Prendre Rendez-vous

Campagne Municipale 2026 : Les Bonnes Pratiques RGPD pour les Candidats

Les élections municipales de mars 2026 approchent à grands pas et la campagne dite “officielle “ débutera le 2 mars pour les candidats. Dans les médias audiovisuels, elle commence le 2 février. À l’ère du numérique, la campagne se joue autant sur le terrain que sur les réseaux sociaux. Or, chaque interaction, chaque formulaire rempli, chaque donnée collectée implique des responsabilités. Un candidat est un Responsable de Traitement au sens du RGPD et des dernières exigences de la CNIL et du Règlement sur la Transparence de la Publicité Politique (RPP). Ignorer ces règles, c’est s’exposer à des sanctions, entacher sa réputation et, potentiellement, remettre en cause la légitimité de la démarche.

En décembre 2025, la CNIL a frappé fort en sanctionnant cinq candidats des élections européennes et législatives de 2024.

https://www.cnil.fr/fr/prospection-politique-sanction-candidats-2024

Le message est clair : l’amateurisme juridique n’est plus une excuse. Voici la synthèse des sanctions et les bonnes pratiques qui en découlent pour la campagne de 2026.

Suite aux sanctions records de décembre 2025, la protection des données est devenue un enjeu de crédibilité politique. Voici les 5 piliers de votre conformité, illustrés par les erreurs fatales des précédentes campagnes.

1. La gestion des fichiers de prospection

Le principe : On ne mélange pas les serviettes et les bulletins de vote. Les fichiers doivent être « étanches ».

  • Ce qu’il faut faire : Utiliser exclusivement des fichiers dont les personnes ont consenti à recevoir les messages politiques, ou les listes électorales officielles (en respectant leur finalité).
  • Ce qu’il ne faut pas faire : Utiliser un fichier de clients (pour un commerçant), ou de patients (pour un soignant), son carnet d’adresses d’élus ou la liste des membres de son association locale pour sa campagne.
  • ⚖️ Le rappel à l’ordre de 2025 : En décembre dernier, plusieurs candidats ont été sanctionnés pour avoir détourné la finalité de fichiers professionnels ou associatifs. La CNIL a jugé que l’électeur ne pouvait raisonnablement pas s’attendre à être sollicité politiquement via ces canaux.

2. Le droit d’opposition (SMS et Emails)

Le principe : L’électeur doit pouvoir dire « Stop » aussi facilement qu’il a dit « Bonjour ».

  • Ce qu’il faut faire : Intégrer obligatoirement une mention « STOP SMS » ou un lien de désinscription visible et fonctionnel dans chaque message envoyé.
  • Ce qu’il ne faut pas faire : Envoyer des vagues de messages sans mécanisme de retrait ou ignorer les demandes de désabonnement reçues par e-mail.
  • ⚖️ Le rappel à l’ordre de 2025 : La prospection par SMS a représenté 59% des plaintes lors des derniers scrutins. La CNIL a lourdement sanctionné des candidats pour l’absence de dispositif de désopposition effectif, considérant cela comme une entrave majeure aux libertés individuelles.

https://www.cnil.fr/fr/legislatives-2024-le-bilan-de-lobservatoire-des-elections-de-la-cnil

3. La transparence sur l’origine des données

Le principe : « Qui vous a donné mon numéro ? » est une question à laquelle le candidat doit savoir répondre.

  • Ce qu’il faut faire : Préciser dès le premier contact l’origine des données (ex: « Données issues de la liste électorale » ou « Via notre formulaire du 12/10 »).
  • Ce qu’il ne faut pas faire : Acheter des fichiers de « prospects » à des courtiers en données (data brokers) pour faire du ciblage en ligne, une pratique désormais interdite pour la publicité politique.
  • ⚖️ Le rappel à l’ordre de 2025 : Des sanctions ont été prononcées contre des listes n’ayant pas informé les citoyens de la source de leurs informations, créant un sentiment de « surveillance » néfaste pour l’image du candidat.

4. La sécurité informatique des outils de campagne

Le principe : Les fichiers d’électeurs sont des coffres-forts. Ne laissez pas la porte ouverte.

  • Ce qu’il faut faire : Choisir des logiciels de gestion de campagne (CRM) audités et sécurisés. Utiliser la double authentification pour accéder à vos bases de données.
  • Ce qu’il ne faut pas faire : Stocker les fichiers d’émargement sur des clés USB non chiffrées ou utiliser des tableurs partagés sans protection par mot de passe.
  • ⚖️ Le rappel à l’ordre de 2025 : L’amende de 1,7 million d’euros infligée à l’éditeur Nexpublica en décembre 2025 a servi d’avertissement : la CNIL remonte la chaîne de responsabilité. Si le prestataire du candidat est défaillant, la campagne du candidat est elle-même en péril.

