Archives des Sécurité

Prospection électorale et données personnelles : l’éclairage du Conseil d’état

À l’approche des élections municipales, vous envisagez une campagne ciblée pour toucher vos électeurs ? Attention : le traitement de données personnelles à des fins de prospection électorale est strictement encadré. La récente décision du Conseil d’État (12 avril 2025), confirmant une sanction de la CNIL contre l’association Reconquête, en fournit une illustration précieuse.

Voici les 5 grandes questions que tout candidat pourrait se poser avant de collecter ou utiliser des données électorales.

1. Puis-je recourir à un prestataire pour ma prospection électorale ?

Oui, mais… Vous restez responsable du traitement au sens du RGPD. Cela signifie que même si la prospection est techniquement confiée à un prestataire (call-center, imprimeur, agence web…), vous décidez des finalités et des moyens du traitement.

Dans l’affaire Reconquête, l’association avait confié l’envoi de mails et de SMS à des sous-traitants. Le Conseil d’État a confirmé qu’elle restait pleinement responsable, car elle organisait la campagne et pilotait les opérations.

2. Quelles précautions dois-je prendre en amont de la prospection ?

Informer, encadrer, documenter.

Informez les personnes de manière claire, accessible et transparente (article 13 du RGPD) sur l’utilisation de leurs données.
Encadrez contractuellement vos sous-traitants.
Tenez à jour votre registre des traitements.
Évaluez si une analyse d’impact (PIA) est nécessaire.
Prévoyez les modalités d’exercice des droits des personnes (accès, opposition, effacement…).

Dans la décision du Conseil d’État ci-dessus évoquée, la CNIL a reproché à Reconquête de ne pas avoir suffisamment informé les personnes concernées sur la collecte de leurs données, notamment dans le cadre d’opérations postales massives.

3. Puis-je traiter les données de sympathisants, donateurs ou électeurs sans information explicite ?

Non. Le RGPD impose une obligation d’information préalable. Sans cela, même une base de données « politique » ou « militante » n’est pas licite.

La CNIL a sanctionné l’association Reconquête pour manquements aux articles 12 à 14 du RGPD. Ces articles exigent d’informer les personnes, y compris si les données ont été collectées indirectement (ex. : via un partenaire ou un achat de base).

4. Puis-je refuser l’effacement des données des électeurs ?

Pas sans motif légitime. Les électeurs peuvent exercer leur droit à l’effacement (article 17 RGPD), notamment après la fin de la campagne. Vous devez motiver un éventuel refus (ex. : obligation légale de conservation, contentieux en cours…).

Reconquête a été sanctionnée pour ne pas avoir répondu aux demandes d’effacement de données, en violation de l’article 17.

5. En cas d’infraction, la CNIL peut-elle me sanctionner rapidement sans passer par une longue procédure ?

Oui. La CNIL peut recourir à la procédure simplifiée (article 22-1 de la loi de 1978) .

La procédure de sanction simplifiée est une méthode de traitement accéléré pour les dossiers de non-conformité jugés simples. Elle est appliquée lorsque :

Le dossier est simple,
Il existe une jurisprudence établie,
L’amende envisagée n’excède pas 20 000 €.

Dans l’affaire Reconquête, la CNIL a engagé une procédure simplifiée, validée par le Conseil d’État, jugeant l’affaire non complexe malgré le nombre de données concernées.

En résumé :

La communication politique numérique n’échappe pas aux règles du RGPD. À défaut, vous vous exposez à des amendes, même par voie simplifiée.

Application mobile de collectivité : êtes-vous en règle avec le RGPD ?

Vous avez lancé une application mobile pour communiquer avec vos administrés ? Félicitation ! Mais saviez-vous que celle-ci peut être soumise à des obligations strictes en matière de protection des données personnelles ? Accès à la géolocalisation, contacts, galerie photographique, utilisation de SDK, « kit de développement de logiciels », gestion du consentement : voici les 10 points clés à vérifier pour rester dans les normes du RGPD et de la loi Informatique et Libertés.

