À la veille de nouvelles échéances électorales, la CNIL publie six guides pratiques pour aider les partis politiques, candidats et équipes de campagne à encadrer leurs stratégies de communication. Le contexte a changé. Le règlement 2024/900 sur la transparence et le ciblage de la publicité à caractère politique, pleinement applicable depuis le 15 octobre 2025, complète le RGPD et redessine les limites du ciblage numérique. Les nouvelles obligations touchent à la transparence des messages, au périmètre du ciblage, à la traçabilité et à la responsabilité des acteurs.
Les six fiches de la CNIL décodent les points sensibles d’une campagne électorale moderne : constitution de fichiers, utilisation des listes d’électeurs, interdictions claires, exploitation de fichiers privés, et partage des rôles entre responsables et sous-traitants. En fil rouge, un principe domine : la protection des données n’est pas une option mais une condition de confiance démocratique. Les équipes qui anticipent, documentent et sécurisent leurs choix gagnent en efficacité sans s’exposer. Ce dossier factuel expose les enjeux du nouveau cadre, détaille les apports des fiches, et propose des méthodes opérationnelles pour des pratiques numériques correctes sur les réseaux sociaux et au-delà. L’objectif est simple : concilier impact électoral et cybersécurité politique, sans flou juridique.
Règlement 2024/900 et RGPD : nouvelles exigences pour une communication politique responsable
Le règlement 2024/900 s’articule avec le RGPD pour renforcer l’encadrement de la communication politique en ligne. Il impose des exigences spécifiques à la publicité politique, à la fois sur la transparence et sur le ciblage. Ainsi, toute annonce qui vise à influencer un vote, un comportement civique ou une perception d’un acteur public doit être signalée de manière claire, visible et permanente.
La CNIL est désignée autorité compétente pour l’application de certains articles, dont les articles 18 et 19, qui encadrent strictement l’usage des données personnelles à des fins politiques. Dans ce cadre, les acteurs doivent tracer les décisions de ciblage, vérifier la licéité des sources de données, et conserver des preuves d’information fournie aux personnes. Ce contrôle s’inscrit dans un effort européen coordonné, avec des lignes directrices publiées par la Commission et des travaux du CEPD en cours.
Définitions, périmètre et rôles des autorités
La notion de publicité politique couvre les messages sponsorisés émis par des partis, des candidats, des structures de soutien, mais aussi par des tiers dès lors qu’ils poursuivent une finalité d’influence électorale. Elle inclut les campagnes de sensibilisation politique, qu’elles soient diffusées sur des réseaux sociaux, des moteurs de recherche ou des médias en ligne. En revanche, les « activités internes » (par exemple l’information des adhérents) sont traitées à part, à condition qu’elles ne débordent pas vers le grand public.
Les obligations de transparence se matérialisent par des mentions visibles, un lien vers une page explicative, la possibilité pour l’utilisateur d’identifier l’acheteur et l’initiateur du message, ainsi que les grands critères de ciblage. Par ailleurs, le recours à des données sensibles (opinions politiques, religion, origine, santé, etc.) à des fins de ciblage est prohibé. Des mécanismes de vérification d’âge et de géolocalisation peuvent être requis par les plateformes, selon les formats et les pays ciblés.
Pour structurer une conformité robuste, il est conseillé d’établir un registre précis des campagnes, de documenter les décisions clés et de prévoir des circuits de validation. Une équipe de campagne peut s’appuyer sur un DPO partagé au niveau du parti, tout en désignant un référent local chargé de la qualité des données et de la preuve de conformité.
- Transparence : affichage « publicité politique », identité de l’acheteur, lien d’information, critères de ciblage.
- Traçabilité : registre des campagnes, horodatage, conservation des maquettes et audiences.
- Licéité : exclusion des données sensibles, bases juridiques claires, respect des droits.
- Responsabilité : répartition des rôles avec les agences et plateformes, contrats RGPD.
