Catégorie actualité : Sécurité

6246276

Prospection électorale et données personnelles 

La protection des données personnelles constitue aujourd’hui un impératif majeur pour l’action publique, y compris en matière de communication politique. Le RGPD, ainsi que les fiches pratiques de la CNIL  « élections et communication politique », encadrent l’utilisation des fichiers, des outils numériques et des techniques de diffusion par les acteurs politiques, afin de garantir les droits des citoyens et l’intégrité du débat démocratique.

Le présent article, structuré sous forme de questions réponses, expose de manière synthétique :

  1. les fichiers dont l’usage est interdit ;

  2. ceux pouvant être exploités sous conditions ;

  3. le cadre juridique applicable aux techniques de publicité politique.

Cet article vise à accompagner les collectivités dans la mise en conformité et la sécurisation de leurs pratiques de communication.

pros1

1. Quels fichiers ne peuvent pas être utilisés pour de la prospection électorale  ?

Par principe, les fichiers relevant du secteur public, c’est-à-dire les données personnelles collectées ou enregistrées par une administration ou une collectivité dans le cadre de ses missions de service public, ne peuvent pas servir à des fins de communication politique.
Voici quelques exemples de fichiers interdits dans ce cadre :

  • Le registre d’état civil.

  • Le fichier scolaire.

  • Les fichiers de prestations sociales de la commune.

  • Les fichiers d’urbanisme de la collectivité.

  • Les fichiers constitués pour un référendum local.

  • Les fichiers issus d’une pétition : les signataires d’une pétition ne sont pas automatiquement considérés comme des «contacts réguliers » ou des sympathisants d’un élu, candidat ou parti. Sauf si la pétition a pour objet de soutenir directement un élu ou un parti.

L’utilisation illicite de ces fichiers peut entraîner des sanctions pénales, jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende, pour détournement de finalité (art. 226-21 du Code pénal).

 

prs2 (1)

2. Quels fichiers peuvent, en revanche, être utilisés pour la communication politique ?

Certains fichiers peuvent être utilisés à des fins de prospection électorale, à condition que les personnes concernées soient considérées comme des « contacts réguliers » ou, à défaut, comme des « contacts occasionnels » qu’on peut inviter à devenir contacts réguliers.

La CNIL considère qu’une personne est le « contact régulier » d’un parti ou d’un candidat lorsqu’elle accomplit une démarche positive en vue d’établir des rapports réguliers et directement liés à son action politique : abonnement à une lettre d’information, soutien financier régulier, participation aux activités du parti, etc. Contact occasionnel : une démarche ponctuelle sur un projet.

Le tableau ci-dessous liste quelques fichiers qui peuvent être utilisés à des fins de communication politique.

 

Types de fichier

Nature du contact

Observations/conditions

Les fichiers d’adhérents au parti

 

Contact régulier

Il n’est pas nécessaire de demander le consentement des adhérents si le message adressé reste en lien avec la finalité du parti dans sa vocation politique.

Les fichiers constitués dans le cadre des primaires

 

Contact occasionnel, mais le parti peut inviter ses contacts à devenir les contacts réguliers avec consentement explicite.

Les fichiers doivent être détruits après proclamation des résultats, sauf contentieux (fichier électeurs, chartes, listes d’émargement).

Les fichiers de contact : les personnes avec lesquelles l’élu ou le parti entretiennent des échanges réguliers dans le cadre de leur activité politique (abonnées à une lettre d’information, une liste de diffusion ou au site du parti politique, soutien financier régulier du candidat ou parti).

 

Contact régulier

 

Les échanges antérieurs réguliers suffisent à justifier le traitement, il n’est pas nécessaire de demander le consentement. 

Abonnés des réseaux sociaux du candidat

Contact occasionnel

 

Les personnes qui « aiment », commentent, partagent ou « retweetent » des contenus publiés sur les réseaux sociaux peuvent être considérées comme des « contacts occasionnels ». Leurs données peuvent ainsi être utilisées à des fins de communication politique, une seule fois, afin d’inviter ces personnes à accepter d’entretenir des échanges plus réguliers avec l’élu ou le candidat.

