I. ― L'application pratique des principes « informatique et libertés »
aux opérations de communication politique
Les rappels pratiques qui suivent sont valables que ces fichiers soient constitués ou utilisés par les groupements politiques (fichier de membre ou fichier loué, par exemple) et quels que soient les modes de communication choisis (voie postale, téléphonique ou électronique).
1. Licéité et loyauté de la collecte
Les partis, élus et candidats constituant ou utilisant des fichiers à des fins de communication politique doivent s'assurer que la collecte des données destinées à les alimenter est licite et loyale au sens de l'article 6 de la loi. La licéité renvoie à la possibilité juridique d'utiliser des informations. La loyauté renvoie à l'information des personnes concernées sur l'utilisation de leurs données. Ces conditions sont valables que la collecte soit effectuée directement auprès des intéressés ou de façon indirecte (coordonnées fournies par un tiers, location de fichier, etc.).
En cas de collecte directe auprès des intéressés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les éléments suivants doivent être fournis aux personnes au moment de la collecte : l'identité de la personne morale ou physique procédant à la collecte, la finalité du fichier constitué à partir des informations collectées, le caractère facultatif des réponses et le rappel des droits d'opposition, d'accès, de rectification et de suppression des données.
La collecte indirecte des informations implique une plus grande prudence pour les partis, élus et candidats, dans la mesure où elle a lieu à l'insu des personnes concernées. Il convient de fournir, dès la première prise de contact avec l'intéressé, les informations prévues à l'article 32 de la loi « informatique et libertés ».
Dans le cadre d'opérations de parrainage, la CNIL recommande d'adresser un seul et unique message (sans relance) au filleul dont le parrain a fourni les coordonnées postales, électroniques ou téléphoniques au parti ou au candidat et d'effacer les données du filleul s'il n'est pas donné suite à l'opération. Ce message devra en outre préciser l'identité du parrain et le fait que, en l'absence de réponse, ces données seront effacées dans un délai approprié.
Les mêmes recommandations s'appliquent lorsque les membres d'un parti ou soutiens d'un candidat fournissent les coordonnées de contacts professionnels ou privés (carnet d'adresses ou répertoire téléphonique). En cas d'utilisation du téléphone, toute communication doit en outre être précédée d'une information des personnes : au début de la communication téléphonique en cas d'appel, par un premier SMS si ce mode de communication est choisi.
2. Choix et respect d'une finalité déterminée
Un fichier constitué à des fins de communication politique ne peut pas être utilisé dans un autre but que celui qui a été initialement défini (article 6 de la loi « informatique et libertés » et article 226-21 du code pénal). Ainsi, un élu ou un candidat ne pourrait utiliser à des fins professionnelles le fichier qu'il a constitué à des fins de communication politique. De même, un ancien candidat ne peut pas utiliser à une autre fin un fichier constitué dans le cadre d'une campagne électorale particulière.
3. Le traitement de données sensibles
Par exception, les fichiers mis en œuvre par les organismes non lucratifs à caractère politique peuvent contenir des données dites sensibles au sens de l'article 8 de la loi. Cette exception est cependant assortie de conditions : ces données ne peuvent correspondre qu'à l'objet de l'organisme (opinions politiques) ; elles ne doivent concerner que les membres de celui-ci ou les personnes qui entretiennent avec lui des contacts réguliers ; elles ne doivent pas être communiquées à des tiers.
Il est interdit de constituer un fichier à partir de tris opérés sur la consonance des noms des personnes. Les partis, élus ou candidats ne peuvent donc pas s'adresser aux représentants réels ou supposés d'une communauté religieuse particulière, par exemple pour leur adresser un message à l'occasion d'une fête religieuse ou les appeler à soutenir tel candidat, issu de telle ou telle communauté.
En cas de publipostage (envoi simultané de courriers électroniques), le responsable de traitement doit veiller à ne pas divulguer à l'ensemble des destinataires les coordonnées électroniques des intéressés.
Les messages adressés à des prospects, quel qu'en soit le support (papier ou électronique), ne doivent contenir aucun signe distinctif faisant apparaître des données sensibles (sur l'enveloppe ou dans leur intitulé).
4. Les droits des personnes concernées
La CNIL instruit de nombreuses plaintes concernant la réception de messages à caractère politique ou les difficultés que les particuliers ou les électeurs rencontrent pour se faire radier des fichiers de communication utilisés. Elle rappelle que toute personne dispose par la loi des droits d'opposition (article 38 : s'opposer au traitement de ses données), d'accès (article 39 : obtenir la communication des informations traitées) et de rectification (article 40 : obtenir la modification des informations périmées, inexactes ou incomplètes).
La commission recommande donc que l'exercice de ces droits soit facilité par les responsables de traitement et que les personnes concernées obtiennent une réponse rapide à leurs demandes (au maximum deux mois).
La présence, sur le support de collecte des données (ou lors du premier contact en cas de collecte indirecte), d'une adresse postale ou électronique dédiée (parti, sous-traitant, permanence, etc.) contribue à faciliter l'exercice de ces droits. Il en va de même de la mise à disposition de formulaires spécifiques.
L'indication explicite de l'origine des données utilisées dans le cadre des mentions d'information constitue également une mesure facilitant l'exercice des droits des personnes. Elle leur permet de s'adresser au responsable du traitement « source » afin de faire valoir leur droit d'opposition, par exemple, évitant ainsi la répétition de demandes d'opposition ou de suppression des données.
5. Choix et respect d'une durée de conservation adaptée
La durée de conservation des informations traitées est dictée par la finalité précise du fichier considéré (fichier des membres et correspondants d'un parti, fichier des contacts ou soutiens d'un candidat ou d'un élu, etc.).
