L’agence espagnole de protection des données s’est dernièrement prononcée sur l’usage des données personnelles des catalans à des fins d’élaboration de listes électorales, dans le cadre du référendum. Ce dernier a pourtant été déclaré illégal par le Tribunal constitutionnel. L’agence étatique s’inquiétait notamment de la provenance de ces données, dont l’usage aurait dû être soumis au consentement des intéressés en l’absence de loi venant autoriser expressément les administrations publiques catalanes à les exploiter.
Des données personnelles d’une provenance méconnue
La législation espagnole consacre la protection des données personnelles comme un droit fondamental, soumis aux principes de finalité et de légitimité dans le traitement de celles-ci. Les limites établies au droit de la protection et au principe du consentement des intéressés se réduisent à une prévision légale qui permettrait expressément aux administrations publiques de collecter, traiter ou encore transmettre à une entité similaire les données personnelles de citoyens. Malgré l’absence d’une telle loi, les autorités catalanes ont pourtant collecté certaines données inhérentes à tous les habitants de la région, dont les cinq derniers chiffres du numéro d’identité, la date de naissance, le code postal et le bureau de vote assigné à l’électeur.
L’agence espagnole de protection des données s’inquiète de la voie de fait que constituerait le traitement et l’usage de ces données, en dehors de toute compétence reconnue aux autorités catalanes pour l’établissement de listes électorales. Il semblerait donc que les administrations publiques régionales auraient extrait ces informations de bases de données prévues à d’autres effets : d’anciennes listes électorales, de registres municipaux, de registres de population catalane et des catalans établis à l’étranger, de registres fiscaux ou encore de registres médicaux.
Des données personnelles publiées visant à informer les électeurs
L’usage de ces données personnelles n’a pas pour autant été limité à l’élaboration des listes électorales. Le govern catalan souhaitait permettre aux votants de consulter via internet les bureaux de vote assignés. Pour ce faire, le site referendum.cat référençait les données personnelles de cinq millions de catalans, qui en renseignant les derniers chiffres de leur numéro d’identité et leur date de naissance, obtenaient le bureau de vote le plus proche dans lequel avait lieu le scrutin.
Le gouvernement espagnol voulant empêcher le déroulement de ce vote, a demandé par voie judiciaire la fermeture du site. La répartie du govern catalan fut immédiate : afin de maintenir l’information auprès des catalans sur leurs lieux de scrutin, un système de réplique des contenus a été mis en place. Le procédé utilisé étant celui du peer to peer, afin d’éviter la centralisation des données sur un seul et même serveur – ce qui faciliterait le blocage – et où chaque nouveau site deviendrait un serveur en lui-même.
Sont alors apparus dans un premier temps, des sites répliqués dont les noms de domaine provenaient d’États membres de l’Union Européenne tels que l’Angleterre ou le Luxembourg. Mais ceux-ci ont rapidement été bloqués à la demande du gouvernement espagnol. En effet, la localisation intra-européenne des sites facilite les procédures de blocage entre états membres.
Par la suite, des sites répliqués en Russie et en provenance d’Asie centrale, ont émergé. Selon la Commission européenne, ces pays ne jouissent pas d’une législation offrant un niveau de protection adéquat aux données personnelles : l’Espagne ne fait d’ailleurs l’objet d’aucun accord avec ces États en matière de législation numérique. C’est d’ailleurs cette absence de coopération qui justifie le choix de ces pays, afin de compliquer considérablement les possibilités de blocage des sites par les autorités espagnoles.
Des données personnelles menacées par la condition de leur publication
Le système de réplique des contenus a démultiplié les sources dans lesquelles se trouvent les données personnelles des catalans invités à voter. L’accès à ces fichiers est donc simplifié : grâce à un algorithme déchiffrable par un code qui serait composé de l’énumération des données en question – soit le numéro d’identité, la date de naissance, le code postal et le bureau de vote. Ce mode de chiffrement des données implique donc un nombre limité de combinaisons. Les informations personnelles peuvent dont être fortement exposées au cours d’une attaque par force brute, qui consiste à tester une à une toutes les combinaisons possibles.
Alors que la jurisprudence du Tribunal constitutionnel espagnol prévoit que « la finalité de ce droit fondamental est de garantir aux citoyens un pouvoir de disposition sur l’usage et la destination de ces données, afin d’éviter un trafic illicite et préjudiciable à la dignité et aux droits de l’individu affecté. Pour ces raisons, le droit fondamental à la protection des données personnelles impose aux pouvoirs publics que ces données ne se convertissent en sources d’information sans les garanties nécessaires, tout comme le devoir de prévenir des risques pouvant découler d’un accès ou d’une divulgation indue des dîtes informations ». Or la divulgation de ces données personnelles, éventuellement jointes à d’autres informations, pourrait être à l’origine de fraude ou d’usurpation d’identité.
Cette collecte illégale de données personnelles, de leur mise en ligne ne garantissant pas un niveau de protection pourtant nécessaire à leur degré d’exposition, correspondent à une « violation massive du droit fondamental à la protection des données personnelles » selon María Victoria González Román, ambassadrice de l’Espagne à l’OSCE. Cette dernière dénonça devant l’organisation l’ingérence caractérisée des autorités catalanes en vue du référendum d’autodétermination.
Sources :
MENDIOLA ZURIARRAIN (J.), « La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto », El País, publié le 5 octobre 2017, consulté le 6 octobre 2017, https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html
ALANDETE (D.), « “Hackers” rusos ayudan a tener activa la web del referendum », El País, publié le 28 septembre 2017, consulté le 11 octobre 2017, https://politica.elpais.com/politica/2017/09/27/actualidad/1506539908_825347.html
Rapport de l’Agence Espagnole de Protection des Données (AEPD), « Uso de datos para la elaboración del censo electoral », agdp.es, consulté le 7 octobre 2017, https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2017-0252_Uso-de-datos-para-elaboraci-oo-n-de-censo-electoral.pdf
Décision du Tribunal constitutionnel espagnol, STC 292/2000 du 20 novembre 2000, agdp.es, consulté le 12 octobre 2017, agdp.es/portalwebAGPD/canaldocumentacion/sentencias/tribunal_constitucional/common/pdfs/Sentencia292.pdf