La liste électorale 

Tout électeur, candidat et tout parti ou groupement politique peuvent prendre communication et obtenir une copie de la liste électorale, à la condition de s’engager à ne pas en faire un usage commercial. (Art. L.37 code électoral.)

 

 

La liste électorale peut être utilisée :

  • à des fins de communication politique,
  • à des fins de communication municipale (vie de la commune).

Les électeurs ne peuvent pas s’opposer à la remise de la liste électorale, mais peuvent exercer leur droit d’opposition à figurer dans un fichier de communication.

 
Les fichiers privés (clients, prospects) acquis ou loués pour prospection commerciale. Contact occasionnel (sous réserve de licéité et droit à l’information) Utilisation possible à condition de respecter les obligations légales (transparence, droit des personnes, etc.).
pros1

3. Quelles techniques de publicité politique sont autorisées, et sous quelles conditions  ?

Depuis l’entrée en vigueur du Règlement sur la transparence de la publicité politique (RPP) le 10 octobre 2025, il existe des règles précises pour les communications politiques, notamment en ligne reposant sur des données personnelles.

Principales techniques visées

  • Publicité en ligne : sites web, réseaux sociaux, messageries, e-mails.

  • Deux formes importantes :

    • Ciblage (par âge, zone géographique, catégorie socio-professionnelle, etc.)

    • Diffusion algorithmique (boost automatique de visibilité selon des critères automatisés)

Conditions et limites d’utilisation

  • Il est interdit d’utiliser des données provenant de fichiers électoraux, de bases achetées ou issues de moissonnage.

  • Consentement explicite, libre et éclairé obligatoire pour les personnes concernées. Elles doivent pouvoir refuser sans conséquence.

  • Obligation de tenir un registre spécifique : mentionner les méthodes de ciblage, les types de données, les outils d’intelligence artificielle utilisés, etc.

  • Information renforcée aux citoyens : les traitements doivent être clairement expliqués, les droits des personnes rappelés.

  • Interdiction d’utiliser des données sensibles (origine, religion, opinions politiques, santé…) ou de viser des mineurs de moins de 17 ans.

Publicité hors ligne (courriers, e-mailings, appels, etc.)

  • Elle reste possible, mais doit respecter le Règlement général sur la protection des données (RGPD).

  • Les bases légales possibles : consentement ou, sous conditions très strictes, «intérêt légitime».

  • A noter : à compter d’août 2026, le démarchage téléphonique à des fins commerciales ne pourra plus reposer sur «l’intérêt légitime »(loi nᵒ 2025-594 du 30 juin 2025). Par analogie, pour la publicité politique, la Commission nationale de l’informatique et des libertés (CNIL) recommande fortement de se baser sur le consentement.

 

prs2 (1)

4. Comment définir ce qu’est une « publicité à caractère politique » ?

Il s’agit de tout message diffusé dans le but d’influencer un scrutin (élection, référendum) ou le comportement de vote, ou encore un processus législatif.

Ce qui n’est pas considéré comme publicité à caractère politique :

  • Les campagnes physiques (affichages, tracts papier).

  • Les opinions ou contenus publiés par des médias journalistiques (sous leur contrôle éditorial), sauf s’il y a paiement spécifique pour publier le contenu.

  • Les opinions personnelles exprimées librement sur les réseaux sociaux (hors format publicité payante ciblée).

pros1

5. Que retenir en tant qu’élu, maire, candidat ou acteur politique local ?

  • Ne jamais recourir à des fichiers publics (état civil, registres scolaires, prestations sociales, urbanisme, etc.) à des fins politiques.

  • En cas d’utilisation de fichiers privés ou d’adhérents/électeurs/contacts : vérifier que la personne est bien un contact régulier ou, si contact occasionnel, recueillir un consentement clair avant d’engager une relation durable.

  • Pour toute publicité en ligne politique : obtenir le consentement explicite, documenter les traitements (registre), informer clairement les citoyens, et ne pas utiliser de données sensibles ni viser les mineurs.

  • Pour le démarchage hors ligne (courriers, e-mails, appels), favoriser le consentement plutôt que l’intérêt légitime, notamment avec le renforcement des règles prévues pour 2026.