Dès lors qu'un membre d'un parti fait part de son souhait de ne plus y adhérer, les informations le concernant doivent être effacées sans délai (elles peuvent néanmoins être conservées à des fins comptables pendant le délai légal) et ne peuvent en aucun cas être utilisées à des fins de communication dans sa direction.
Lorsqu'un fichier de propagande a été constitué pour les besoins d'une campagne électorale particulière, il doit être détruit à l'issue de la consultation électorale concernée : un fichier constitué pour la campagne électorale d'une élection primaire au sein d'un parti politique ne peut être utilisé pour la campagne de l'élection nationale afférente, sauf si les personnes concernées ont donné leur accord sur ce point.
6. Sécurité et confidentialité
Afin d'aider les responsables de traitement à respecter les exigences de sécurité requises par l'article 34 de la loi « informatique et libertés », la CNIL a conçu un guide pratique consacré à la sécurité des données personnelles, disponible en ligne. Dans le cas des fichiers utilisés par les groupements politiques, elle recommande particulièrement :
― que l'accès aux fichiers soit réservé aux seuls responsables habilités du parti ou groupement, ainsi qu'aux personnels administratifs gérant les traitements ; que ces accès soient sécurisés (attribution d'un identifiant et d'un mot de passe individuels, régulièrement renouvelés) ;
― que, en cas de fin de période d'emploi de ces personnels, le groupement politique s'assure de la suppression effective de leurs permissions d'accès.
7. Les relations avec la CNIL :
formalités déclaratives et correspondant « informatique et libertés » (CIL).
Sous réserve des exceptions ci-dessous (cf. « Le fichier des membres et des correspondants des partis politiques » et « Les listes électorales »), les fichiers constitués à des fins de communication politique doivent faire l'objet d'une déclaration auprès de la commission. La norme simplifiée n° 34 permet de faciliter l'accomplissement de cette formalité : en cas de conformité à l'ensemble de ses prescriptions, une déclaration simplifiée suffit ; dans le cas contraire, une déclaration normale doit être adressée à la CNIL.
Par ailleurs, la CNIL recommande aux partis et groupements politiques la nomination d'un correspondant « informatique et libertés ». La désignation d'un CIL permet en effet de mieux veiller au respect des dispositions de la loi du 6 janvier 1978 modifiée, d'alléger les formalités déclaratives auprès de la CNIL, de bénéficier d'une relation privilégiée avec celle-ci et de proposer aux personnes fichées un interlocuteur bien identifié.
II. ― Les fichiers susceptibles d'être utilisés par un parti,
un élu ou un candidat aux fins de communication politique
A. ― Les fichiers constitués par les intéressés
Dans le cadre de leur communication politique, les partis politiques, élus et candidats peuvent utiliser les fichiers constitués par leurs soins (fichier de gestion des membres d'un parti ou des soutiens d'un candidat, par exemple). La gestion de ces fichiers doit être conforme aux principes généraux de protection des données rappelés ci-dessus ainsi qu'aux recommandations spécifiques suivantes.
1. Le fichier des membres et correspondants des partis politiques
Définition des membres et correspondants : si la qualité juridique de membre d'un parti politique est aisée à déterminer, il n'en est pas de même des personnes qui entretiennent avec un parti « des contacts réguliers dans le cadre de son activité ».
Lorsqu'il s'agit uniquement d'une démarche ponctuelle (demande d'information sur un projet ou à l'occasion d'une campagne électorale particulière, par exemple) ne débouchant pas sur des rapports réguliers, les personnes concernées ne peuvent pas être considérées comme membres ou correspondants du parti. Dès lors, les coordonnées et informations de ces personnes devront être radiées du fichier à l'issue de l'événement politique ayant justifié cette démarche. Il est cependant possible, avant de procéder à cette suppression, de solliciter la personne pour l'inciter à entretenir des contacts plus réguliers ou à devenir membre du parti. Une telle sollicitation ne doit pas être réitérée s'il n'y est pas donné suite, auquel cas les données doivent être supprimées dans un délai raisonnable.
En revanche, la commission considère que toute personne ayant accompli, auprès d'un parti, une démarche positive en vue de rapports réguliers et touchant directement à son action politique (abonnement à une lettre de diffusion, soutien financier régulier, participation aux activités ou réunions du parti, etc.) devient de ce fait un correspondant de ce parti.
Recommandations spécifiques : le simple fait de figurer dans un tel fichier fait nécessairement apparaître les opinions politiques, réelles ou supposées, des personnes concernées, informations relevant de la liberté de conscience et considérées comme sensibles au regard des principes de la protection des données.
L'exception au principe d'interdiction de traiter des informations sensibles, qui s'applique au fichier des membres et correspondants des partis politiques, doit être interprétée de manière stricte. Par exemple, un parti politique ne peut pas, sauf consentement exprès des personnes, collecter l'appartenance syndicale, ni l'opinion philosophique ou religieuse de ses membres.
En ce qui concerne les mesures de sécurité et de confidentialité physiques et logiques devant encadrer le traitement :
― en cas de fin d'habilitation d'une personne gérant le fichier de membres ou susceptible d'y accéder, le parti doit supprimer, dans les délais les plus brefs, sa permission d'accès informatique. Cette obligation est particulièrement impérieuse lorsque cette personne peut accéder à distance à la base de données du parti ;
― en cas d'utilisation du fichier des membres d'un parti par plusieurs candidats issus de ses rangs ou par différents candidats représentant plusieurs courants de celui-ci, il importe de confier à une seule personne ou entité le suivi des demandes d'opposition, qui doivent être traitées dans les meilleurs délais.
La dispense de déclaration : la gestion informatisée du fichier des membres et correspondants des partis politiques est dispensée de déclaration auprès de la CNIL, sous réserve des conditions prévues par l'article 8 de la loi du 6 janvier 1978 modifiée. La commission rappelle que cette exonération ne fait aucunement obstacle à l'exercice de ses pouvoirs de contrôle et de sanction prévus par la loi.
