Le contrat NationBuilder du Parlement européen sous enquête du régulateur de données – TechCrunch

Le principal responsable de la réglementation des données en Europe a publié la toute première sanction d’une institution de l’UE – prenant des mesures coercitives contre le Parlement européen pour avoir utilisé la société de campagne numérique américaine NationBuilder. traiter les données des électeurs des citoyens avant les élections de printemps.

NationBuilder est un vétéran de l’espace de campagne numérique – nous avons d’abord couvert la société en 2011 -, qui est devenu presque omniprésent pour les campagnes numériques sur certains marchés.

Mais ces dernières années, les régulateurs européens de la vie privée ont posé la question de savoir si toutes ses activités de traitement de données étaient conformes aux règles régionales de protection des données, en réponse aux préoccupations grandissantes concernant l'intégrité électorale et la manipulation en ligne de votants alimentée par des données.

Le Parlement européen avait utilisé NationBuilder comme processeur de données pour une campagne d’engagement du public visant à promouvoir le vote aux élections de printemps, qui s’est déroulée sur un site Web appelé thistimeimvoting.eu.

Le site Web a collecté des données personnelles auprès de plus de 329 000 personnes intéressées par la campagne électorale de l'UE – des données traitées au nom du parlement par NationBuilder.

Le Contrôleur européen de la protection des données (CEPD), qui a ouvert une enquête en février 2019, a agi de sa propre initiative – et "en tenant compte de la controverse antérieure autour de cette société", comme le précise son communiqué de presse, a constaté que le Parlement avait contrevenu aux règlements les institutions peuvent utiliser des données personnelles liées à la sélection et à l'approbation des sous-processeurs utilisés par NationBuilder.

Les sous-processeurs en question ne sont pas nommés. (Nous avons demandé plus de détails.)

Le Parlement a reçu un second blâme du Parlement après avoir omis de publier une politique de confidentialité conforme à la loi. ce temps en votant site internet dans les délais fixés par le CEPD. Bien que le régulateur affirme avoir agi conformément à ses recommandations dans le cas des deux sanctions.

Le CEPD a également ouvert une enquête afin de déterminer si l'utilisation par le Parlement du site web sur la mobilisation des électeurs et des traitements de données à caractère personnel connexes était conforme aux règles applicables aux institutions de l'UE (telles que définies dans le règlement (UE) 2018/1725).

Les mesures d'application de la loi n'avaient été rendues publiques qu'une audience plus tôt cette semaine – lorsque Wojciech Wiewiórowski, superviseur adjoint de la protection des données, a évoqué le problème au cours d'une séance de questions-réponses devant les députés.

Il a qualifié l'enquête "de l'un des cas les plus importants que nous ayons eu cette année", sans nommer le processeur de données. "Le Parlement n'a pas été en mesure de créer les véritables actions d'audit chez le processeur", a-t-il déclaré aux députés. "Ni l'un ni l'autre ne contrôlent la manière dont le contrat a été conclu."

«Heureusement, rien n’a été mal avec les données, mais nous avons dû faire en sorte que ce contrat annule l’effacement des données», at-il ajouté.

Lorsque TechCrunch a demandé mardi au CEPD plus de détails sur cette affaire, un porte-parole nous a dit que l'affaire était "toujours en cours" et "en cours de finalisation" et qu'elle communiquerait bientôt à ce sujet.

Le communiqué de presse d’aujourd’hui semble en être le résultat.

Commentaire en conserve fourni dans le communiqué Wiewiórowski écrit:

Les élections législatives de l'UE ont eu lieu à la suite d'une série de controverses électorales, tant au sein des États membres de l'UE qu'à l'étranger, axées sur la menace posée par la manipulation en ligne. Des règles strictes en matière de protection des données sont essentielles à la démocratie, en particulier à l'ère numérique. Ils contribuent à renforcer la confiance dans nos institutions et dans le processus démocratique, en encourageant l'utilisation responsable des données personnelles et le respect des droits de la personne. Dans cet esprit, à compter de février 2019, le CEPD a agi de manière proactive et décisive dans l'intérêt de tous les citoyens de l'Union européenne afin que le Parlement européen respecte les normes les plus strictes en matière de collecte et d'utilisation de données à caractère personnel. Il a été encourageant de voir un bon niveau de coopération se développer entre le CEPD et le Parlement européen. au cours de cette enquête.

Une question qui se pose est de savoir pourquoi aucune sanction plus ferme n’a été infligée au Parlement européen – au-delà d’un blâme (désormais public) environ neuf mois après le début de l’enquête.

Une autre question est de savoir pourquoi la question n'a pas été communiquée de manière plus transparente aux citoyens de l'UE.

La PR du CEPD souligne que ses actions "ne se limitent pas à des réprimandes", sans expliquer pourquoi les deux exécutions à ce jour ne méritaient pas une action plus sévère. (Au moment de la rédaction du présent document, le CEPD n’avait pas répondu à la question de savoir pourquoi aucune amende n’avait encore été infligée.)

Il y a peut-être plus à venir, cependant.

Le régulateur dit qu'il va "continuer à vérifier les processus de protection des données du parlement" – révélant que le Parlement européen a fini d'informer les particuliers de son intention révisée de conserver les données à caractère personnel collectées par le gouvernement. ce temps en votant site web jusqu'en 2024.

"Les résultats de ces vérifications pourraient mener à des conclusions supplémentaires", a-t-il averti, ajoutant qu'il avait l'intention de finaliser l'enquête d'ici la fin de l'année.

Interrogée sur l’affaire, une porte-parole du Parlement européen nous a dit que le ce temps en votant Cette campagne visait à motiver les citoyens européens à participer au processus démocratique et à a utilisé un mélange d’outils numériques et de techniques de campagne traditionnelles pour tenter de toucher le plus d’électeurs potentiels possible.

Elle a ajouté que NationBuilder avait été utilisé comme plate-forme de gestion de la relation client pour rester en contact avec les électeurs potentiels – via une offre aux citoyens intéressés de s'inscrire pour recevoir des informations du parlement sur les élections (y compris des événements et des informations générales).

Les abonnés ont également été interrogés sur leurs intérêts – ce qui a permis au Parlement d'envoyer des informations personnalisées aux personnes qui se sont inscrites.

Certaines des préoccupations réglementaires entourant NationBuilder ont été centrées sur la manière dont il permet aux campagnes de faire correspondre les données stockées dans leurs bases de données (provenant de personnes inscrites) avec les données de médias sociaux accessibles au public, telles qu'un compte Twitter déverrouillé ou Facebook public. profil.

TechCrunch comprend que le Parlement européen n’utilisait pas cette fonctionnalité.

En 2017 en France, après une intervention du chien de garde de données national, NationBuilder a suspendu l'outil de couplage de données sur le marché.

La même caractéristique a attiré l’attention du commissaire britannique à l’Information – qui a averti l’an dernier que les partis politiques devraient fournir une déclaration de confidentialité aux individus dont les données sont collectées à partir de sources publiques telles que les médias sociaux. Pourtant, ne sont pas.

"L'OIC s'inquiète de ce que les partis politiques utilisent cette fonctionnalité sans que des informations adéquates soient fournies aux personnes affectées", a déclaré l'OIC dans son rapport, tout en s'abstenant d'interdire l'utilisation de la fonctionnalité correspondante.

Son enquête a confirmé que jusqu'à 200 partis politiques ou groupes de campagne avaient utilisé NationBuilder lors des élections générales de 2017 au Royaume-Uni.

Traduit de la source : https://techcrunch.com/2019/11/28/european-parliaments-nationbuilder-contract-under-investigation-by-data-regulator/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.