1. L’application mobile de ma collectivité est-elle soumise à la règlementation sur les données personnelles ?

Oui, dès lors que l’application :

lit/écrit des données sur le terminal des usagers (ex. : accès à la géolocalisation, contacts, caméra),
ou collecte des données personnelles (nom, e-mail, préférences…).

Vous êtes donc soumis au RGPD et à la loi Informatique et Libertés, notamment l’article 82.

2. Qui est responsable du traitement des données ?

Votre collectivité, en tant qu’éditeur de l’application, est responsable du traitement si :

elle décide des finalités (pourquoi les données sont collectées),
et des moyens (quelles données, comment, combien de temps…)

3. Quid du prestataire que j’ai missionné pour son développement ?

Il est sous-traitant s’il traite les données pour votre compte (ex. : hébergement, maintenance).
Il peut devenir responsable du traitement s’il réutilise les données pour ses propres finalités (ex. : statistiques pour d’autres projets).

4. Ai-je des obligations particulières dans la conception de l’application ?

Oui, vous devez :

Intégrer la protection des données dès la conception « privacy by design ». Par exemple, l’application ne devrait pas collecter par défaut les données de localisation de la personne si celles-ci ne servent qu’à faciliter l’usage d’un outil de recherche qui peut être fonctionnel sans elles,
Collecter uniquement les données strictement nécessaires,
Obtenir le consentement clair des usagers (sauf exception prévue par la loi),
Fournir une information claire, lisible et accessible à l’utilisateur.

5. Faut-il faire un tri parmi les SDK, « kit de développement de logiciels », que le développeur utilise ?

Absolument. Les SDK peuvent collecter et transmettre des données à des tiers :

Assurez-vous qu’ils respectent le RGPD,
Préférez les SDK sans finalités publicitaires ou exigez des clauses contractuelles avec ceux-ci,
Soyez particulièrement vigilants sur les SDK qui utilisent des identifiants publicitaires. Vous pouvez utiliser Exodus pour déterminer les pisteurs et permissions sur votre application mobile.

6. Que faire si l’application utilise la géolocalisation ou les contacts ?

Obtenez le consentement explicite avant d’activer ces fonctionnalités,
Expliquez clairement à quoi elles servent,
Évitez les accès permanents ou systématiques sans justification.

7. Dois-je tenir une documentation interne ?

Oui. Vous devez :

Tenir un registre des traitements,
Documenter les analyses d’impact (AIPD) si les traitements présentent des risques élevés (ex. : surveillance de comportement, données sensibles),
Prévoir une politique de gestion des durées de conservation des données personnelles.

8. Comment gérer les mises à jour et la sécurité ?

Assurez-vous que l’application est maintenue à jour,
Mettez en place un processus de signalement des failles de sécurité,
Supprimez ou bloquez l’accès aux anciennes versions vulnérables.

9. Puis-je exclure le RGPD si les données ne quittent pas le téléphone ?

Oui, dans certains cas très limités, comme :

le traitement est uniquement local, sans échange avec des serveurs,
et totalement sous le contrôle de l’utilisateur.

Mais dès qu’il y a échange ou transfert de données, le RGPD s’applique.

10. Existe-t-il une checklist ou un outil pour ne rien oublier ?

Oui, la CNIL fournit une liste de vérification pour les éditeurs (section 5.6 du document) que vous pouvez adapter à votre cas. Elle couvre :

la transparence,
la gestion des droits,
la documentation,
les contrats,
les SDK,
la sécurité.

Pour aller plus loin :

Délibération n° 2025-024 du 27 mars 2025 portant modification de la recommandation relative aux applications mobiles et abrogeant la délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles.

Article 82 Loi informatique et Liberté

Qu’est-ce qu’un pisteur ?

Qu’est-ce qu’une permission ?

Qu’est-ce qu’un SDK ?

Données personnelles et campagnes électorales

Catégorie actualité : Sécurité