Cette dispense de déclaration concerne uniquement les traitements mis en œuvre aux fins de gestion interne des membres ou correspondants du parti (cotisations, information sur les activités ou les réunions, etc.) et d'organisation des élections permettant de désigner ou de renouveler le bureau ou les organes dirigeants du parti politique. Elle ne couvre pas les fichiers utilisés pour organiser les élections destinées à désigner, parmi ses membres, la tête de liste d'un scrutin à venir ou le candidat officiel du parti au moyen d'une élection dite « primaire », et ce quelles qu'en soient les modalités.
2. Les fichiers constitués à l'occasion d'élections primaires
Les élections primaires ont récemment fait leur apparition dans la vie politique française. Si ces consultations ont toutes pour but de désigner le candidat du parti en vue d'une élection à venir, elles ne concernent pas nécessairement le même corps électoral et peuvent ne pas faire appel aux mêmes modes de scrutin (vote papier ou électronique).
Trois catégories d'élection ont pu être observées ces dernières années : la « primaire fermée », réservée aux membres statutaires du parti ; la « primaire mixte », ouverte aux membres et aux personnes devenant sympathisants du parti organisateur pour y participer ; et la « primaire ouverte », à laquelle l'ensemble du corps électoral peut participer. Les garanties exigées par la CNIL étant proportionnelles aux risques d'atteinte à la protection des données personnelles, plus le corps électoral concerné est important, plus les mesures de protection à mettre en œuvre sont conséquentes.
C'est pourquoi l'exonération de déclaration prévue pour la gestion du fichier des membres et correspondants couvrant la désignation des membres dirigeants (président, trésorier, secrétaire, etc.) n'est pas applicable aux fichiers mis en œuvre pour procéder à ce type de consultations, qui ne relèvent pas de la stricte gestion des membres du parti.
En ce qui concerne les primaires « ouvertes », la commission se montre particulièrement attentive aux points suivants :
― le strict respect des droits des personnes et du droit d'opposition à figurer sur la liste des participants potentiels à cette consultation. L'exercice de ce droit doit être facilité, par exemple, par la mise en ligne d'un formulaire ad hoc, et ne doit pas être conditionné à la présentation d'autres documents qu'un titre d'identité portant la signature du titulaire ;
― l'absence d'enregistrement informatique de la participation ou de l'absence de participation des personnes invitées à se prononcer à l'occasion de cette élection ;
― la destruction du fichier des participants potentiels à cette consultation ainsi que des listes de vote et d'émargement sur support papier, dans les meilleurs délais après l'investiture officielle du candidat victorieux ;
― l'adoption de mesures de sécurité et de confidentialité strictes, notamment pour protéger l'accès informatique au fichier des participants potentiels à la primaire, stocker les listes de votes et d'émargements sur support papier entre les deux tours de scrutin ainsi qu'entre la fin du second tour et l'investiture officielle du candidat désigné du parti ou groupement.
La commission rappelle que la constitution, à l'occasion d'une telle élection, d'un fichier de personnes souhaitant être recontactées par le parti organisateur est possible, dans les conditions prévues pour les fichiers de membres et correspondants. Dans ce cas, il convient en outre de prêter une attention particulière aux points suivants : la collecte de ces coordonnées doit faire l'objet de mesures d'information spécifiques et doit être effectuée sur un support distinct des listes électorales papier utilisées pour l'élection ; elle peut donner lieu, sous réserve du consentement spécifique des personnes (qui doivent donc être recontactées individuellement), à l'enregistrement de ces données dans les fichiers de membres ou sympathisants du parti.
Le recours à un dispositif de vote électronique : sur ce point précis, la commission renvoie à sa recommandation relative à la sécurité des systèmes de vote électronique, qui a fait l'objet d'une mise à jour en 2009. Le respect de celle-ci permet de garantir la protection de la vie privée des électeurs, condition d'autant plus nécessaire lorsque le vote concerne des élections syndicales ou politiques.
3. Les pétitions et référendums locaux
Le droit des habitants d'une commune à être consultés sur les décisions qui les concernent est un « principe essentiel de la démocratie locale » (article L. 2141-1 du code général des collectivités territoriales). Il peut s'exercer par l'intermédiaire des conseils de quartier ou directement par les élus. Ces référendums, ainsi que les pétitions qui peuvent être initiées par des élus, candidats ou groupements politiques, participent ainsi de la communication politique au sens large en ce qu'elles concernent nécessairement la « vie de la cité ». Mais les données collectées à cette occasion ne sont pas nécessairement des données sensibles au sens de l'article 8 de la loi « informatique et libertés ».
En ce qui concerne les référendums locaux, l'expression d'une opinion favorable ou défavorable à l'égard d'un projet municipal (implantation d'immeubles de grande hauteur, remplacement d'un édifice public, extension de zones piétonnières, etc.) ne constitue pas une motion de confiance ou de défiance à l'égard du maire. C'est pourquoi les participants à cette consultation ne doivent pas être considérés comme des correspondants ou des sympathisants de l'élu organisateur. Par conséquent, celui-ci ne saurait enregistrer les données personnelles de ces participants dans les fichiers de membres et correspondants qu'il met en œuvre.
S'agissant des pétitions, pour les mêmes raisons, leurs signataires ne peuvent pas être considérés automatiquement comme des correspondants ou des sympathisants de l'élu, du candidat ou du parti qui en est l'initiateur. Cependant, ce peut être le cas si la pétition a pour objet de soutenir directement l'action politique d'un élu ou d'un parti.
Quel que soit l'objet d'une pétition, la commission rappelle aux signataires qu'il est possible, pour le responsable du traitement, de contacter personnellement chacun d'eux au moyen des coordonnées qu'ils ont volontairement communiquées. Cependant, une durée de conservation des données adaptée à la nature du projet visé par la pétition doit être définie.