- Vérifications : audit des sources, revue de sécurité, tests d’opt-out et d’effacement.
| Acteur | Obligations clés | Sanctions possibles | Références |
|---|---|---|---|
| Parti/candidat | Transparence des annonces, bases licites, registres, réponse aux droits | Amendes RGPD, injonctions, retrait de contenus | RGPD, Règlement 2024/900, articles 18 et 19 |
| Agence média | Contrats de sous-traitance, preuves de ciblage, sécurité | Responsabilité conjointe possible, audits | Art. 28 RGPD, obligations transparence |
| Plateforme | Étiquetage, bibliothèques d’annonces, outils d’opposition | Sanctions des autorités, obligations de retrait | Règlement 2024/900, politiques internes |
| Éditeur presse | Mentions claires, archivage, vérification de l’annonceur | Blâme, amendes, suspension de diffusion | RGPD, règlement transparence |
La qualification précise d’une annonce reste déterminante. Une erreur de qualification peut exposer à des retraits et à des plaintes. Mieux vaut instaurer un contrôle éditorial en amont et un canal d’alerte interne en cas de doute.
Ce premier cadre éclaire la suite : les six fiches publiées par la CNIL traduisent ces exigences en gestes concrets pour les équipes de terrain.
Six guides pratiques de la CNIL : de la théorie à l’action pour les partis politiques
Les six fiches proposées par la CNIL ciblent les opérations les plus fréquentes d’une campagne électorale. Elles servent d’outil de cadrage et de formation rapide pour les équipes, les bénévoles et les agences partenaires. En adoptant ces repères, une organisation réduit ses risques, structure ses flux de données et clarifie sa gouvernance.
Panorama et cas d’usage
Chaque fiche se concentre sur un bloc de pratique. Ensemble, elles forment une cartographie opérationnelle simple, avec des exemples, des limites et des garde-fous. Une équipe locale peut s’y référer au quotidien, notamment pendant les phases d’intense diffusion sur les réseaux sociaux.
- 1. Outils de communication politique : règles en cas de ciblage publicitaire en ligne et pour les autres canaux (SMS, e-mail, tractage).
- 2. Fichiers de communication politique : constitution et usage des fichiers d’adhérents et de sympathisants, y compris en primaire.
- 3. Listes d’électeurs : conditions d’accès, objectifs autorisés, garanties et limites.
- 4. Fichiers interdits : bases proscrites, détournements d’usage à bannir, exemples à éviter.
- 5. Fichiers du secteur privé : précautions, contractualisation, vérification des consentements.
- 6. Responsabilité des acteurs : rôles, contrats de sous-traitance, documentation et audits.
| Fiche | Objectif | Questions clés | Erreurs fréquentes |
|---|---|---|---|
| Outils | Maîtriser ciblage et formats | Annonces politiques ? Mentions ? Audience ? | Absence d’étiquetage, ciblage trop fin |
| Fichiers | Collecter et tenir à jour | Base juridique ? Durées ? Droits ? | Données obsolètes, absence de registre |
| Listes électeurs | Utiliser sous conditions | Finalités autorisées ? Accès ? | Réutilisation non prévue, partage externe |
| Fichiers interdits | Éviter les détournements | Origine des données ? Sensibilité ? | Reprise de bases caritatives ou scolaires |
| Secteur privé | Évaluer la licéité | Consentement ? Contrat ? Preuves ? | Achat de leads flous, manque de due diligence |
| Responsabilités | Clarifier les rôles | RT/CoRT ? Sous-traitants ? | Contrats incomplets, sécurité négligée |
Un exemple concret illustre l’approche : la coalition fictive Cap Cité prépare un scrutin local avec une stratégie multicanale. Son équipe applique la fiche « Outils » pour classer chaque diffusion : stories sponsorisées (étiquetées « publicité politique »), newsletters d’adhérents (activité interne), SMS d’invitation à un meeting (prospection politique). Chaque action est documentée, avec un lien vers la note d’information et un mécanisme de désinscription.