Pour aller plus loin :

Propsection électorale

Prospection électorale et données personnelles : l’éclairage du Conseil d’état

À l’approche des élections municipales, vous envisagez une campagne ciblée pour toucher vos électeurs ? Attention : le traitement de données personnelles à des fins de prospection électorale est strictement encadré. La récente décision du Conseil d’État (12 avril 2025), confirmant une sanction de la CNIL contre l’association Reconquête, en fournit une illustration précieuse.

Voici les 5 grandes questions que tout candidat pourrait se poser avant de collecter ou utiliser des données électorales.

pros1

1. Puis-je recourir à un prestataire pour ma prospection électorale ?

Oui, mais… Vous restez responsable du traitement au sens du RGPD. Cela signifie que même si la prospection est techniquement confiée à un prestataire (call-center, imprimeur, agence web…), vous décidez des finalités et des moyens du traitement.

Dans l’affaire Reconquête, l’association avait confié l’envoi de mails et de SMS à des sous-traitants. Le Conseil d’État a confirmé qu’elle restait pleinement responsable, car elle organisait la campagne et pilotait les opérations.

 

prs2 (1)

2. Quelles précautions dois-je prendre en amont de la prospection ?

Informer, encadrer, documenter.

  1. Informez les personnes de manière claire, accessible et transparente (article 13 du RGPD) sur l’utilisation de leurs données.
  2. Encadrez contractuellement vos sous-traitants.
  3. Tenez à jour votre registre des traitements.
  4. Évaluez si une analyse d’impact (PIA) est nécessaire.
  5. Prévoyez les modalités d’exercice des droits des personnes (accès, opposition, effacement…).

Dans la décision du Conseil d’État ci-dessus évoquée, la CNIL a reproché à Reconquête de ne pas avoir suffisamment informé les personnes concernées sur la collecte de leurs données, notamment dans le cadre d’opérations postales massives.

 

pros1

3. Puis-je traiter les données de sympathisants, donateurs ou électeurs sans information explicite ?

 Non. Le RGPD impose une obligation d’information préalable. Sans cela, même une base de données « politique » ou « militante » n’est pas licite.

La CNIL a sanctionné l’association Reconquête pour manquements aux articles 12 à 14 du RGPD. Ces articles exigent d’informer les personnes, y compris si les données ont été collectées indirectement (ex. : via un partenaire ou un achat de base).

 

prs2 (1)

4. Puis-je refuser l’effacement des données des électeurs ?

Pas sans motif légitime. Les électeurs peuvent exercer leur droit à l’effacement (article 17 RGPD), notamment après la fin de la campagne. Vous devez motiver un éventuel refus (ex. : obligation légale de conservation, contentieux en cours…).

Reconquête a été sanctionnée pour ne pas avoir répondu aux demandes d’effacement de données, en violation de l’article 17.

pros1

5. En cas d’infraction, la CNIL peut-elle me sanctionner rapidement sans passer par une longue procédure ?

 Oui. La CNIL peut recourir à la procédure simplifiée (article 22-1 de la loi de 1978) .

La procédure de sanction simplifiée est une méthode de traitement accéléré pour les dossiers de non-conformité jugés simples. Elle est appliquée lorsque :

  • Le dossier est simple,
  • Il existe une jurisprudence établie,
  • L’amende envisagée n’excède pas 20 000 €.

Dans l’affaire Reconquête, la CNIL a engagé une procédure simplifiée, validée par le Conseil d’État, jugeant l’affaire non complexe malgré le nombre de données concernées.

En résumé :

La communication politique numérique n’échappe pas aux règles du RGPD. À défaut, vous vous exposez à des amendes, même par voie simplifiée.

api1 (1)

Application mobile de collectivité : êtes-vous en règle avec le RGPD ?

Vous avez lancé une application mobile pour communiquer avec vos administrés ? Félicitation ! Mais saviez-vous que celle-ci peut être soumise à des obligations strictes en matière de protection des données personnelles ? Accès à la géolocalisation, contacts, galerie photographique, utilisation de SDK, « kit de développement de logiciels », gestion du consentement : voici les 10 points clés à vérifier pour rester dans les normes du RGPD et de la loi Informatique et Libertés.