4. Les fichiers des contacts des élus et candidats
Les fichiers constitués à des fins professionnelles par des élus et des candidats ne peuvent pas être utilisés à des fins de communication politique. Il en est de même des fichiers auxquels ces personnes ont accès du fait de leur mandat (liste du personnel d'une collectivité, annuaire de messagerie professionnelle de ces mêmes agents, etc.). Pour rappel, les fichiers de communication constitués en vue d'une élection particulière ne sauraient, sauf accord des personnes concernées, être conservés au-delà de cette échéance ou utilisés à d'autres fins.
La commission appelle particulièrement l'attention des élus ou candidats sur la vigilance à porter aux fichiers constitués par l'intermédiaire de tiers. Elle instruit en effet de nombreuses plaintes de personnes s'étonnant d'être destinataires de messages politiques d'élu ou de candidat. C'est pourquoi la CNIL rappelle l'obligation de faire figurer, dans les messages adressés par les élus ou candidats, la mention de l'origine des données ainsi que les informations pratiques permettant aux destinataires de s'opposer à la réception de nouveaux messages. A cet égard, elle recommande la présence d'un lien de désabonnement en cas de courriels et la mise en place d'un dispositif « Stop prospection » en cas d'utilisation de SMS (cf. infra).
B. ― Les fichiers « externes » utilisables par les intéressés
Dans le cadre de leur communication politique, les partis politiques, élus et candidats peuvent également utiliser des fichiers constitués par d'autres organismes ou responsables de traitement. La gestion de ces fichiers doit être conforme aux principes généraux de protection des données rappelés ci-dessus ainsi qu'aux recommandations spécifiques suivantes.
1. Les fichiers du secteur public
La CNIL rappelle que, par principe, l'utilisation des fichiers du secteur public à des fins de communication politique est interdite. Ainsi, les données personnelles collectées et enregistrées par une administration ou une collectivité locale dans le cadre de ses missions de service public ne peuvent pas être utilisées à des fins de communication politique, menée par un élu membre de la collectivité ou un candidat à une élection.
Par exemple, les fichiers de l'état civil ne peuvent être utilisés à cette fin, de même que le répertoire SIRENE. Le guide pratique de la CNIL relatif aux collectivités locales présente les fichiers qui peuvent être utilisés à des fins de communication municipale par les élus. Toute utilisation de fichiers publics à des fins de communication politique est susceptible de constituer un détournement de finalité, infraction pénalement réprimée par l'article 226-21 du code pénal.
Cette prohibition de principe connaît deux exceptions principales : les listes électorales et le fichier national des élus et des candidats. De plus, les données publiques peuvent également être utilisées aux fins de communication politique.
a) Les listes électorales :
Un principe général de communication : l'article L. 28 du code électoral permet expressément à tout électeur, candidat et parti ou groupement politique de prendre communication et copie de la liste électorale. L'objectif de cette disposition est de garantir la transparence et l'honnêteté des opérations électorales.
En ce qui concerne spécifiquement les candidats, partis et groupements politiques, la commission rappelle que cet accès à la liste électorale n'est pas limité dans le temps aux périodes de propagande officielle ou dans son objet à la seule communication politique lors d'élections nationales ou locales. Ainsi, un parti politique peut utiliser la liste électorale pour chercher de nouvelles sources de financement ou organiser une consultation des électeurs dans le cadre, par exemple, d'une élection primaire. Les maires, gestionnaires des listes électorales communales pour le compte de l'Etat, ne peuvent pas s'opposer à la transmission de ces informations à un organisme ou à une personne physique remplissant les conditions de délivrance posées par le code électoral. Cette transmission n'est pas subordonnée au recueil du consentement de chaque électeur ou à son information, celui-ci ne pouvant pas davantage s'opposer à cette transmission.
La jurisprudence administrative a précisé les conditions de communication et de délivrance de copie de la liste électorale : elle peut intervenir sur support informatique, à la condition que le maire offre cette facilité à tous les demandeurs, et peut être facturée au prix de ce mode de reproduction.
Les mêmes conditions d'accès s'appliquent au maire lorsqu'il souhaite utiliser la liste électorale au soutien de sa candidature à sa propre réélection ou à un autre mandat.
Les conditions d'utilisation. Les listes électorales dressées pour chaque bureau de vote comprennent obligatoirement les informations suivantes : nom, prénoms, nationalité, date et lieu de naissance, adresse de domicile ou résidence des électeurs. La CNIL admet les tris opérés à partir de la liste électorale selon l'âge ou le bureau de vote de rattachement des électeurs afin d'effectuer une opération de communication politique ciblée. Elle rappelle cependant que les tris sur la base de la consonance du nom des électeurs ainsi que de leur lieu de naissance, afin de s'adresser à eux en raison de leur appartenance, réelle ou supposée, à telle communauté ethnique ou religieuse, ne sont pas autorisés.
Si, lors d'élection à deux tours de scrutin, la relance des abstentionnistes après la clôture du premier tour de scrutin constitue un usage admis, la commission rappelle que cette possibilité ne doit pas aboutir à la constitution de fichiers d'abstentionnistes. Les informations collectées à cette fin doivent donc être détruites à l'issue du second tour.
Enfin, elle rappelle que les fichiers utilisés à des fins de communication politique et constitués uniquement à partir des informations figurant sur les listes électorales sont exonérés de déclaration auprès de la CNIL.
Le cas particulier des listes électorales consulaires : à l'instar de la liste électorale, « tout électeur peut prendre communication et copie de la liste électorale consulaire sur laquelle il est inscrit » (article L. 330-4 du code électoral). Cependant, la liste consulaire peut comporter, en plus des indications de la liste électorale, l'adresse électronique de l'électeur.