La fiche « Fichiers du secteur privé » sert de garde-fou. Avant d’acheter une base d’adresses d’une régie locale, l’équipe demande la preuve du consentement et évalue la compatibilité de finalité. Faute de garanties, l’achat est écarté. La fiche « Responsabilités » est mobilisée pour encadrer l’agence média via un contrat de sous-traitance précisant sécurité, support aux demandes de droits et traçabilité.
- Bon réflexe : créer un tableau de bord de conformité par canal.
- Indispensable : centraliser les preuves (captures, factures, briefs, paramètres d’audience).
- À proscrire : réutiliser une base associative sans information préalable spécifique.
Ces guides additionnent des repères simples : un langage commun, des gestes répétables et une documentation prête pour un contrôle. Ce socle facilite la coopération avec les plateformes et sécurise les équipes de terrain.
Fichiers électoraux, listes d’électeurs et sources privées : sécuriser la collecte et l’usage
La gestion des fichiers reste le cœur sensible d’une campagne électorale. Les partis politiques collectent des données d’adhérents, des inscriptions à des événements et des contacts obtenus en porte-à-porte. S’ajoutent, sous conditions strictes, les listes d’électeurs. Le cadre juridique exige des finalités claires, une base licite et une durée de conservation proportionnée.
Trois piliers structurent la conformité : minimisation, loyauté, sécurité. En pratique, il faut limiter les données au nécessaire, informer avec précision, et protéger les systèmes contre les fuites. Les fiches de la CNIL détaillent ces principes avec des cas concrets et des garde-fous accessibles aux équipes.
Ce qui est permis, ce qui est interdit
Les distinctions doivent être nettes. Une erreur de source peut entraîner une plainte, voire une sanction. Les retours d’expérience montrent que les erreurs viennent souvent d’un excès de zèle ou d’une confiance mal placée dans des prestataires non conformes.
- Sources autorisées (sous conditions) : fichiers d’adhérents, contacts recueillis avec information adéquate, listes d’électeurs pour de la communication politique ciblée et encadrée.
- Sources interdites : bases caritatives, données scolaires, registres de santé, et toute base collectée pour d’autres finalités sans consentement spécifique.
- Sources privées : possibles uniquement si le vendeur prouve le consentement et la finalité compatible, avec clauses contractuelles solides et audits.
| Source | Base juridique | Conditions | Durée de conservation |
|---|---|---|---|
| Adhérents | Contrat/intérêt légitime | Information claire, opt-out pour prospection | Cycle d’adhésion + archivage limité |
| Sympathisants | Consentement ou intérêt légitime | Finalité politique explicitée, lien de désinscription | Limitée à la campagne, puis purge |
| Listes d’électeurs | Cadre légal spécifique | Accès autorisé, finalités précises, pas de partage non prévu | Temps nécessaire à l’opération, puis effacement |
| Bases privées | Consentement vérifiable | Contrat RGPD, audit de provenance, preuve conservée | Strictement proportionnée, contrôlée |
Un scénario illustre la démarche : la liste fictive Élan Local organise une primaire ouverte. Un formulaire en ligne collecte nom, e-mail, commune, et une case d’information explique l’usage électoral. Les personnes peuvent s’opposer à recevoir des messages après la primaire. Les durées de conservation sont précisées et la purge est planifiée via un script supervisé par le DPO du parti.
Le microciblage soulève des risques supplémentaires. Même sans données sensibles, la combinaison de segments fins peut produire des effets intrusifs. Les équipes doivent tester la granularité : si la taille d’audience est trop petite, le risque de ré-identification augmente. Par prudence, il est recommandé de définir des seuils plancher d’audience et d’éviter les croisements trop intenses.
- Checklist technique : journalisation des importations, contrôle des doublons, chiffrement au repos.
- Droits des personnes : réponse rapide, preuve d’effacement, registre des demandes.
- Contrats : clauses de sécurité, audits programmés, plan de réversibilité.
Ces règles situent la frontière entre l’efficacité et l’illégalité. Mieux documenter les fichiers et cadrer les prestataires protège la campagne et les électeurs.
