Pour vous aider à y voir plus clair, vous trouverez ci-dessous quelques questions-réponses issues du Guide "Communication politique", édité par la CNIL en janvier 2012. Ce guide contient par ailleurs un grand nombre de modèles de mentions d’information et de recueil du consentement des personnes concernées.

Qui est responsable du fichier utilisé ?

Le parti politique, l’élu ou le candidat qui met en œuvre un ou plusieurs traitements dont la finalité est la communication politique est considéré comme responsable de traitement au sens de la loi "Informatique et libertés" du 6 janvier 1978 modifiée.

Il convient de distinguer le responsable de traitement du prestataire de service (le "sous-traitant"). Ce dernier intervient pour le compte du responsable de traitement selon les objectifs qui lui ont été assignés et définis dans le contrat de prestation.
Par exemple, la société de communication à laquelle un parti politique fait appel pour réaliser les opérations de propagande politique est un prestataire de service.
La responsabilité "Informatique et libertés" n’en incombe pas moins au responsable de traitement, à savoir à l’élu, au candidat ou au parti politique qui recourt à ce prestataire. A ce titre, il est tenu au respect des obligations "Informatique et libertés" dont la violation est sanctionnée par le Code pénal et la loi "Informatique et libertés".

Quelles sont les obligations "Informatique et libertés" du responsable de traitement ?

– Formalités préalables : le responsable de traitement devra accomplir les formalités préalables de déclaration des fichiers auprès de la CNIL. C’est lui qui est susceptible d’être sanctionné en cas de violation de la loi "Informatique et libertés".

– Obligations de sécurité et de confidentialité : l’élu, le candidat ou le parti politique, en sa qualité de responsable de traitement, doit veiller à la sécurité des données qu’il exploite. Il doit prendre toutes les mesures nécessaires pour en garantir la confidentialité et éviter toute divulgation d’information.

En cas de recours à un prestataire, une clause spécifique doit être insérée au contrat de prestation de service pour préciser l’obligation de sécurité du traitement et de confidentialité des données qui s’impose à lui ; ainsi que l’interdiction d’utiliser les données à d’autres fins que la mission pour laquelle elles lui ont été confiées ; ou encore l’interdiction de les divulguer à des tiers.

– Respect des droits des personnes : les personnes physiques concernées par un traitement de données personnelles doivent être préalablement informées de l’identité du responsable de traitement, de la finalité du traitement, des destinataires, du caractère facultatif des données collectées, des modalités d’exercice des droits d’accès et de rectification ainsi que, le cas échéant, des transferts de leurs données vers un Etat non-membre de l’Union européenne.

Cette information doit être fournie aux personnes lorsqu’un élu, candidat ou parti politique collecte directement leurs données auprès d’elles. En cas de collecte indirecte (par l’intermédiaire de tiers, tels que des soutiens, parrains, sympathisants ou prestataires externes), cette information doit être donnée dès la première prise de contact avec la personne. Il faut également l’informer de l’origine des données.

Toute personne a le droit de s’opposer, pour un motif légitime, à ce que des données la concernant soient enregistrées dans un fichier.

– Durée de conservation limitée des données : une durée de conservation doit être fixée pour chaque fichier selon sa finalité. Par exemple, un fichier de propagande constitué exclusivement pour les besoins d’une campagne électorale doit être détruit à l’issue de la campagne.

– Finalité : les données personnelles ne peuvent être recueillies et traitées que pour un usage déterminé, explicite et légitime. Un fichier constitué à des fins de communication politique ne peut pas être utilisé dans un autre but que celui qui a été initialement défini.

Par exemple, un élu ou candidat ne pourrait utiliser à des fins de communication politique un fichier qu’il a constitué pour une activité professionnelle distincte. [1]

– Proportionnalité : seules les informations pertinentes et nécessaires à la finalité poursuivie par le fichier peuvent faire l’objet d’un traitement.
L’enregistrement de données relatives aux opinions politiques est par principe interdit. Cependant, les fichiers mis en œuvre par les organismes non lucratifs à caractère politique peuvent contenir de telles données, sous réserve de certaines conditions. Ces données doivent :

> correspondre uniquement à l’objet statutaire de l’organisme (opinions politiques) ;

> concerner ses seuls membres ou les personnes qui entretiennent avec lui des contacts réguliers ;

> ne pas être communiquées à des tiers.