Il ressort clairement des travaux parlementaires que la collecte de cette donnée supplémentaire a uniquement pour but de faciliter la diffusion d'informations relatives aux scrutins, en permettant un contact entre les ambassades et les consulats et les Français établis hors de France. Dès lors, la commission estime que si les listes électorales consulaires peuvent être utilisées comme les listes électorales traditionnelles à des fins de communication politique, les conditions d'utilisation de l'adresse électronique des Français de l'étranger doivent être distinguées. Tout comme pour les fichiers de prospection commerciale, la commission recommande que l'utilisation des adresses électroniques de ces personnes à des fins de prospection politique soit subordonnée à leur consentement (cf. infra).
b) Le fichier national des élus et des candidats :
Créé par le décret n° 2001-777 du 30 août 2001 modifié, ce répertoire, tenu par le ministère de l'intérieur, recense les candidats et élus français, leurs suppléants ainsi que les personnes appelées, le cas échéant, à les remplacer. L'étiquette politique choisie par le candidat ainsi que la nuance politique, retenue par le ministère pour l'enregistrement des résultats de l'élection, figurent parmi les informations enregistrées dans ce fichier.
Toute personne, sur simple demande, peut obtenir communication des informations figurant dans ce répertoire, à l'exception des coordonnées postales et téléphoniques des intéressés. Aucune restriction à l'utilisation de ces informations n'étant prévue, cette liste publique librement communicable peut donc être utilisée à des fins de communication politique, dans le respect des conditions prévues par la loi « informatique et Libertés ».
c) La réutilisation des données publiques issues de documents administratifs :
La loi du 17 juillet 1978 modifiée, dite « loi CADA », prévoit expressément un principe général de réutilisation des informations publiques issues de documents administratifs, quel que soit le support de ces derniers. Dans le cas où ces informations contiennent des données à caractère personnel, conformément à l'article 13 de cette loi, leur réutilisation est subordonnée aux conditions suivantes :
― la personne concernée doit avoir préalablement consenti à cette réutilisation ;
― ou l'administration détentrice des informations doit être en mesure de les rendre anonymes ;
― si cette anonymisation s'avère impossible, seule une disposition législative ou réglementaire peut permettre cette réutilisation ;
― en toute hypothèse, cette réutilisation est subordonnée au respect des dispositions de la loi « informatique et libertés ».
Sous réserve de ces conditions, il est donc possible d'utiliser des informations publiques dans le cadre d'opérations de communication politique. Dans la mesure où une telle réutilisation s'appuie sur une collecte indirecte de données personnelles, la commission appelle particulièrement l'attention sur les demandes ultérieures d'opposition des personnes démarchées, qui doivent être facilitées et traitées à bref délai.
2. Les annuaires des abonnés et des utilisateurs du téléphone
L'article L. 34 du code des postes et des communications électroniques a posé le principe de l'établissement des annuaires universels des abonnés et des utilisateurs du téléphone, et les articles R. 10 et suivants du même code en précisent les conditions d'application. Toute personne ayant souscrit un abonnement à un service téléphonique au public a le droit de figurer gratuitement sur les annuaires d'abonnés ou d'utilisateurs.
Tous les abonnés à un service de téléphonie fixe figurent sur les listes que les opérateurs transmettent aux éditeurs d'annuaires, sauf s'ils ont demandé à ne pas y être mentionnés (« liste rouge »). Les abonnés et utilisateurs de la téléphonie mobile ou par « VoIP » (pour Voice over IP, la voix sur IP) ne figurent dans l'annuaire qu'après recueil de leur consentement préalable.
Les personnes inscrites dans les annuaires peuvent obtenir gratuitement de leur opérateur que les données les concernant ne soient pas utilisées dans des opérations de prospection directe tant par la voie postale que par celle des communications électroniques (liste anti prospection, anciennement connue sous le nom de « liste orange »). La commission estime que ces conditions doivent s'appliquer également aux opérations de prospection politique.
Ainsi, les listes et annuaires des abonnés à la téléphonie fixe et mobile peuvent être utilisés à cette fin, sous réserve du respect des droits prévus par le code des postes et des télécommunications et par la loi du 6 janvier 1978 modifiée.
En revanche, les annuaires internes à des organismes, compte tenu de la finalité de leur création, ne peuvent pas être utilisés à des fins de prospection ou de propagande politique.
3. Les fichiers du secteur privé
Les fichiers du secteur privé, non constitués directement par les groupements politiques peuvent néanmoins être utilisés à des fins de communication politique. Les trois principes suivants en guident l'utilisation :
Seuls les fichiers loués ou cédés à des fins de prospection commerciale (fichiers de clients ou de prospects) peuvent être utilisés par un candidat, un élu ou un parti politique. En aucun cas, les fichiers de gestion interne (par exemple, les fichiers de gestion et de paie du personnel) ne peuvent être utilisés à des fins de communication politique.
Le groupement politique est responsable de traitement au sens de la loi « informatique et libertés » pour les fichiers utilisés dans le cadre d'une opération de communication politique, même s'il fait appel à une société de services extérieure chargée d'organiser ou de réaliser cette opération.
La sélection des personnes à démarcher, notamment sur la base de leur centre d'intérêt (par exemple, la politique), de leur âge ou de leur résidence géographique est possible, mais il est à nouveau rappelé qu'elle ne doit pas se baser sur la consonance des noms des personnes ou sur leur lieu de naissance et ne doit pas faire apparaître les origines raciales ou ethniques ou les opinions politiques, réelles ou supposées, des personnes concernées.
Le recours aux fichiers de prospection commerciale, compte tenu de la particularité des opérations de prospection politique, est, en outre, subordonné aux deux conditions suivantes :
L'information des personnes doit être renforcée, lors de la collecte des données ainsi que lors de la réception du message.
