Les élections municipales sont annoncées les 15 et 22 mars 2026.
Pour beaucoup de candidats, la campagne commence par un réflexe très simple : constituer un fichier de contacts, envoyer une première vague d’e-mails, relancer par SMS, “booster” une publication sur les réseaux sociaux, organiser du porte-à-porte plus efficacement. Problème : dès qu’on manipule des noms, adresses, e-mails, numéros de téléphone… le respect du RGPD s’impose. Et dès qu’on touche à l’engagement politique (adhésion, don, intérêt supposé), les données sont particulièrement sensibles.
À l’automne 2025, la CNIL a justement publié un ensemble de fiches pratiques et un guide dédiés à la communication politique, en insistant sur un nouveau texte européen qui “complète” le RGPD : le règlement sur la transparence et le ciblage de la publicité à caractère politique (souvent appelé “RPP”), pleinement applicable depuis le 10 octobre 2025.
Et fin 2025, elle a rappelé que ces sujets ne sont pas théoriques : cinq candidats ont été sanctionnés (procédure simplifiée) pour des pratiques de prospection politique jugées non conformes, pour un total cumulé de 23 500 €.
Un changement de décor : RGPD + règlement “publicité politique
Le RGPD encadre depuis longtemps la constitution de fichiers, l’envoi de messages, l’information des personnes et l’exercice des droits. Ce qui change depuis octobre 2025, c’est l’arrivée d’un cadre additionnel dès qu’il s’agit de publicité politique “en ligne” reposant sur le traitement de données personnelles, y compris via des dispositifs de communication comme les courriels ou certaines messageries.
La CNIL résume la logique : le RPP ajoute des obligations de transparence et encadre strictement les techniques de ciblage et de diffusion d’annonces politiques quand elles impliquent des données personnelles.
En pratique, un candidat peut vite passer d’un simple “message de campagne” à un dispositif de publicité politique au sens du règlement, notamment lorsqu’il utilise les outils de ciblage proposés par des plateformes.
Les listes électorales : utilisables, mais sous conditions
La CNIL rappelle que l’utilisation des listes électorales en période électorale n’est pas, en soi, interdite : ni le code électoral ni la réglementation sur les données personnelles ne s’y opposent.
Mais cela ne transforme pas la liste en “carte blanche”. Quelques points qui reviennent systématiquement sur le terrain :
- pas d’usage commercial (et une sanction pénale est prévue en cas d’usage commercial) ;
- respect des droits des personnes, même si l’électeur ne peut pas s’opposer à la transmission de la liste : le droit d’information et le droit doivent être effectifs ;
- encadrement des tris : une sélection par adresse par exemple peut être admissible pour organiser du porte-à-porte, mais certains tris (consonance des noms, etc.) sont évidemment interdits compte tenu des risques de discrimination ;
- durée de conservation : les données issues des listes, utilisées pour la campagne, doivent être supprimées à l’issue du scrutin.
Dès qu’on fait du ciblage “en ligne”, la règle se durcit
Pour recourir à des techniques de ciblage ou de diffusion d’annonces politiques en ligne impliquant des données personnelles, la CNIL indique que les données doivent être collectées directement auprès de la personne concernée. Conséquence immédiate : impossible d’utiliser des données récupérées en mairie (listes électorales), des données aspirées en ligne (web scraping) ou achetées/louées auprès de courtiers en données pour ce type de ciblage.
Base légale : consentement, intérêt légitime… et preuve
La CNIL insiste sur un point que la pratique confirme : le vrai risque n’est pas seulement de “mal faire”, c’est aussi de ne pas pouvoir démontrer qu’on a bien fait.
Dans ses sanctions de décembre 2025, elle vise notamment l’obligation de pouvoir justifier la licéité du traitement : certains candidats n’ont pas été capables d’apporter la preuve du consentement ou de démontrer que les conditions d’un intérêt légitime étaient réunies (notamment l’attente raisonnable des destinataires).
Côté RPP, la CNIL explique que, lorsque l’on utilise des techniques de ciblage ou de diffusion d’annonces politiques impliquant un traitement de données, le consentement des personnes est requis.
C’est une ligne de partage opérationnelle : plus la campagne devient “industrialisée” et optimisée (audiences, algorithmes, ciblage), plus le consentement et la collecte directe deviennent incontournables.
Transparence : le “minimum vital” qui déclenche (ou évite) les plaintes
Les sanctions de décembre 2025 sont aussi instructives par leurs griefs très concrets : absence d’information, absence de dispositif d’opposition effectif, absence de réponse aux demandes d’accès/effacement, erreur de confidentialité (envoi d’un e-mail à des centaines de destinataires sans les mettre en copie cachée – CCI).
Sur l’information, la CNIL rappelle les éléments attendus au titre des articles 13 et 14 du RGPD (identité du responsable, finalités, base légale, destinataires, durée de conservation, droits, etc.), avec des compléments clés en cas de collecte indirecte (source des données) et en cas de décision automatisée/profilage (logique et conséquences).
Données “sensibles” : la politique n’est jamais loin
Un rappel utile : une adresse e-mail ou un numéro de téléphone n’est pas, en soi, une donnée “sensible” au sens de l’article 9 du RGPD. Mais dès qu’une liste révèle une opinion politique réelle ou supposée (adhérents, sympathisants, destinataires d’un message d’un parti), on est bien dans le champ d’application de l’article 9 du RGPD.
La CNIL le souligne explicitement dans l’un des cas sanctionnés : la divulgation d’adresses e-mail d’adhérents d’un parti, faute d’utilisation du CCI (copie cachée), a été jugée d’autant plus grave que ces données peuvent révéler des opinions politiques et sont donc sensibles.
Une checklist pragmatique pour éviter le casse-tête (et les mauvaises surprises)
- Cartographier les canaux : e-mailing “simple”, SMS, messageries, publicité sponsorisée, ciblage plateforme… et identifier ce qui relève du ciblage/diffusion “en ligne” au sens du RPP.
- Documenter la base légale et garder les preuves (consentement, ou démonstration d’intérêt légitime et d’attente raisonnable).
- Sécuriser l’information : mentions RGPD complètes dès le premier message si les données viennent d’un tiers, et indication claire de la source.
- Mettre l’opposition “en un clic” : STOP SMS, lien de désinscription, process interne de traitement rapide.
- Encadrer l’usage des listes électorales : tris prudents, pas de dérives discriminatoires, suppression à l’issue du scrutin.
- Éviter les raccourcis dangereux : pas d’import de listes électorales, de scraping ou de données achetées dans des dispositifs de ciblage/diffusion en ligne.
- Verrouiller l’hygiène opérationnelle : CCI pour les envois en masse, contrôle des destinataires, gestion des demandes d’accès/effacement, et contrats sous-traitants propres.
Le RGPD n’interdit pas de faire campagne. Il oblige à faire campagne proprement, et depuis octobre 2025 il faut aussi prendre en compte une réglementation additionnelle pour la publicité politique en ligne. La bonne nouvelle, c’est que la plupart des risques se jouent sur des fondamentaux
