Élections municipales : la CNIL rappelle les règles à respecter avant le second tour

09 juin 2020

La CNIL a présenté un plan d’action le 27 novembre 2019 relatif aux élections municipales et aux opérations de communication politique afin de s’assurer du respect des règles de protection des données par l’ensemble des candidats. À la suite de nombreux signalements et plaintes reçus pendant et après le premier tour, elle dresse un premier bilan.

Elections municipales

Dans le cadre de son plan d’action, la CNIL a publié et mis à jour plusieurs fiches pratiques sur son site web afin d’accompagner les candidats et partis.

Pour les électeurs, une plateforme de signalement a été ouverte à l’occasion du premier tour et sera maintenue jusqu’à la fin des élections municipales. Cela a permis de constater un certain nombre de mauvaises pratiques auxquelles les candidats doivent être particulièrement attentifs.

Un manque de transparence à l’origine de nombreux signalements

Le candidat Y à la mairie de X vient de m'appeler (bande enregistrée) sur ma ligne fixe qui est sur liste rouge ! Comment a-t-il pu obtenir mon numéro ??? Scandaleux ces pratiques intrusives sans accord de ma part !

La grande majorité des plaignants s’interrogent sur l’origine des données utilisées pour les contacter, conséquence directe d’un manquement aux obligations d’information de la part du candidat.

La CNIL rappelle que le candidat doit correctement informer les personnes destinataires de ses messages de prospection politique, que leurs données aient été collectées directement ou indirectement auprès d’elles.

 

Lorsque les données personnelles ne sont pas collectées directement auprès de la personne sollicitée, le candidat doit lui transmettre des informations quant à l’origine de celles-ci. Cette information ne peut pas être générale ou imprécise (par exemple : « vos données figurent dans les fichiers d’un partenaire ») ni erronée (par exemple : « votre numéro de téléphone provient de la liste électorale »).

Au contraire, cette information doit être précise et détaillée (par exemple : « vos données nous ont été communiquées par la société XXX avec qui nous travaillons. Vous pouvez la contacter à telle adresse »), pour permettre aux personnes concernées d’exercer leurs droits auprès de ce fournisseur.

Principe de finalité : l’utilisation des fichiers n’est pas toujours encadrée

Bonjour, je reçois des mails concernant les réunions du candidat X. Cependant il utilise les adresses mail via le portail famille avec lequel j'inscris mes enfants à la cantine... C'est scandaleux d'utiliser les données personnelles pour ça.

Les fichiers tenus par les mairies (coordonnées laissées lors de démarches à la mairie, fichiers scolaires ou périscolaires, fichiers « évènements météorologiques », fichiers de gestion de crise sanitaire liée au COVID-19, etc.) ne peuvent pas être utilisés pour adresser de la propagande électorale aux administrés.

Il est également interdit pour un candidat dirigeant, par exemple, une société commerciale ou une association, d’utiliser le fichier de ses clients ou adhérents pour leur adresser des messages en lien avec sa campagne électorale.

Un tel usage peut représenter un « détournement de finalité », puni de 5 ans d’emprisonnement et 300 000 € d’amende par le Code pénal.

L’exercice des droits des personnes n’est pas toujours garanti ni facilité

Je tiens à la disposition les multiples courriels de campagnes auxquels, très énervée de les recevoir, j’ai voulu me desinscrire et là, qu’elle ne fut pas ma surprise : impossible car aucun bouton, aucun courriel de contact et le « replay » est impossible !! Impossible de contacter la candidate donc !!

La CNIL rappelle que les moyens de communication utilisés doivent permettre aux personnes contactées de faire valoir leurs droits.

Le candidat doit faciliter l’exercice des droits par la personne concernée et traiter ses demandes dans les meilleurs délais, et au plus tard dans un délai d’un mois.

Concrètement, cela se traduit pour les candidats par :

  • l’insertion, dans tout envoi électronique, d’un lien permettant facilement et gratuitement de signifier son opposition à recevoir des messages ultérieurs ;
  • la prise en compte effective et rapide des demandes exprimées ;
  • une répercussion des demandes d’effacement au fournisseur des données.

Une demande d’opposition et d’effacement de ses données doit réellement aboutir à la suppression des données personnelles contenues dans le fichier du candidat.

De plus, une demande d’accès à ses données, et notamment à leur origine, ne doit pas amener le candidat à effacer les données de la personne concernée sans répondre à sa demande d’accès.


Les actions et contrôles de la CNIL

À partir des signalements et plaintes reçus de la part d’électeurs mécontents, la CNIL intervient auprès des candidats mis en cause, soit en leur rappelant leurs obligations, soit en effectuant des investigations sur les conditions d’utilisation des données personnelles des électeurs.

Selon la gravité des manquements constatés, les candidats s’exposent à l’ensemble des mesures correctrices de la CNIL, qui peuvent être un rappel à l’ordre, une mise en demeure ou une sanction pécuniaire.

Par ailleurs, les sous-traitants et prestataires sont désormais soumis à des obligations particulières depuis l’entrée en application du RGPD : leur responsabilité peut être engagée en cas de manquements. Dans le cadre du plan d’action pour les élections municipales 2020, des contrôles ont ainsi été réalisés auprès de prestataires de services de prospection politique et de stratégie électorale afin de prendre connaissance des conditions dans lesquelles les données personnelles sont utilisées.

La CNIL continuera à traiter, tout au long des élections et au-delà, les signalements qu’elle recevra ; elle poursuivra ses procédures de contrôle vis-à-vis des candidats afin d’assurer des élections respectueuses de la vie privée.

Les mots clés associés à cet article