Les personnes concernées doivent, être averties, lors du recueil de leurs données par le détenteur du fichier dont l'utilisation est envisagée, de la possible utilisation de leurs données à des fins de prospection politique. Le parti ou groupement politique, l'élu ou le candidat responsable de traitement est tenu de s'assurer, par exemple par l'insertion de clauses spécifiques dans le contrat de location du fichier dont l'utilisation est envisagée, du respect de cette condition.
Les personnes doivent, en outre, être informées de leur droit de s'opposer à cette utilisation et à la transmission à des tiers (en l'espèce, parti ou groupement à caractère politique, candidat ou élu) de leurs données par un moyen simple et immédiat, une case à cocher, par exemple.
Il convient, en outre, que le message adressé aux personnes sollicitées, quel que soit le support utilisé, précise de manière claire et visible : l'origine du fichier utilisé ; la possibilité de s'opposer, à tout moment, à recevoir de tels messages, en indiquant la procédure à suivre ; le cas échéant, le fait que le responsable de traitement a fait appel à un prestataire extérieur.
S'agissant de ces demandes d'opposition, la commission rappelle qu'elles ne peuvent donner lieu à l'établissement, par le parti ou groupement politique, l'élu ou le candidat, d'une liste rouge des personnes ne souhaitant plus être démarchées.
La possibilité de transmettre les informations du fichier initial à des fins de communication politique doit avoir été prévue lors de la déclaration auprès de la CNIL du traitement par l'organisme privé, et ce quelle que soit la forme de cette transmission (cession, location, échange, don, etc.).
Si cette possibilité n'a pas été envisagée lors de constitution initiale du fichier, une déclaration modificative peut être déposée auprès de la CNIL. Cette formalité doit s'accompagner de l'information des personnes concernées (cf. ci-dessus) afin qu'elles soient en mesure de s'opposer à la transmission de leurs coordonnées. Il n'est pas nécessaire de procéder à autant de déclarations modificatives qu'il y a d'organismes destinataires de ces données, mais les personnes concernées doivent en revanche être informées de l'identité de chacun d'eux.
III. ― Recommandations spécifiques à l'égard de certaines modes de communication
Les campagnes de communication opérées par les partis politiques, élus ou candidats s'appuient de plus en plus sur l'utilisation de nouvelles techniques de communication courriers électroniques, téléphones portables (appels, envois de SMS ou de MMS, utilisation des fonctionnalités Bluetooth), et, de nouveaux supports d'expression, tels que la vidéo en ligne, les réseaux sociaux, les forums de discussion, les blogs, les podcasts et même les jeux vidéo en ligne.
A. ― L'utilisation du téléphone
L'utilisation des SMS et MMS : l'article L. 34-5 du code des postes et des communications électroniques pose le principe du consentement préalable concernant la prospection directe, entendue au sens de prospection commerciale, au moyen de systèmes automatisés d'appel ou de communication. Face au silence de la loi concernant la prospection politique, la commission estime que ce régime de consentement préalable doit également s'appliquer aux opérations de prospection politique opérées au moyen de l'envoi de SMS et de MMS.
Trois cas sont à distinguer :
― en cas de collecte directe, par les partis ou groupements politiques, élus ou candidats, des numéros de téléphone portable des intéressés, ceux-ci doivent consentir expressément à recevoir des messages de communication politique (par l'intermédiaire de cases à cocher par exemple : « Oui, j'accepte de recevoir par téléphone des informations ou des sollicitations de votre part ») ;
― en cas de collecte indirecte par ces mêmes responsables de traitement (fichiers de contacts des membres, par exemple), dans la mesure où le recueil du consentement n'apparaît pas matériellement possible, ces organismes devront renforcer l'information des personnes concernées dès la première prise de contact (cf. infra) ;
― en cas d'utilisation de bases de données non constituées par ces responsables de traitement (recours à des prestataires extérieurs), la commission recommande de n'utiliser que des fichiers de personnes ayant exprimé leur consentement à être démarchées par ce moyen (fichiers « opt-in »). Le consentement devant être entendu comme une manifestation de volonté libre, spécifique et informée, la finalité de prospection politique doit être explicitement citée (par exemple, par les cases à cocher : « Oui, j'accepte de recevoir par téléphone des sollicitations de vos partenaires commerciaux, d'associations ou de groupements à caractère politique » ; ou : « Oui, j'accepte de recevoir par téléphone des sollicitations à caractère commercial ou politique »).
Les prestataires doivent appliquer cette recommandation à toutes les bases de données qu'ils entendent constituer dorénavant, en vue de leur mise à disposition aux fins de prospection politique.
En ce qui concerne les bases de données déjà constituées par ces prestataires et qui ne sauraient donc être enrichies sans recueil du consentement, la commission recommande d'informer les personnes concernées de cette nouvelle possibilité d'utilisation de leur numéro de téléphone portable.
Dans les deux cas précités où le recueil du consentement des personnes s'avère matériellement impossible, la commission recommande qu'un premier message soit adressé sur les téléphones portables des intéressés afin de les informer que ces informations sont dorénavant susceptibles d'être utilisées à des fins de prospection politique et de la faculté qu'elles ont de s'y opposer.
Au regard de la difficulté posée par le format des SMS et des MMS en ce qui concerne les éléments d'information à fournir, la commission estime que ces deux seules mentions sont suffisantes. En ce qui concerne le droit d'opposition des personnes, elle rappelle qu'il convient de proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations : par exemple, par l'utilisation d'un numéro de téléphone non surtaxé par lequel il est possible de se désinscrire, indiqué à la fin du message, ou par la mise d'un dispositif « Stop prospection », en laissant un délai raisonnable aux personnes concernées pour exercer ce droit.
