Logiciels de prospection politique et de stratégie électorale : 5 bons réflexes pour une utilisation respectueuse des données personnelles

05 février 2020

Dans le cadre du plan d’action pour les élections municipales 2020,  des contrôles ont été réalisés auprès de prestataires de service de prospection politique et de stratégie électorale afin de prendre connaissance des conditions dans lesquelles les données à caractère personnel sont utilisées.

Les dernières élections ont mis en lumière le recours de plus en plus fréquent à des logiciels de prospection politique ou de stratégie électorale. Ces outils permettent notamment d’identifier, à partir de données sociodémographiques et des résultats électoraux précédents, les secteurs géographiques les plus intéressants en termes de prospection politique. Ils peuvent ainsi préparer l’organisation d’opérations de porte-à-porte ou la collecte des coordonnées des personnes démarchées afin de leur adresser par la suite des communications d’un candidat.

Tout d’abord, la CNIL constate que, d’une manière générale, ses précédentes recommandations en matière électorale ont été prises en compte par les candidats et leurs prestataires. Aucun manquement grave aux textes n’a été relevé.

Par ailleurs, il ressort de ces contrôles que les solutions proposées aux candidats n’offrent pas de possibilités de ciblage des électeurs aussi fines que ce qui a pu parfois être dit dans la presse à leur propos. L’absence de recours aux données issues des réseaux sociaux chez les prestataires contrôlés, l’utilisation d’outils statistiques en open data, ainsi que l’hébergement des données en France, sont autant de points positifs qui doivent être soulignés.

Afin d’encourager cette dynamique positive, la CNIL rappelle aux candidats ainsi qu’à leurs prestataires les bonnes pratiques à adopter pour respecter au mieux les données personnelles des électeurs.

  1. Maîtriser les données à caractère personnel utilisées par les logiciels de stratégie électorale et de prospection politique

Vérifier la nature et l’origine des données

Les logiciels de stratégie électorale utilisent plusieurs sources de données afin de fournir au candidat des recommandations dans la conduite de sa campagne électorale. Ces sources peuvent reposer sur l’utilisation de documents comportant des données à caractère personnel, comme les listes électorales, ou sur des données statistiques  (données sociodémographiques de l’INSEE par exemple).

Les candidats qui ont recours à ce type de logiciel doivent s’assurer de la nature et de l’origine des données utilisées par leur prestataire. En effet, tous les fichiers ne peuvent pas être utilisés à des fins électorales. Par exemple, un candidat n’a pas le droit d’utiliser le fichier des agents de la commune pour leur adresser de la prospection politique dans le cadre de sa campagne. Par ailleurs, certains fichiers sont soumis à des règles particulières. La collecte et l’utilisation des listes électorales, par exemple, sont régies par des textes spécifiques.

Minimiser la collecte de données

Les logiciels de prospection politique et de stratégie électorale fournissent également aux candidats des solutions d’optimisation des parcours de porte-à-porte. Ils peuvent également permettre de collecter des informations au cours des opérations de démarchage électoral.

Comme pour tout traitement de données à caractère personnel, la collecte de données dans le cadre des opérations de démarchage téléphonique ou de porte-à-porte doit être réduite à ce qui est strictement nécessaire.

Les candidats doivent en particulier se montrer vigilants pour éviter la collecte d’informations non pertinentes ou excessives. Une liste de mentions interdites peut, par exemple, être définie et diffusée aux équipes du candidat, pour permettre la détection (automatique ou non) des telles mentions. Il s’agit notamment d’informations sur la santé, la religion ou l’orientation sexuelle des personnes. Une revue des contacts par un superviseur avant leur intégration dans les fichiers de communication électorale est une bonne pratique à adopter.

Conserver les données pour une durée strictement nécessaire au regard des finalités du traitement

De manière générale, le candidat doit conserver la maîtrise des données traitées pour son compte par son prestataire. Les données collectées pour les besoins de la campagne électorale devant être supprimées à l’issue du scrutin, le candidat doit notamment s’assurer que l’intégralité des données concernant sa campagne  pourra être supprimée, y compris les données conservées dans les bases de données du prestataire.

 Les données des personnes ayant accepté que leurs informations soient utilisées à d’autres fins peuvent cependant être conservées au-delà de la période électorale. En pratique, il est recommandé d’organiser ces données en séparant les types de contacts  (contacts réguliers ou occasionnels notamment) pour assurer une gestion fine des durées de conservation.