La même logique s’applique au hors-ligne : porte-à-porte, téléphone et courriers doivent respecter l’information et l’opposition. Les données issues de rencontres publiques ne deviennent pas libres de droit. La discipline documentaire fait la différence en cas de contrôle.
Publicité politique sur les réseaux sociaux : transparence du ciblage et étiquetage
La publicité politique numérique exige une transparence renforcée. Sur les réseaux sociaux, l’étiquetage « publicité politique » doit être visible, stable et cliquable. Un lien renvoie vers une page d’information présentant l’initiateur, le payeur, les principales catégories d’audience et la période de diffusion. Cette page mentionne les voies d’opposition et d’exercice des droits.
Les plateformes offrent des bibliothèques d’annonces, utiles pour la traçabilité et la recherche journalistique. Les équipes doivent y veiller, car ces archives constituent une preuve publique de conformité. Une documentation interne reste pourtant nécessaire pour attester des décisions prises et des sources utilisées.
Plan média conforme et exemples concrets
Un plan média conforme commence par la qualification de chaque créa. Chaque annonce est associée à une fiche de campagne comprenant l’objectif, le budget, la plateforme, les paramètres de ciblage et les justificatifs de licéité. Les formats vidéo et carrousels doivent intégrer les mentions de manière claire, sans dépendre uniquement de l’habillage de la plateforme.
- Mentions obligatoires : étiquette, initiateur, payeur, critères de ciblage, lien d’information.
- Ciblage : interdiction de données sensibles, seuil minimal d’audience, logique explicable.
- Traçabilité : captures d’écran, export des paramètres, identifiant d’annonce.
| Type d’annonce | Mentions obligatoires | Ciblage autorisé | Preuves à conserver |
|---|---|---|---|
| Story sponsorisée | Segments socio-démos larges, zones géo | Captures, export audience, facture | |
| Vidéo courte | Générique en fin + étiquette plateforme | Intérêts génériques, pas de données sensibles | Script, audience, logs de diffusion |
| Carrousel programmatique | Étiquetage sur chaque carte si possible | Lookalike dès lors que la source est licite | Preuve de licéité de la source, paramètres |
| Display éditorial | Mentions claires sur l’emplacement | Contextuel et géo, sans croisement sensible | Bon de commande, maquette, tracking |
Imaginez la campagne locale Agora Nord. Elle étiquette toutes ses annonces, limite les audiences à des segments larges et crée une page d’information unique, reliée à chaque créa. Les équipes testent l’affichage des mentions sur mobile et desktop. Les budgets sont regroupés par objectif pour simplifier la lecture publique dans les bibliothèques d’annonces.
Les erreurs les plus fréquentes tiennent à des avertissements non pris en compte : absence d’étiquette, ciblages trop fins basés sur des inférences sensibles, ou liens d’information cassés. Ces erreurs coûtent cher en réputation et en temps de réaction. Un contrôle qualité éditorial quotidien réduit ce risque.
- Astuce : placer la page d’information sur un domaine officiel facilement identifiable.
- À vérifier : pérennité des URLs, cohérence des mentions, versionnage des créas.
- À éviter : multiplier des audiences minuscules ou chevauchantes.
La transparence n’est pas qu’une contrainte : elle renforce la crédibilité des messages dans un écosystème saturé.
Cybersécurité politique, responsabilités et plan d’action électoral de la CNIL
La conformité ne s’arrête pas au texte du message. Elle se prolonge dans la cybersécurité politique, la gouvernance et l’anticipation. Les six fiches s’inscrivent dans un plan plus large, porté par la CNIL, pour sécuriser les élections : contenus pédagogiques supplémentaires, observatoire des élections et présence terrain pour répondre aux équipes. Un formulaire dédié permet aux électeurs de signaler des pratiques litigieuses.
Cette stratégie graduée suit le rythme des campagnes. Avant, pendant et après le scrutin, les équipes doivent prouver leurs diligences. Les traces comptent autant que les intentions. Documenter, c’est se protéger.
