La responsabilité des acteurs de la publicité politique ciblée

21 octobre 2025

Dans le cadre de la publicité politique ciblée, plusieurs acteurs interviennent dans la chaine de publicité. L’identification de leur rôle est essentielle afin de déterminer leurs obligations respectives.

Le règlement sur la transparence de la publicité politique (RPP) distingue différentes catégories d’acteurs de la publicité politique soumis à des obligations de transparence spécifiques.

Dans ce cadre, ces acteurs peuvent traiter des données personnelles et doivent à ce titre respecter le RGPD. Le chapitre III du RPP relatif aux techniques de ciblage et de diffusion d’annonce à caractère politique en ligne impose par ailleurs de nouvelles obligations aux responsables de traitement au sens du RGPD.

Dès lors, il est important d’identifier les différentes rôles et responsabilités de ces acteurs tant au regard du RPP que du RGPD, afin de déterminer leurs obligations respectives.

La responsabilité au sens du règlement sur la transparence de la publicité politique (RPP)

Le règlement sur la transparence de la publicité politique (RPP) distingue trois types d’acteurs qui interviennent dans la chaîne publicitaire :

Les parraineurs (élu, candidat, parti ou personnalité politique) : acteurs qui demandent l’élaboration, le placement, la promotion, la distribution ou la diffusion d’une publicité à caractère politique.
- Au titre du RPP ils doivent notamment fournir des informations transparentes et exactes sur chaque publicité politique aux prestataires : identité, message, cibles, budget, période de diffusion, contrepartie reçue et source des données utilisées.
Les prestataires de publicité à caractère politique : acteurs qui fournissent un service de publicité à caractère politique, c’est-à-dire un service pour l’élaboration, le placement, la promotion, la distribution ou la diffusion d’une publicité à caractère politique.
- Au titre du RPP, ils doivent notamment tenir un registre détaillé recensant le service fourni, les montants facturés, l’identité du parraineur et la traçabilité des traitements réalisés.
Les éditeurs de publicité à caractère politique : acteurs qui publient, distribuent ou diffusent une publicité à caractère politique.
- Au titre du RPP, ils ont notamment l’obligation de signaler clairement le caractère politique de l’annonce, d’afficher l’identité du parraineur, et de permettre aux utilisateurs de signaler toute non-conformité.

L‘articulation avec les responsabilités prévues par le RGPD

La responsabilité de traitement

Le règlement général sur la protection des données (RGPD) définit le responsable de traitement comme l’acteur qui détermine les finalités (les objectifs poursuivis) et les moyens d’un traitement (la façon de réaliser cet objectif).

Lorsque deux responsables du traitement, ou plus, déterminent ensemble les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.

Cette responsabilité conjointe peut se traduire par :

une décision prise en commun ;
ou des décisions séparées mais complémentaires, qui aboutissent à un traitement commun.

De manière générale, les partis politiques ou les candidats (parraineurs) définissent les finalités (publicité à caractère politique) et les moyens (critères de ciblage, contenu des messages, ordre d’envoi des messages) du traitement nécessaire à la publicité qu’ils souhaitent diffuser. En ce sens, ils agissent le plus souvent en qualité de responsables de traitement.

Cependant, une responsabilité conjointe avec les prestataires et les éditeurs de publicité ne peut être exclue dans certains cas et notamment :

dans le cas de la mise en œuvre de techniques d’optimisation publicitaire, les prestataires peuvent utiliser les données à d’autres fins, par exemple à des fins d’optimisation du ciblage ou d’amélioration de la diffusion ;
si le candidat, l’élu ou le parti politique est administrateur d’une page sur un réseau social (éditeur de la publicité), le réseau social est par principe le . Le parti politique, élu ou candidat agit en qualité de responsable de traitement conjoint s’il participe, par son action de paramétrage, à la détermination des finalités et des moyens pour le traitement des données personnelles des visiteurs de sa page.

Dans le cas de la publicité politique, bien souvent, le prestataire ou l’éditeur assure la mise en œuvre effective du traitement et détient le savoir-faire ainsi que la maîtrise technique des solutions de publicité.

Exemple 1 : le parti politique (parraineur) collecte des données lors d’une conférence en ligne et notamment des données sur la ville d’habitation (directement auprès des personnes et sur la base du consentement). Il contacte ensuite une agence de communication (prestataire) afin qu’elle produise des visuels et qu’elle envoie un courriel aux personnes sur la base de leur lieu de résidence. L’agence met en place un pour trier les données recueillies par le parti et produit un contenu de publicité.

Dans ce cas, c’est le parti qui est seul responsable de traitement. En effet, il détermine la finalité (prospection politique) et les moyens (par ex., le critère de ciblage et le canal d’envoi) du traitement. Il est le détenteur de la base de données des personnes faisant l’objet d’un ciblage. L’agence de communication agit en qualité de .