  1. Informer les personnes concernées par le traitement de leurs données et recueillir leur consentement

La CNIL est régulièrement saisie par des citoyens dans le cadre de campagnes politiques. Dans la plupart des cas, les interrogations des électeurs face à certaines pratiques de prospection politique résultent d’un manque d’information dans les différents documents (tracts, courriers électroniques, etc.) fournis par les candidats. La CNIL a publié un exemple d’information pour de la prospection par un candidat ou un parti politique.

S’agissant des opérations de démarchage téléphonique et de porte-à-porte, il est indispensable de définir en amont des trames de conduite d’entretien pour s’assurer d’une bonne information des électeurs démarchés.

Le consentement des personnes à recevoir des communications politiques par voie électronique peut être recueilli à l’occasion d’un tel entretien. Il est cependant nécessaire de s’assurer du caractère éclairé de ce consentement. Une bonne pratique peut être d’adresser à la personne un courrier électronique comportant toutes les informations utiles avant l’envoi de toute communication politique. La CNIL a en outre publié deux fiches relatives à la communication politique par téléphone et par courrier électronique.

  1. Garantir l’effectivité des droits d’accès et d’opposition

Il est essentiel que les personnes démarchées par un candidat puissent exercer leurs droits « Informatique et Libertés » à tout moment, notamment pour s’opposer facilement à recevoir de nouveaux messages. La CNIL a publié une fiche rappelant les droits des électeurs.

Lorsqu’un candidat a recours aux services d’un prestataire pour sa communication électorale, le candidat doit s’assurer que la liste des personnes qui ont exercé leur droit d’opposition est bien prise en compte, notamment en cas de changement de prestataire.

  1. Encadrer la relation contractuelle entre le candidat et ses sous-traitants

Une attention particulière a été portée pendant les contrôles à l’existence de contrats de sous-traitance, et au respect des termes de ces derniers, dès lors qu’un prestataire traite des données à caractère personnel pour le compte d’un candidat.

En effet, lorsque le prestataire du candidat agit en qualité de sous-traitant au sens du RGPD, les contrats entre les parties doivent comprendre des clauses obligatoires prévues par l’article 28 du RGPD. Le guide du sous-traitant publié par la CNIL détaille par ailleurs les obligations du sous-traitant.

  1. Garantir la sécurité des données des électeurs

Les candidats doivent veiller à la sécurité des données collectées dans le cadre de leur campagne électorale et traitées dans les logiciels de prospection politique ou de stratégie électorale. Cette sécurisation est d’autant plus cruciale que de telles données sont sensibles car susceptibles de révéler l’orientation politique des personnes.

Au-delà des recommandations générales de sécurité, présentées au sein du guide de la sécurité des données personnelles, des mesures plus spécifiques à l’activité de prospection politique doivent être mises en œuvre par les candidats et leurs prestataires.

En particulier, il est indispensable de définir une politique de gestion des droits d’accès aux données pour limiter les accès aux seules personnes habilitées en raison de leurs fonctions. Par exemple, les personnes participant aux opérations de démarchage téléphonique ou de porte-à-porte doivent avoir uniquement accès aux données des personnes qu’elles démarchent. De même, les droits d’exportation des données à partir du logiciel de prospection politique ou de stratégie électorale doivent être particulièrement limités, afin de garder la maîtrise des données des électeurs. Ainsi, ces droits d’exportation peuvent être réservés au seul candidat ou à son seul directeur de campagne.

La CNIL a trop souvent constaté, par le passé, des fuites de données dues à un défaut de sécurisation de la part d’un candidat, d’une association de soutien ou d’un parti politique.

La vigilance de la CNIL se poursuivra pendant tout le processus électoral, notamment concernant l’utilisation des listes électorales et le respect des droits des électeurs.

POUR ALLER PLUS LOIN

Réaliser, le cas échéant, une analyse d’impact relative à la protection des données

Dans certaines situations, une analyse d’impact relative à la protection des données est obligatoire avant la mise en œuvre du traitement. Par ailleurs, même si une telle analyse d’impact n’est pas obligatoire, il s’agit d’une bonne pratique à adopter pour s’assurer que le traitement de données envisagé est respectueux des données personnelles et du RGPD.