En tant que candidat, élu ou parti politique, la règlementation en matière de protection des données personnelles vous sera applicable si vous souhaitez, à des fins de communication politique :
- constituer un nouveau fichier ;
- utiliser un fichier déjà existant.
Dans ces deux hypothèses, en tant que responsable de traitement (ou co-responsable de traitement), vous devrez respecter les grands principes de protection des données personnelles :
Le choix et le respect de la finalité du fichier
En tant que candidat ou élu, vous ne pouvez pas utiliser à des fins de prospection politique les fichiers auxquels vous accédez dans le cadre de vos fonctions institutionnelles, associatives ou professionnelles. Il s’agirait d’un détournement de finalité. De la même manière, un élu ou un candidat ne peut pas utiliser à des fins professionnelles un fichier qu’il aurait constitué à des fins de communication politique.
Il est donc important, en cas de création d’un nouveau fichier, de déterminer précisément la ou les finalité(s) de ce fichier et porter celle(s)-ci à la connaissance des personnes concernées.
Exemple : un ancien candidat ne peut pas utiliser un fichier utilisé dans le cadre d’une campagne électorale en vue de démarcher des personnes afin de leur proposer les services de sa société commerciale.
La pertinence des données traitées au regard de la finalité choisie :
Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées.
Les opinions politiques étant considérées comme des données sensibles, le traitement de ces données est par principe interdit. Or, le simple fait de figurer dans un fichier des adhérents d’un parti politique fait nécessairement apparaître les opinions politiques, réelles ou supposées, des personnes concernées.
Des exceptions sont toutefois expressément prévues par le RGPD, notamment si la personne concernée a donné son consentement explicite au traitement de ces données personnelles pour une ou des finalités spécifiques (pour être recevable, ce consentement doit être libre, spécifique, éclairé et univoque), ou encore si le traitement est effectué par un organisme politique à condition que :
- le traitement soit effectué dans le cadre des activités légitimes de cet organisme et moyennant des garanties appropriées ;
- que le traitement se rapporte exclusivement aux membres ou aux anciens membres de l’organisme en question ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités ;
- que les données personnelles ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées.
Bonnes pratiques
La CNIL considère qu’est un « contact régulier » toute personne qui a accompli, auprès d’un parti ou d’un candidat, une démarche positive en vue d’établir des rapports réguliers et directement liés à son action politique (abonnement à une lettre d’information, soutien financier régulier, participation aux activités du parti, etc.).
Au contraire, lorsqu’il s’agit uniquement d’une démarche ponctuelle (demande d’information sur un projet, par exemple) ne débouchant pas sur des rapports réguliers, la CNIL considère que les personnes concernées constituent alors des « contacts occasionnels » et recommande de n’utiliser leurs coordonnées qu’une seule fois afin de les inviter à entretenir des contacts plus régulier ou à devenir un membre du parti ou du comité de soutien du candidat.
Le respect des droits des personnes concernées
Le RGPD met à la charge des responsables de traitement une obligation de transparence à l’égard des personnes concernées et une obligation d’information renforcée.
Concrètement, cela se traduit pour les candidats et partis politiques par :
- fournir aux citoyens les informations sur le traitement de leurs données, qui doivent être concises, transparentes, compréhensibles et aisément accessibles, en des termes clairs et simples ;
- l’obligation de faciliter l’exercice des droits des personnes, en fournissant notamment un moyen simple de s’opposer au traitement ;
- une information plus complète incluant désormais l’origine des données utilisées, la base légale du traitement, la durée de conservation des données et le droit d’introduire une réclamation auprès de la CNIL ;
- le traitement des demandes d’exercice des droits dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
Consulter la fiche sur le droit des personnes.
Le choix et le respect d’une durée de conservation limitée des données :
Les données doivent être conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Pour en savoir plus, consulter la fiche « Limiter la conservation des données »
La confidentialité et la sécurité des données
Le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit, en particulier, veiller à ce que seules les personnes autorisées aient accès à ces informations afin d’éviter que des tiers puissent accéder aux données personnelles traitées. La CNIL a d’ailleurs publié un guide de la sécurité des données personnelles pour aider les professionnels dans leur mise en conformité avec la réglementation en matière de protection des données.
Bonne pratique
Au titre des mesures qui peuvent être mises en place, le champ « cci » (copie carbone invisible) peut par exemple être utilisé pour envoyer un e-mail à une « mailing list ».