En outre, à chaque réception d'un SMS ou MMS à caractère prospectif, les personnes concernées doivent être a minima informées de l'identité du responsable de traitement qui opère la prospection politique et du moyen de s'y opposer.
Les automates d'appel : un automate d'appel est un appareil permettant de déclencher par programme un grand nombre d'appels téléphoniques simultanés afin de délivrer un message préenregistré. De même que pour les SMS et MMS, la commission estime que l'utilisation de ces automates d'appel est possible sous réserve du recueil du consentement à l'utilisation des numéros de téléphone aux fins de prospection politique.
Ce consentement préalable devra, en outre, porter sur une plage horaire spécifique prédéterminée. Contrairement à l'utilisation des SMS et des MMS, et compte tenu du caractère fortement intrusif des automates d'appel, la CNIL considère qu'aucune exception au principe de recueil du consentement des intéressés à faire l'objet d'une prospection politique par cette voie ne peut être invoquée par les responsables de traitement. Ainsi, en cas de collecte indirecte par des organismes à caractère politique ou d'utilisation de bases de données déjà constituées par des prestataires, il reviendra de recueillir expressément ce consentement.
Les messages préenregistrés n'étant pas soumis aux mêmes contraintes de format que les SMS ou MMS, les responsables de traitement devront s'assurer que ces messages contiennent toutes les mentions d'information prévues par la loi « informatique et libertés » et précisées dans la présente recommandation, quel que soit le type de fichier utilisé (mis en œuvre par l'organisme politique ou mis à disposition par un prestataire). En ce qui concerne la possibilité et les modalités prévues pour s'opposer à la réception de tels messages, la CNIL recommande qu'elles soient précisées dès le début du message préenregistré.
Elle rappelle enfin aux abonnés à la téléphonie fixe et mobile qu'ils peuvent s'inscrire sur les listes d'opposition susmentionnées (cf. « Précisions sur l'utilisation des annuaires ») s'ils ne souhaitent faire l'objet d'aucune sollicitation par voie téléphonique.
La technologie Bluetooth : suivant le même raisonnement que pour les opérations de prospection effectuées par envoi de SMS et de MMS, la position de la commission s'agissant de l'envoi de messages publicitaires par Bluetooth doit également s'appliquer aux messages de prospection politique. Ainsi, la CNIL recommande le recueil du consentement préalablement à l'envoi de messages à caractère politique via Bluetooth.
Elle rappelle en effet que les dispositions de la loi « informatique et libertés » sont applicables au traitement des données techniques utilisées dans le cadre du protocole de communication Bluetooth (l'adresse physique de l'interface du portable, dite « MAC » adresse) et de l'identifiant Bluetooth du téléphone portable, qui constituent des données à caractère personnel. L'envoi de messages publicitaires sur des téléphones mobiles via la technologie Bluetooth doit être assimilé à une prospection directe au moyen d'un courrier électronique. La commission considère que la possibilité de s'opposer à l'établissement d'une connexion Bluetooth n'est pas une modalité satisfaisante du recueil du consentement préalable des personnes.
En outre, l'envoi systématique de messages publicitaires à tous les utilisateurs se trouvant dans la zone de couverture d'une affiche ne doit pas être la règle. C'est pourquoi, en matière de prospection politique comme de prospection commerciale, la commission recommande de ne mettre en œuvre que des solutions permettant aux seules personnes réellement intéressées par le contenu prospectif d'être sollicitées. Il convient, par exemple, de conditionner l'envoi du message prospectif au fait d'approcher de quelques centimètres le téléphone portable de l'affiche déclenchant la connexion Bluetooth, ce qui atteste de la volonté et du consentement de la personne concernée.
B. ― L'utilisation des adresses électroniques
Le consentement préalable doit être nécessairement recueilli : l'alignement des régimes juridiques encadrant la prospection commerciale et la prospection à caractère politique a été préconisé par la CNIL dès sa recommandation de 2006. Elle rappelle ainsi que les opérations de prospection politique effectuées par voie électronique doivent utiliser des fichiers « opt-in ».
Dans sa recommandation de 2006, la CNIL avait admis la nécessité de prévoir un régime transitoire pour les bases de données déjà constituées par les prestataires qui, nécessairement, n'avaient pas recueilli le consentement préalable des personnes concernées. Il avait ainsi été admis que les gestionnaires souhaitant proposer la location de leur base à des fins de prospection politique adressent uniquement un courrier électronique à chacune des personnes présentes dans leur base pour les informer que leur adresse électronique serait dorénavant susceptible d'être utilisée à des fins de prospection politique et de la faculté qu'elles avaient de s'y opposer. Or, il semble qu'une confusion s'est établie, tant chez les prestataires que les responsables de traitement, entre recueil du consentement et information des personnes.
La commission rappelle dès lors que recueil du consentement et information des personnes ne constituent en aucun cas des conditions alternatives. Aucune base de données ne doit, depuis 2006, être constituée sans recueillir le consentement des personnes à être démarchées par voie électronique. En revanche, les bases de données constituées avant 2006 peuvent être utilisées à des fins de prospection politique si chaque personne a été individuellement informée de cette nouvelle utilisation.
Elle rappelle également que ce consentement doit être spécifique et informé : la finalité de prospection politique doit être explicitement citée lors de la collecte des adresses électroniques (cf. exemples de case à cocher pour les SMS).
A cet égard, elle estime qu'en cas de collecte de l'adresse électronique ainsi que des numéros de téléphone portable, le consentement à être démarché à des fins de communication politique doit être distingué pour ces deux modes de communication.
En ce qui concerne l'information des personnes lors de la réception des messages électroniques, la commission souligne que les courriers électroniques permettent de fournir toutes les mesures d'information nécessaires, qui sont rappelées dans la présente recommandation. En particulier, elle rappelle la nécessité de mentionner l'origine des données ainsi que les informations pratiques permettant aux destinataires de ces messages de s'opposer à la réception de nouveaux messages, sous la forme par exemple de liens de désabonnement qui permettent de faciliter l'exercice du droit d'opposition.
