Retour aux articles

Élections municipales : les rappels de la CNIL des règles à respecter avant le second tour

Affaires - Immatériel
10/06/2020
La Commission nationale de l’informatique et des libertés (CNIL) procède à un certain nombre de rappels concernant les règles à respecter avant le second tour des élections municipales afin de s’assurer du respect de celles relatives à la protection des données par l’ensemble des candidats.
Elle rappelle qu’elle a présenté un plan d’action le 27 novembre 2019 relatif aux élections municipales et aux opérations de communication politique afin de s’assurer du respect des règles de protection des données par l’ensemble des candidats. À la suite de nombreux signalements et plaintes reçus pendant et après le premier tour, elle dresse un premier bilan.
La grande majorité des plaignants s’interrogent sur l’origine des données utilisées pour les contacter, conséquence directe d’un manquement aux obligations d’information de la part du candidat.

La CNIL rappelle également que le candidat doit correctement informer les personnes destinataires de ses messages de prospection politique, que leurs données aient été collectées directement ou indirectement auprès d’elles.
Lorsque les données personnelles ne sont pas collectées directement auprès de la personne sollicitée, le candidat doit lui transmettre des informations quant à l’origine de celles-ci. Cette information ne peut pas être générale ou imprécise (par exemple : « vos données figurent dans les fichiers d’un partenaire ») ni erronée (par exemple : « votre numéro de téléphone provient de la liste électorale »).
Au contraire, cette information doit être précise et détaillée (par exemple : « vos données nous ont été communiquées par la société XXX avec qui nous travaillons. Vous pouvez la contacter à telle adresse »), pour permettre aux personnes concernées d’exercer leurs droits auprès de ce fournisseur.

Elle relève encore sur le principe de finalité que l’utilisation des fichiers n’est pas toujours encadrée.
Ainsi les fichiers tenus par les mairies (coordonnées laissées lors de démarches à la mairie, fichiers scolaires ou périscolaires, fichiers « évènements météorologiques », fichiers de gestion de crise sanitaire liée au COVID-19, etc.) ne peuvent pas être utilisés pour adresser de la propagande électorale aux administrés.
Il est également interdit pour un candidat dirigeant, par exemple, une société commerciale ou une association, d’utiliser le fichier de ses clients ou adhérents pour leur adresser des messages en lien avec sa campagne électorale. Un tel usage peut représenter un « détournement de finalité », puni de 5 ans d’emprisonnement et 300 000 € d’amende par le Code pénal.

Elle relève enfin que l’exercice des droits des personnes n’est pas toujours garanti ni facilité.
La CNIL rappelle que les moyens de communication utilisés doivent permettre aux personnes contactées de faire valoir leurs droits.
Le candidat doit faciliter l’exercice des droits par la personne concernée et traiter ses demandes dans les meilleurs délais, et au plus tard dans un délai d’un mois.
Concrètement, cela se traduit pour les candidats par l’insertion, dans tout envoi électronique, d’un lien permettant facilement et gratuitement de signifier son opposition à recevoir des messages ultérieurs ; la prise en compte effective et rapide des demandes exprimées ; une répercussion des demandes d’effacement au fournisseur des données.
Une demande d’opposition et d’effacement de ses données doit réellement aboutir à la suppression des données personnelles contenues dans le fichier du candidat.
De plus, une demande d’accès à ses données, et notamment à leur origine, ne doit pas amener le candidat à effacer les données de la personne concernée sans répondre à sa demande d’accès.

À partir des signalements et plaintes reçus de la part d’électeurs mécontents, la CNIL intervient auprès des candidats mis en cause, soit en leur rappelant leurs obligations, soit en effectuant des investigations sur les conditions d’utilisation des données personnelles des électeurs.

Selon la gravité des manquements constatés, les candidats s’exposent à l’ensemble des mesures correctrices de la CNIL, qui peuvent être un rappel à l’ordre, une mise en demeure ou une sanction pécuniaire.

Par ailleurs, les sous-traitants et prestataires sont désormais soumis à des obligations particulières depuis l’entrée en application du RGPD : leur responsabilité peut être engagée en cas de manquements. Dans le cadre du plan d’action pour les élections municipales 2020, des contrôles ont ainsi été réalisés auprès de prestataires de services de prospection politique et de stratégie électorale afin de prendre connaissance des conditions dans lesquelles les données personnelles sont utilisées.

Elle précise qu'elle "continuera à traiter, tout au long des élections et au-delà, les signalements qu’elle recevra ; elle poursuivra ses procédures de contrôle vis-à-vis des candidats afin d’assurer des élections respectueuses de la vie privée".
 
Source : Actualités du droit