Observatoire des élections et accompagnement terrain
L’observatoire des élections, instauré il y a plusieurs cycles, collecte des signalements et repère les tendances. Les retours nourrissent les recommandations. La CNIL propose également des échanges réguliers avec les partis, et intervient sur des événements professionnels. Elle sera notamment présente au Salon des maires et des collectivités locales (18–20 novembre 2025, Porte de Versailles, stand C25). Une conférence est prévue le 19 novembre sur « Municipales 2026 : quelles règles applicables en matière de prospection politique ? ».
Dans les équipes, une feuille de route simple est efficace. Elle associe gouvernance, sécurité et communication de crise. Les outils doivent rester sobres, documentés et testés en conditions réelles.
- Organisation : désigner un DPO ou un référent, cartographier les traitements, tenir un registre.
- Sécurité : MFA, gestion des accès, chiffrement, sauvegardes hors ligne, politique de mots de passe.
- Procédures : notification d’incident, réponse aux droits, purge post-campagne, audits réguliers.
| Moment | Action CNIL | Action parti/candidat | Résultat attendu |
|---|---|---|---|
| Avant campagne | Guides, webinaires, réponses aux questions | Registre, DPIA si nécessaire, contrats | Cadre clair, risques maîtrisés |
| Pendant | Veille, observatoire, contrôles ciblés | Traçabilité, QA des annonces, sécurité active | Conformité continue, incidents limités |
| Après | Retours d’expérience, bilans | Purge, archivage, amélioration continue | Capitalisation, réduction des risques futurs |
Un cas typique éclaire les enjeux : l’équipe fictive Nouveau Cap subit une tentative de hameçonnage ciblant la boîte partagée « presse ». Grâce au MFA et à une liste d’adresses autorisées, l’accès a été bloqué. L’incident est consigné, l’alerte est diffusée aux bénévoles, et une vérification des accès est effectuée. Aucun contact n’a été exfiltré. La documentation de l’incident prouve la diligence raisonnable.
La question de la responsabilité reste centrale. Le responsable de traitement définit les finalités et les moyens principaux. Les sous-traitants exécutent selon consignes, sous contrat. En cas de coréalisation, une détermination conjointe doit être formalisée. Les plateformes conservent leurs propres responsabilités, notamment sur l’étiquetage et les bibliothèques d’annonces.
- Réflexe gouvernance : nommer des propriétaires de processus pour chaque canal.
- Hygiène numérique : formation flash des bénévoles, test de phishing, segmentation des accès.
- Clôture de campagne : plan d’effacement progressif et rapport de fin de campagne.
Ce triptyque — gouvernance, sécurité, documentation — consolide la confiance publique et la sérénité opérationnelle. Il complète les six guides pour une conformité vivante, adaptée au terrain et aux contraintes des équipes.
Qu’impose le règlement 2024/900 aux annonces de communication politique ?
Le texte exige un étiquetage clair « publicité politique », l’identification de l’initiateur et du payeur, une page d’information sur les critères de ciblage, et une traçabilité complète. L’usage de données sensibles pour cibler est interdit, et les responsables doivent conserver des preuves de conformité.
Peut-on utiliser des listes d’électeurs pour de la prospection ?
Oui, sous conditions strictes. L’accès et l’usage sont encadrés par la loi et la CNIL rappelle que la finalité doit être précise, le partage limité, et la conservation courte. Toute réutilisation non prévue est proscrite.
L’achat de fichiers du secteur privé est-il possible ?
Il est envisageable uniquement si le vendeur prouve un consentement valide et une finalité compatible. Un contrat RGPD, des audits de provenance et des preuves conservées sont indispensables avant toute activation.
Quelles bonnes pratiques sur les réseaux sociaux ?
Étiqueter chaque annonce, publier une page d’information dédiée, éviter les audiences trop fines, exclure les données sensibles, archiver les paramètres et vérifier la cohérence des mentions sur mobile et desktop.
Quel est le rôle de l’observatoire des élections de la CNIL ?
Il collecte des signalements, analyse les pratiques et alimente les recommandations. Il soutient les acteurs politiques et informe les électeurs de leurs droits pendant les périodes électorales.