Les demandes d'opposition ne doivent pas donner lieu à l'établissement, par le parti ou groupement politique, l'élu ou le candidat, d'une liste rouge des personnes ne souhaitant plus être démarchées. Il revient donc au prestataire chargé de l'opération de prospection politique de gérer ce fichier des oppositions, en évitant toute indication susceptible de révéler indirectement les opinions politiques des personnes, par exemple la campagne à l'origine de la demande de désinscription.
Cependant, la commission estime que la trace informatique, dans les outils de routage et les bases techniques intermédiaires, du nom de la campagne à l'origine de ce désabonnement, ne méconnaît pas cette recommandation, sous réserve de prévoir une durée de conservation appropriée de ces traces (maximum six mois), d'une part, et de s'assurer qu'aucun traitement spécifique de cette information n'est effectué, d'autre part.
Recommandations diverses : la CNIL rappelle que des mesures de sécurité et de confidentialité supplémentaires doivent être prévues en cas d'utilisation de courriers électroniques, telles que le masquage des adresses électroniques ou le recours à des moyens de cryptage.
Elle rappelle également que les messageries professionnelles des fonctionnaires territoriaux, auxquelles peuvent notamment avoir accès des élus, ne doivent pas être utilisées par ces derniers aux fins de communication politique, à moins que ces fonctionnaires en aient manifesté la volonté.
C. ― L'utilisation des informations disponibles sur internet
De plus en plus, la communication politique s'appuie sur les fonctionnalités offertes par le réseau internet. La vie politique a ainsi été transformée par l'apparition de nouveaux supports d'expression, tels que la vidéo en ligne, la WebTV, les réseaux sociaux, les applications pour smartphone, les plates-formes participatives et forums de discussion, les blogs, sites web institutionnels et personnels, les liens hypertextes qui y figurent, les listes de diffusion, les podcasts, les jeux vidéo en ligne ou encore l'achat de mots-clés sur Google Adwords. Cependant, l'utilisation de ces supports de communication ne relève pas nécessairement des dispositions de la loi du 6 janvier 1978 modifiée.
Applicabilité de la loi « informatique et libertés » : la collecte de données à caractère personnel via ces nouveaux outils de communication ainsi que leur utilisation à des fins de prospection politique sont soumises à l'ensemble des conditions présentées dans cette recommandation. Lorsque les partis et groupements politiques recourent à des plates-formes de communication en ligne (de type réseau social ou site de microblogging) à des fins de prospection politique, de collecte et d'utilisation de données à caractère personnel, ils deviennent en effet responsables de traitement et doivent alors en assumer toutes les obligations.
Un parti politique ou un élu ou candidat peuvent par exemple être titulaires de compte Facebook, adresser à leurs partenaires des « tweets » via le réseau social Twitter, éditer des applications mobiles ou encore tenir des blogs personnels ou institutionnels, sans que les dispositions de la loi « informatique et libertés » leur soient applicables. Mais dès lors que les informations auxquelles ils peuvent avoir accès par ces biais sont utilisées aux fins de prospection politique ou de communication ciblée, l'ensemble des conditions décrites dans la présente recommandation ont vocation à s'appliquer.
Recueil du consentement des personnes en cas de collecte des numéros de téléphone et de l'adresse électronique : les responsables de traitement doivent recueillir le consentement des personnes dont ils ont pu collecter les adresses électroniques ou les numéros de téléphone portable ou fixe grâce à l'utilisation de tels outils, s'ils souhaitent les utiliser aux fins de communication politique.
Recueil du consentement exprès des personnes en cas de collecte de données sensibles : de manière plus générale, l'enregistrement dans un traitement distinct ou l'utilisation de données accessibles via ces outils de communication à des fins de communication politique sont conditionnés par le recueil du consentement exprès des personnes concernées.
Dans ces deux hypothèses (données sensibles, coordonnées téléphoniques ou électroniques), une attention particulière doit être portée aux données concernant les mineurs, qui utilisent beaucoup ces nouveaux outils de communication. A cet égard, la CNIL recommande de ne pas utiliser de telles données relatives aux mineurs, collectées via internet, à des fins de communication politique.
Information et opposition des personnes : outre les obligations précisées dans la présente recommandation, la commission recommande, lors de l'inscription d'un utilisateur à une application smartphone, à un compte, un profil ou une page d'un réseau social, créé par un parti ou une personnalité politique, de préciser explicitement :
― si cette inscription est visible par tous ;
― si cette inscription permet au responsable de traitement d'utiliser toutes les fonctionnalités offertes par le réseau social, comme le « mur Facebook », la messagerie interne du réseau ou le fil d'actualité Twitter ;
― qu'il est possible de régler en conséquence les paramètres de confidentialité du compte de l'utilisateur.
Conclusion
Au regard des importantes échéances électorales à venir, la commission souhaite, par la présente recommandation, rappeler ses positions en matière d'utilisation de traitements de données à des fins de communication politique, afin que les responsables de traitement, les prestataires auxquels ils peuvent faire appel ainsi que les personnes concernées soient plus clairement informés des obligations et des droits qu'ils tiennent de la loi « informatique et libertés ».
Ces recommandations seront précisées et rendues plus concrètes par la mise à jour du guide pratique de la CNIL consacré à l'utilisation des fichiers dans le cadre d'activités politiques. La commission rappelle enfin que, conformément à l'article 11 de la loi du 6 janvier 1978 modifiée, elle se tient à la disposition des partis et groupements politiques, des élus ou candidats, afin de les conseiller s'ils envisagent de mettre en œuvre des traitements de données à caractère personnel à cette fin.