5. La Publicité Politique en ligne (Règlement RPP)

Le principe : Toute publicité payante sur les réseaux sociaux doit être totalement transparente.

  • Ce qu’il faut faire : Publier un « Avis de Transparence » pour chaque publicité (qui paie, quel budget, quels critères de ciblage).
  • Ce qu’il ne faut pas faire : Faire du « micro-ciblage » basé sur des données sensibles (opinions politiques supposées, religion, origine) pour adresser des messages personnalisés.
  • ⚖️ Le rappel à l’ordre de 2025 : Avec l’entrée en vigueur du règlement européen RPP fin 2025, la CNIL a désormais le pouvoir de sanctionner le manque de clarté sur le financement et les méthodes de ciblage. Les premières procédures ont montré que l’opacité est désormais systématiquement punie.

FOCUS sur le RPP

Le Règlement (UE) 2024/900 relatif à la transparence et au ciblage de la publicité à caractère politique (RPP), pleinement applicable depuis le 10 octobre 2025, vient compléter le RGPD pour protéger l’intégrité des processus démocratiques.

  • Définition : Il encadre la diffusion de messages payants visant à influencer le résultat d’un scrutin ou un comportement de vote. Contrairement au RGPD qui se focalise sur la donnée, le RPP se focalise sur la visibilité de l’influence.
  • Présentation : Ce texte impose une transparence radicale. Toute publicité politique en ligne doit être « étiquetée » comme telle et accompagnée d’un historique d’informations (l’Avis de Transparence) accessible d’un seul clic.
  • Champ d’application : Il s’applique à tous les acteurs de la chaîne : les parraineurs (le candidat ou sa liste), les prestataires (l’agence de com’) et les éditeurs (Meta, Google, TikTok, mais aussi les influenceurs rémunérés). Pour les Municipales 2026, aucune commune n’est trop petite pour y échapper dès lors qu’un budget publicitaire numérique est engagé.

💡 Le mot du DPO

La conformité n’est pas une option, c’est une stratégie électorale. Un candidat qui respecte les données de ses électeurs est un candidat qui inspire confiance.

Finalement voici la TO DO et NOT DO pour un candidat :

Top 5 des Actions à Faire et à Ne Pas Faire pour une Campagne Conforme

✅ Les 5 BONNES PRATIQUES Indispensables :

  1. Obtenir un Consentement Explicite : Pour toute inscription (newsletter, événement, soutien), demandez un consentement clair et documenté. La case pré-cochée est interdite !
  2. Rédiger une Politique de Confidentialité Complète : Rendre accessible et compréhensible l’information sur l’utilisation de toutes les données collectées (sur votre site web et sur vos supports papiers importants).
  3. Appliquer le RPP : Pour chaque publicité politique diffusée en ligne, intégrez un « Avis de Transparence » clair : qui paie, qui a fait la pub, comment elle cible. C’est non négociable !
  4. Sécuriser Vos Fichiers : Chiffrez vos bases de données, protégez vos accès, et formez vos équipes à la sécurité des données, surtout celles collectées via le porte-à-porte.
  5. Faciliter les Droits des Électeurs : Mettez en place une adresse e-mail ou un formulaire dédié pour les demandes d’accès, de rectification, ou d’opposition. Chaque e-mail doit avoir un lien de désabonnement fonctionnel.

❌ Les 5 MAUVAISES PRATIQUES à Proscrire Absolument :

  1. Acheter des Fichiers de Contact : Interdiction d’acquérir des listes de prospects auprès de « data brokers » pour du ciblage en ligne. Vos données doivent provenir de la personne directement ou de sources légitimes.
  2. « Ficher » les Opinions ou l’Origine : Le profilage des citoyens sur des critères sensibles (opinions politiques, religion, origine ethnique, état de santé) est strictement interdit. Oubliez le « micro-ciblage » basé sur ces données.
  3. Ignorer le Droit d’Opposition : Ne pas proposer de désabonnement clair ou ignorer les demandes de retrait de consentement est une infraction grave.
  4. Conserver les Données Indéfiniment : Toutes les données collectées pour la campagne doivent être détruites ou anonymisées après les élections, sauf celles pour lesquelles une autre base légale ou une finalité perdurent (ex. : contacts pour un mandat si vous êtes élu, avec un nouveau consentement).
  5. Négliger la Sécurité : Laisser des listes électorales ou des fichiers de contacts accessibles sur des supports non sécurisés (tablettes non protégées, clés USB non chiffrées) ou les partager via des canaux non sécurisés (WhatsApp, email personnel).