, à tout le moins de ne plus pouvoir s’en servir, au moment-même où il n’avait plus qualité à agir avec ces données.

glucas

aeris Hum… Ça ressemble quand même à un salarié lambda qui se barre avec le fichier clients… Il a chopé le fichier pour un mauvais usage (il en avait l'intention : se barrer avec), non ? Pas sûr que la qualité de président du mouvement l'emporte sur l'intention manifeste ?

aeris

glucas Au moment où il a pris le fichier, il était légitimement en capacité de l’obtenir. Peut-être que les personnes qui le lui ont filé auraient du questionner l’usage oui. Mais je pense que c’est un point assez litigieux en vrai. Dans tous les cas c’est surtout l’usage derrière qui en sera fait qui conditionnera l’irrégularité.
Tant que Ciotti n’utilise pas ce fichier, on n’a pas de preuve de l’illicéité, et il peut très bien avoir détruit le fichier comme le lui impose la loi.

glucas

aeris

Tant que Ciotti n’utilise pas ce fichier, on n’a pas de preuve de l’illicéité, et il peut très bien avoir détruit le fichier comme le lui impose la loi.

Ce point m'avait échappé. C'est vrai que, factuellement, on ne sait même pas s'il s'est barré avec. Il a pu l'obtenir le 11 juin, jour où il a annoncé son alliance avec le LR pour les législatives anticipées, et le détruire. Peut-être même qu'il l'a demandé ce 11 juin pour un tout autre usage légitime et que c'est le Canard qui lui prête une mauvaise intention.

aeris

glucas Ah ben clairement, un gus te demande un fichier et se barre de l’asso le jour-même, tu allumes tous les red flags 🤣
Après on ne sait pas ce qu’a fait LR derrière. Ils ont très bien pu dire à Ciotti « euh, on est d’accord, tu détruis le fichier hein ! » ou autre. De l’extérieur tant que pas de réutilisation, difficile de se prononcer.

glucas

Dans son édition du jour, le Canard a publié un très court article pour dire que les LR s'en fichent de la transmission du fichier, pour rapporter que « personne n'a haussé le ton » et pour ironiser sur une citation rapportée par le Parisien « tant qu'il ne l'utilise pas maintenant ».

J'ai donc envoyé un email au journal :

Bonjour le CoinCoin,

Je réagis à l'article « Le fichier dont ils se fichent » publié en Une du Canard d'aujourd'hui (16/10).

Étant membre d'une association qui œuvre dans la défense de la vie privée et l'application stricte du RGPD, j'avais mis au débat votre article « Ciotti dépouille LR » de la semaine passée dès sa parution dans l'objectif d'un signalement à la CNIL.

Il s'avère que les informations du CoinCoin sont insuffisantes pour agir.

En effet, le 11 juin 2024, Ciotti, bien qu'il venait d'annoncer une alliance avec le RN, était toujours président de LR, et, en tant que tel, il pouvait légalement se faire communiquer le fichier des adhérents. Nous entrions également dans une campagne électorale pour laquelle la présidence d'un parti politique peut légitimement avoir besoin de compter ses adhérents, de les contacter, etc. Tout au plus on peut faire grief à la DG de ne pas avoir questionné l'usage (la finalité) qu'en ferait Ciotti, mais c'est déjà limite. Le courriel du 11 juin fait-il état de la finalité sans que le Volatile en est informé ses lecteurs ?

Avec ce seul email, la violation de données à caractère personnel n'est pas établie : Ciotti a-t-il réellement emporté le fichier avec lui après son départ des LR ? N'importe quel salarié ou agent public peut connaître du fichier clients / usagers, y compris le jour de sa démission / licenciement. Dans cette incertitude, on ne peut pas lui tenir rigueur de ne pas avoir informé les adhérents de la communication de leurs données (à un parti politique qui n'existait pas encore, d'ailleurs) ni de ne pas avoir qualifié les données (s'assurer que les adhérents consentent à de futurs contacts par l'UDR et s'assurer de détenir également les oppositions antérieures).

Conclusion : c'est bien un potentiel usage futur qui fera apparaître des manquements au RGPD. À cet instant, nous n'en savons pas assez pour établir de quelconques manquements à la législation. Conséquence, les bavardages de prudence relayés ce jour par le CoinCoin ne sont pas infondés : avant d'agir, encore faut-il en être en capacité.

Un point subsidiaire interroge : toute donnée à caractère personnel doit être conservée pour une durée limitée proportionnée à la finalité poursuivie. Ainsi, les anciens membres de LR, qui n'ont pas conservés leur carte, doivent être retirés du fichier après un certain temps défini par LR. Or, le Canard, qui nous informe que le fichier du 11 juin se nomme « […] et non renouvelants », fait état d'« au moins 250 000 noms » alors que des articles de presse font état de 48 500 adhérents en 2022 et 72 000 à jour de cotisation en 2023. Un ménage portant sur les non renouvelants semble apparaître nécessaire. Mais, là encore, l'article du CoinCoin est trop flou pour envisager un signalement à la CNIL : il ne dit pas si le Canard sait, par une autre manière, que LR compte 250 000 adhérents ou si le fichier communiqué à Ciotti le 11 juin contient 250 000 lignes. Seul le deuxième cas ouvre la voie à un signalement à la CNIL. Qu'en est-il ?

Bonne journée.