Prospection politique : la CNIL sanctionne cinq candidats aux élections européennes et législatives 2024

Le contexte

Dans le cadre des élections européennes et législatives anticipées de 2024, la CNIL a mis en place un téléservice dédié, permettant aux citoyens de lui adresser des signalements concernant, notamment la réception de messages de prospection politique (« observatoire des élections »).

Les candidats à l’origine des envois visés par ces signalements ont été interrogés sur les conditions de mise en œuvre de ces traitements. Les investigations ont révélé plusieurs manquements aux règles de protection des données personnelles, entrainant cinq sanctions financières dans le cadre de la procédure simplifiée pour un montant cumulé d’amendes de 23 500 euros.

Les manquements sanctionnés

Manquement à l’obligation de pouvoir justifier de la licéité du traitement (article 5-2 du RGPD)

La CNIL a rappelé que, même quand ils décident de faire appel à une société spécialisée pour procéder à l’envoi de messages de prospection, les candidats restent responsables du traitement mis en œuvre et doivent être en mesure de démontrer sa conformité. Ils doivent ainsi pouvoir, soit apporter la preuve que les personnes concernées ont consenti à recevoir de tels messages, soit justifier que les conditions lui permettant de se fonder sur son intérêt légitime sont réunies (en démontrant notamment que les destinataires pouvaient s’attendre à recevoir ces messages).

Or, les contrôles réalisés ont mis en évidence que certains candidats n’étaient pas en mesure de fournir à la CNIL de tels éléments, en méconnaissance des obligations de l’article 5-2 du RGPD.

Manquement à l’obligation de traiter les données selon les seules finalités pour lesquelles elles ont été collectées (article 5-1-b du RGPD)

Les contrôles ont révélé que l’un des candidats sanctionnés, professionnel de santé, avait utilisé les numéros de téléphone de ses patients – recueillis pour l’organisation des consultations et leur suivi médical – afin de leur adresser un SMS promouvant sa candidature aux élections.

La CNIL a considéré qu’en utilisant des données initialement collectées dans le cadre de son activité à des fins de prospection politique, le candidat en avait fait un usage incompatible avec la finalité de leur collecte.

Manquement à l’obligation d’information des personnes (articles 12, 13 et 14 du RGPD)

La CNIL a rappelé qu’en matière de prospection politique, les candidats à une élection doivent délivrer aux personnes concernées l’ensemble des informations requises aux articles 13 et 14 du RGPD, soit lors de la collecte de leurs données, soit lors de l’envoi du premier message si ces données ont été recueillies auprès d’un tiers (listes électorales, sociétés spécialisées dans la revente de données, listing de partis politiques, etc.).

Or, les contrôles ont permis de constater que les messages ou courriers envoyés par quatre des cinq candidats sanctionnés ne comportaient aucune ou seulement une partie des informations exigées.

Manquement à l’obligation de permettre et faciliter l’exercice du droit d’opposition (article 12 et 21 du RGPD)

Deux des candidats sanctionnés n’avaient mis en place aucune procédure permettant d’assurer de manière effective l’exercice du droit d’opposition des personnes concernées, tels qu’un dispositif « STOP SMS » ou un lien permettant de refuser la réception de futurs messages de prospection.

Manquement à l’obligation de répondre à une demande d’exercice des droits (article 12, 15 et 17 du RGPD)

L’un des candidats a notamment été sanctionné pour ne pas avoir répondu à une demande d’exercice de droit. Le plaignant, destinataire d’un SMS de prospection politique, n’avait obtenu aucune réponse à ses demandes d’accès - portant notamment sur la source de ses données et sur la base légale du traitement – ainsi qu’à sa demande d’effacement.

La CNIL a, en conséquence, prononcé à l’encontre du candidat sanctionné une injonction de répondre à ces demandes.

Manquement à l’obligation d’assurer la confidentialité des données (article 32 du RGPD)

Les contrôles réalisés ont permis de constater que l’un des candidats avait adressé un courriel de prospection à plusieurs centaines de destinataires, tous adhérents d’un même parti politique, sans recourir à la fonctionnalité « cci » (copie carbone invisible), qui garantit la confidentialité des adresses électroniques.

La CNIL a considéré qu’en ne mettant pas en œuvre les mesures nécessaires pour assurer cette confidentialité dans le cadre d’un message de prospection électorale, le candidat avait méconnu les obligations de l’article 32 du RGPD. Elle a en outre rappelé que ces données, révélant les opinions politiques réelles ou supposées des personnes concernées, constituent des données sensibles au sens de l’article 9 du RGPD, rendant leur divulgation particulièrement grave.