 

appi mobile

 

1. L’application mobile de ma collectivité est-elle soumise à la règlementation sur les données personnelles?

Oui, dès lors que l’application :

  • lit/écrit des données sur le terminal des usagers (ex. : accès à la géolocalisation, contacts, caméra),
  • ou collecte des données personnelles (nom, e-mail, préférences…).

Vous êtes donc soumis au RGPD et à la loi Informatique et Libertés, notamment l’article 82.

 

api1 (1)

2. Qui est responsable du traitement des données?

Votre collectivité, en tant qu’éditeur de l’application, est responsable du traitement si :

  • elle décide des finalités (pourquoi les données sont collectées),
  • et des moyens (quelles données, comment, combien de temps…)
appi mobile

3. Quid du prestataire que j’ai missionné pour son développement ?

  • Il est sous-traitant s’il traite les données pour votre compte (ex. : hébergement, maintenance).
  • Il peut devenir responsable du traitement s’il réutilise les données pour ses propres finalités (ex. : statistiques pour d’autres projets).
api1 (1)

4. Ai-je des obligations particulières dans la conception de l’application?

Oui, vous devez :

  • Intégrer la protection des données dès la conception « privacy by design ». Par exemple, l’application ne devrait pas collecter par défaut les données de localisation de la personne si celles-ci ne servent qu’à faciliter l’usage d’un outil de recherche qui peut être fonctionnel sans elles,
  • Collecter uniquement les données strictement nécessaires,
  • Obtenir le consentement clair des usagers (sauf exception prévue par la loi),
  • Fournir une information claire, lisible et accessible à l’utilisateur.
appi mobile

 5. Faut-il faire un tri parmi les SDK, « kit de développement de logiciels », que le développeur utilise?

Absolument. Les SDK peuvent collecter et transmettre des données à des tiers :

  • Assurez-vous qu’ils respectent le RGPD,
  • Préférez les SDK sans finalités publicitaires ou exigez des clauses contractuelles avec ceux-ci,
  • Soyez particulièrement vigilants sur les SDK qui utilisent des identifiants publicitaires. Vous pouvez utiliser Exodus pour déterminer les pisteurs et permissions sur votre application mobile.

 

api1 (1)

 6. Que faire si l’application utilise la géolocalisation ou les contacts?

  • Obtenez le consentement explicite avant d’activer ces fonctionnalités,
  • Expliquez clairement à quoi elles servent,
  • Évitez les accès permanents ou systématiques sans justification.
appi mobile

7. Dois-je tenir une documentation interne?

Oui. Vous devez :

  • Tenir un registre des traitements,
  • Documenter les analyses d’impact (AIPD) si les traitements présentent des risques élevés (ex. : surveillance de comportement, données sensibles),
  • Prévoir une politique de gestion des durées de conservation des données personnelles.

 

api1 (1)

 8. Comment gérer les mises à jour et la sécurité?

  • Assurez-vous que l’application est maintenue à jour,
  • Mettez en place un processus de signalement des failles de sécurité,
  • Supprimez ou bloquez l’accès aux anciennes versions vulnérables.

 

appi mobile

 9. Puis-je exclure le RGPD si les données ne quittent pas le téléphone?

Oui, dans certains cas très limités, comme :

  • le traitement est uniquement local, sans échange avec des serveurs,
  • et totalement sous le contrôle de l’utilisateur.

Mais dès qu’il y a échange ou transfert de données, le RGPD s’applique.

api1 (1)

10. Existe-t-il une checklist ou un outil pour ne rien oublier?

Oui, la CNIL fournit une liste de vérification pour les éditeurs (section 5.6 du document) que vous pouvez adapter à votre cas. Elle couvre :

  • la transparence,
  • la gestion des droits,
  • la documentation,
  • les contrats,
  • les SDK,

  • la sécurité.

appi mobile

Pour aller plus loin :

Délibération n° 2025-024 du 27 mars 2025 portant modification de la recommandation relative aux applications mobiles et abrogeant la délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles.

Article 82 Loi informatique et Liberté

Qu’est-ce qu’un pisteur ?

Qu’est-ce qu’une permission ?

Qu’est-ce qu’un SDK ?