Quels sont les fichiers qui n’ont pas à faire l’objet d’une déclaration auprès de la CNIL ?

Deux types de fichiers peuvent être utilisés dans le cadre de la communication politique sans faire l’objet d’une déclaration auprès de la CNIL :

– les fichiers de gestion des membres et des personnes qui entretiennent des contacts réguliers avec un parti ou un groupement politique [2].

– les fichiers de communication politique constitués à partir des seules informations issues des listes électorales, y compris consulaires.

Les autres traitements de communication politique sont soumis à déclaration auprès de la CNIL. A ce titre, elle a adopté deux délibérations le 26 janvier 2012 [3] destinées à simplifier l’obligation de déclaration des traitements mis en œuvre par les élus, candidats ou partis politiques, à des fins de communication politique. Les responsables de traitement qui respectent le cadre posé par ces délibérations peuvent envoyer un simple engagement de conformité à la CNIL.

La désignation d’un Correspondant Informatique et Libertés (CIL) permet de bénéficier d’un allègement des formalités puisque la déclaration préalable n’est alors plus nécessaire. Le CIL doit cependant établir un registre recensant l’ensemble des traitements mis en œuvre. Le responsable de traitement demeure néanmoins soumis aux obligations de la loi "Informatique et libertés".

Quels fichiers internes l’élu, le candidat ou le parti politique peut-il constituer à des fins de communication politique ?

L’élu, le candidat ou le parti politique peut tout d’abord utiliser des fichiers dits internes, qu’il a constitués lui-même.

Les principaux fichiers concernés sont les suivants :

– les fichiers de « membres », de « contacts réguliers » et « occasionnels » d’un parti politique ;

– les fichiers de « contacts réguliers » et de « contacts occasionnels » d’un élu ou candidat ;

– les fichiers constitués à l’occasion de la désignation de candidat à une élection (élection interne, investiture par le parti, élection primaire, …)

– les fichiers constitués dans le cadre de référendums et de pétitions

Les fichiers de "contacts réguliers" des élus ou candidats sont susceptibles de faire apparaître les opinions politiques des personnes concernées du seul fait de leur présence dans le fichier. Elles doivent donc consentir expressément à la collecte et au traitement de leurs données dans ces fichiers.

Les "contacts occasionnels" des élus, candidats ou partis politiques, sont considérés comme des prospects. Leurs coordonnées ne pourront être utilisées qu’une seule fois afin de leur proposer d’établir un échange régulier. Les données personnelles doivent être supprimées dans un délai maximum de deux mois après que le contact soit resté sans réponse.

Attention : Les fichiers auxquels l’élu ou le candidat a accès du fait de son mandat (état civil, fichiers fiscaux, liste de personnel d’une collectivité, annuaire de messagerie professionnelle de ces mêmes agents... etc) ne peuvent être utilisés à des fins de communication politique.

Le fichier constitué à l’occasion d’une campagne ou d’une élection particulière ne doit pas être conservé au-delà de cette échéance ou utilisé à d’autres fins (sauf accord des personnes).

Est-il possible de constituer un fichier à partir de tris ?

Aucune disposition légale n’interdit d’effectuer une sélection sur l’âge ou l’adresse des personnes. En revanche, les tris opérés sur la consonance des noms sont interdits en raison des risques de discrimination qu’ils comportent. De même, les tris opérés sur le lieu de naissance des électeurs ne sont pas justifiés au regard du principe de finalité. [4]

Quels fichiers externes peuvent être utilisés à des fins de communication politique ?

Par principe, les fichiers constitués par une administration ou une collectivité locale dans le cadre de ses missions de service public ne peuvent jamais être utilisés à des fins de communication politique. Une telle utilisation de fichiers publics à des fins de communication politique est susceptible de constituer un détournement de finalité, passible de sanctions administratives et pénales.