Exemple 2 : un parti politique (parraineur) contacte une agence de prospection (prestataire) afin de produire une publicité pour la mise en place d’une aide pour les jeunes. L’agence collecte les données directement auprès des personnes sur la base du consentement et constitue sa propre base de données afin de diffuser l’annonce à des jeunes de 18 à 25 ans sur une plateforme de messagerie plébiscitée par les jeunes (éditeur). Ils agissent ensemble pour déterminer les finalités (publicité sur une des actions du parti) et les moyens (constitution de la base de données, critères de ciblage…).

Dans ce cas, le parti politique et l’agence publicitaire agissent en tant que responsables conjoints de traitement.

Pour en savoir plus sur les obligations du responsable de traitement, voir la fiche sur les outils de communication politique.

Le sous-traitant

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Le responsable de traitement vérifie que son sous-traitant offre des garanties suffisantes et assure un niveau de sécurité approprié, conformément aux exigences du RGPD.

Hors des cas précités, dès lors qu’un prestataire ou un éditeur traite des données personnelles pour le compte d’un candidat, il agit en qualité de sous-traitant.

Le guide du sous-traitant publié par la CNIL détaille par ailleurs les obligations du sous-traitant.

Les obligations du responsable de traitement

Déterminer une finalité déterminée, explicite et légitime (par exemple : l’envoi de courriel sur le programme d’un candidat à des adhérents) ;
Fonder votre traitement sur une : en matière de prospection politique il s’agira le plus souvent du consentement (obligatoire en cas d’utilisation de techniques de ciblage et de diffusion d’annonce à caractère politique), et de manière exceptionnelle l’intérêt légitime ;
Assurer la transparence par une information complète et précise du traitement mis en œuvre (par exemple : informer les personnes concernées de l’origine des données en cas de collecte indirecte) ;
Minimiser les données traitées (par exemple : prévoir de limiter les données extraites d’un site aux seules données nécessaires à la prospection) ;
En cas d’utilisation de techniques de ciblage et de diffusion d’annonce à caractère politique, collecter les données directement auprès de la personne concernée ;
Respecter les droits des personnes ;
Garantir la sécurité des données traitées pour limiter les risques de violation de données (voir le Guide de sécurité des données personnelles de la CNIL) ;
Constituer un registre de traitement : un registre spécifique est désormais obligatoire si vous utilisez des techniques de ciblage ou de diffusion d’annonce à caractère politique.

Le contrat de sous-traitance

Les parties doivent établir un contrat comprenant obligatoirement certaines clauses prévues par l’article 28 du RGPD. Pour se faire, il est possible de s’appuyer sur les clauses contractuelles types de la Commission européenne ou sur les exemples de clauses proposés par la CNIL.

Recommandations pour la mise en œuvre d’un contrat de sous-traitance (liste non exhaustive)
Déterminer le statut des acteurs impliqués	Le contrat doit préciser les informations du responsable de traitement, du sous-traitant et de leur délégué à la protection des données, le cas échéant (nom ; adresse ; noms, fonction et coordonnées de la personne contact ; signature et date d’adhésion).
Définir et encadrer le traitement	La description du traitement doit être inscrite dans une clause comprenant notamment : - objet du traitement (il s’agit de l’activité du sous-traitant, par exemple la publication d’un contenu politique sur une plateforme, une prestation de collecte de données de contact etc.) ; - finalité du traitement (par exemple la diffusion de contenu sur les réseaux sociaux, l’envoi de courriels aux électeurs) ; - catégories de données (par exemple les données de contact, les données de localisation etc.) ; - catégories de personnes concernées (par exemple les habitants d’une commune précise etc.) ; - durée du traitement (par exemple le temps de la campagne ou du scrutin, jusqu’à ce que l’annonce publicitaire soit diffusée, etc.).
Préciser les conditions dans lesquelles le sous-traitant peut avoir recours à un sous-traitant ultérieur (Voir l'avis du CEPD)	Le contrat devrait préciser si le sous-traitant : - peut avoir recours à des sous-traitants ultérieurs de manière générale ; - ou doit recueillir l’autorisation du responsable de traitement pour tout sous-traitant ultérieur. Le contrat devrait également préciser : - les modalités d’information du recours à un sous-traitant ultérieur ; - les critères de choix des sous-traitants ultérieurs (par exemple sa conformité à la règlementation sur les données personnelles).
Documenter l’activité de sous-traitance	Le contrat doit contenir une clause selon laquelle le sous-traitant tient à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de l’article 28 du RGPD.
Garantir la sécurité des données collectée	Une clause doit décrire les mesures techniques et organisationnelles, y compris les mesures visant à garantir la sécurité des données (par exemple le chiffrement des données, la mise à jour régulière des informations de contact etc.).
Garantir l’exercice des droits des personnes concernées	Si le responsable de traitement est tenu de répondre aux demandes d’exercice des droits, le sous-traitant doit, dans la mesure du possible, l’assister dans cet exercice. Il est alors possible de faire le choix entre deux options : - le sous-traitant adresse les demandes reçues au responsable de traitement ; - le sous-traitant répond aux demande au nom du responsable de traitement pour les demandes relatives aux données de sous-traitance.