À la demande de la Chancellerie fédérale, nous avons explicité les exigences légales concernant l’utilisation des données collectées dans le cadre de l’exercice des droits politiques (collecte de signatures). Conformément au principe de finalité, les données personnelles recueillies à l’appui d’une initiative populaire ou d’un référendum ne peuvent être utilisées qu’aux fins de l’initiative ou du référendum. L’utilisation de ces données pour une autre finalité, par exemple l’envoi d’une lettre d’information, n’est licite que si la personne concernée y consent librement et de manière explicite.
La section des droits politiques de la Chancellerie fédérale nous a priés de décrire, du point de vue du droit de la protection des données, les exigences concernant l'utilisation, par des personnes privées, des données personnelles recueillies dans le cadre d'une collecte de signatures effectuée à l'appui d'une initiative ou d'un référendum.
La collecte de signatures à l'appui d'un référendum ou d'une initiative populaire ou l'utilisation des données personnelles collectées dans le cadre de l'exercice des droits politiques constituent des traitements de données personnelles soumis à la loi fédérale sur la protection des données (LPD) et à ses principes généraux. Les données recueillies dans le cadre de l'exercice des droits politiques doivent être considérées comme sensibles au sens de la LPD, car elles fournissent des indications sur les opinions ou les activités politiques des personnes concernées. La LPD confère une protection accrue à ce type de données, la qualification de données sensibles appelant notamment une rigueur toute particulière dans l'application des principes généraux de protection des données.
Le soutien à un référendum ou à une initiative populaire implique une collecte et un traitement de données personnelles - prévu par la loi sur les droits politiques - visant essentiellement à vérifier la validité de la signature. La personne qui appose sa signature à l'appui d'un référendum ou d'une initiative populaire ne doit en principe pas s'attendre à l'utilisation de ses données pour l'envoi d'informations ou encore la prospection pour la collecte de fonds, etc. (principe de finalité). Une telle utilisation de données personnelles nécessite un (nouveau) motif justificatif, à savoir le consentement de la personne concernée, un intérêt privé ou public prépondérant, ou la loi. En l'occurrence, seul le consentement des signataires entre en considération pour justifier une utilisation de ses données à d'autres fins qu'à l'appui de l'initiative, respectivement à son aboutissement.
Pour qu'un consentement soit considéré comme valable, la LPD exige que la personne concernée exprime sa volonté librement et après avoir été dûment informée (consentement libre et éclairé). S'agissant de données sensibles ou de profils de la personnalité, le consentement doit être au surplus explicite. L'utilisation à d'autres finalités des données personnelles collectées dans le cadre d'une initiative (qui doivent être considérées comme des données sensibles) nécessite par conséquent un consentement libre, éclairé et explicite.
Dans le cas concrètement présenté par la Chancellerie, le formulaire de récolte de signatures comportait une petite case - apposée à droite de la signature - qui devait être cochée dans le cas où le signataire n'accepterait pas l'utilisation de ses données pour l'envoi d'informations; la non-acceptation nécessite une action de la personne concernée, sous forme de case à cocher (opt-out). Au-dessus de ladite case figurait en petits caractères «pas d'infos svp (cocher)» [en allemand: «Schickt mir bitte keine weiteren Infos (ankreuzen)»]. La question qui se posait en particulier était de savoir si l'absence de case cochée pouvait être considérée comme consentement valable du point de vue de la LPD, pour l'envoi d'informations.
Nous avons estimé que le mode d'acquisition du consentement ne répondait pas aux exigences de la LPD. L'information quant à l'utilisation faite de ces données sensibles n'était d'une part pas suffisamment claire. D'autre part et surtout, l'absence de case cochée ne saurait ici valoir consentement, puisque le traitement de données sensibles nécessite un consentement explicite. La signature apposée à côté du nom et de l'adresse ne se rapporte qu'au soutien de l'initiative ou du référendum en question et non à une autre utilisation de ces données personnelles.
En outre, nous estimons qu'une case à cocher opt-in apposée avant la signature ne permettrait pas d'éviter les risques d'abus, une case pouvant aisément être cochée par un tiers. Cette solution ne représente donc pas à notre avis une solution sûre et conforme aux principes de protection des données. Le principe de sécurité exige en effet que les données personnelles soient protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Dans ce contexte, nous conseillons aux comités d'initiative ou de référendum de requérir le consentement explicite des personnes intéressées par le biais d'une feuille séparée ou au moyen d'une nouvelle signature, ou d'une autre manière qui garantisse de façon suffisamment sûre que les personnes concernées ont consenti librement et explicitement à une utilisation de leur données à d'autres fins, après avoir été dûment informées sur les finalités du traitement.