Ce principe connaît cependant des exceptions. Ainsi peuvent être utilisés :

– les listes électorales ;

– le fichier national des élus et candidats ;

– les annuaires [5], en excluant les personnes faisant partie de la liste "anti-prospection" (anciennement connue sous le nom de "liste orange") ;

– certains fichiers du secteur privé, par exemple des fichiers commerciaux de clients ou prospects, constitués par des sociétés privées. L’utilisation de ces fichiers implique une information renforcée des personnes concernées (information et recueil du consentement lors de la constitution du fichier source de clients et prospects [6], et une information lors de l’envoi du message politique).

Qu’en est-il de la prospection politique réalisée par courrier électronique ?

Les personnes sollicitées doivent avoir donné leur consentement préalable à l’utilisation de leur adresse électronique à des fins de prospection politique (principe appelé "opt-in").

La seule exception au principe du consentement préalable à recevoir des sollicitations à caractère politique par courrier électronique concerne les listes électorales consulaires.

Quelles informations doivent figurer obligatoirement sur les messages électroniques envoyés par les candidats aux élections ?

Un courrier électronique de communication politique doit au moins comporter les éléments suivants :
– l’origine des données utilisées ;
– les informations pratiques permettant à la personne d’exercer l’ensemble de ses droits (accès, rectification, suppression) ;
– un lien de désinscription afin de s’opposer à la réception de nouveaux messages.

Lorsque l’élu ou le candidat fait appel à un prestataire pour la constitution d’une base de données qu’il entend utiliser à des fins de communication politique, il est tenu de s’assurer que celui qui lui fournit les données respecte cette condition de consentement préalable (par le biais de l’insertion de clauses spécifiques dans le contrat de location de fichier par exemple).

Le recours au courrier électronique implique la mise en œuvre de mesures de sécurité et de confidentialité supplémentaires (cryptage, masquage des adresses électroniques des destinataires en cas d’envoi simultané...)

Quelles sont les règles concernant l’utilisation d’appels téléphoniques par automates, l’envoi de SMS/MMS ou les technologies Bluetooth ?

Au regard du caractère intrusif de ces modes de communication, la CNIL recommande la mise en place de mesures de protection supplémentaires.

Elle recommande notamment le recueil du consentement préalable pour les opérations de prospection politique réalisées à l’aide de ces technologies.

Lorsque l’élu ou le candidat fait appel à un prestataire pour la constitution d’une base de données qu’il entend utiliser à des fins de communication politique, il est tenu de s’assurer que celui qui lui fournit les données respecte cette condition de consentement préalable (par le biais de l’insertion de clauses spécifiques dans le contrat de location de fichier par exemple).

Les messages envoyés doivent comporter les informations suivantes :
– l’identité du responsable de traitement qui opère la prospection politique ;
– la possibilité et les modalités prévues pour s’opposer à la réception de tels messages (elles doivent être précisées dès le début du message en cas d’appel par un automate) [7].

Quelles sont les règles concernant l’utilisation du réseau internet à des fins de communication politique (site web, réseau social, blog, forum, application pour smartphone, mot clé sur un moteur de recherche, lettre et fil d’actualités...) ?

Dès lors que ces supports servent à collecter des données personnelles à des fins de prospection politique, la loi "Informatique et libertés" devra être respectée. L’élu ou candidat devient responsable de traitement.

– Site institutionnel, fil d’actualité (flux RSS) et réseau social propre à un territoire

La mise en œuvre par un parti, élu ou candidat d’un site web institutionnel n’appelle pas d’observation particulière s’il ne sert pas à collecter de données personnelles sur ses visiteurs.

De même, s’abonner au fil d’actualité ("flux RSS") d’une page internet dédiée à la politique n’induit pas non plus nécessairement de collecter des données personnelles.

En revanche, si un formulaire permet une collecte de données personnelles (par exemple pour l’inscription à une lettre d’actualités), les obligations de la loi "Informatique et libertés" devront être respectées (information des personnes, possibilités d’exercer leurs droits d’accès, de rectification, opposition).

Certains réseaux sociaux visent uniquement à rapprocher les acteurs et les habitants d’un même territoire. Ceux-ci ne peuvent donc être utilisés à des fins de communication politique.

– Réseau social et application internet

La création ou l’utilisation de page ou de compte d’un réseau social lié à une personnalité, un élu, un candidat ou parti politique ; d’une application Internet ; ou encore d’un outil de partage, permet d’interagir avec d’autres internautes. Ces interactions peuvent être l’occasion de collecter des données à caractère personnel et sont donc susceptibles de révéler l’opinion politique, réelle ou supposée, des personnes concernées.

Afin de protéger ces données sensibles, plusieurs réflexes doivent être adoptés lors de l’inscription comme lors de l’utilisation d’outils de partage.

Avant d’enregistrer une inscription de l’utilisateur, le responsable de traitement doit :

– l’informer du caractère public ou non de son inscription et lui préciser, notamment, si son identité sera ou non visible par tous.

– indiquer les catégories de données enregistrées ou si l’inscription entraîne la collecte des données déclarées sur son profil.

– recueillir son consentement exprès si des données sensibles le concernant sont collectées. [8]

– préciser si cette inscription permet au responsable de traitement d’utiliser toutes les fonctionnalités du réseau social (par exemple : le mur Facebook, la messagerie ou le compte Twitter) ou d’un smartphone (géolocalisation, carnet d’adresses, SMS/MMS ou journal d’appels).

– recueillir son consentement à l’utilisation de son adresse électronique ou de son numéro de téléphone (portable ou fixe).

– inviter l’utilisateur à régler ses paramètres de confidentialité en conséquence.

L’activation par l’internaute d’outils de partage mis en place sur une page Internet dédiée à un élu, candidat ou parti politique entraîne les mêmes obligations pour le responsable de traitement car il procède alors à une collecte de données personnelles.

Il doit recueillir le consentement de l’internaute avant de révéler son opinion politique ou d’autres de ses données sensibles. Pour que ce consentement soit considéré comme libre et éclairé, une activation de l’outil de partage ne suffit pas : il convient d’informer clairement et précisément l’internaute de la portée de son action et notamment :

– du caractère public de sa contribution ;
– qu’en s’exprimant ainsi, il est susceptible de révéler ses opinions politiques ou toute autre donnée sensible ;
– l’inviter à régler ses paramètres de confidentialité en conséquence.

Il est recommandé d’insérer cette information dès que le responsable de traitement maîtrise le contenu éditorial diffusé : dans une fenêtre du site internet utilisant cet outil de partage, dans la page de bienvenue sur Facebook ou dans le descriptif du compte Twitter annonçant le "#tag officiel" de la campagne et l’agrégation dans un "tweetwall".

La rubrique "Politique de confidentialité" et les conditions générales d’utilisation du site internet du parti, élu ou candidat peuvent également rappeler et préciser ces informations.

Attention : L’utilisation d’outils de partage par l’internaute ne lui confère pas nécessairement la qualité de "contact régulier" du parti politique, de l’élu ou du candidat. Il peut s’agir d’un simple prospect ("contact occasionnel").
Aussi, si les coordonnées de l’internaute sont accessibles publiquement, elles pourront être utilisées par l’élu ou candidat pour lui adresser un unique message de prospection l’invitant à des échanges réguliers. Seul le consentement du "contact occasionnel" permettra de considérer qu’il devient "contact régulier", voire "membre" et d’enregistrer ses données personnelles.

Par ailleurs, il faut rappeler régulièrement à l’internaute, voire à chaque contact [9] :

– si un historique des connexions ou contributions est conservé,
– si une utilisation de ses contributions est envisagée et ses modalités, la procédure pour exercer ses droits d’accès et de suppression des données le concernant.
– et enfin, si des cookies sont installés sur son ordinateur (son consentement est nécessaire s’il s’agit de cookies servant à réaliser de la publicité ciblée).