Comment respecter les recommandations de la CNIL et le RGPD tout en mettant en oeuvre une communication efficace pour une campagne électorale ?

Vous vous présentez aux élections municipales de 2020 et allez devoir traiter des données personnelles pendant votre campagne électorale. Depuis la loi Informatique et libertés de 1978 et depuis le 25 mai 2018, date d’application du Règlement général sur la protection des données personnelles (RGPD), la collecte et le traitement des données personnelles sont soumis à des obligations et interdictions. En France, la Commission nationale informatique et libertés (CNIL) veille au respect de ces règles. La CNIL a mis en ligne pendant la campagne des européennes un formulaire pour les électeurs qui souhaitaient dénoncer un usage abusif de leurs données (ce formulaire est pour le moment non disponible et le sera sûrement dès le 1er septembre 2019, date officielle de lancement de la campagne des municipales).

La collecte de données personnelles dans le champ politique est particulièrement encadrée par la loi et contrôlée par la CNIL

Quelles données collecter dans le cadre d’une campagne ?

Les données personnelles sont des données qui permettent d’identifier directement ou indirectement une personne physique : prénom, nom, adresse (postale et email), numéro de téléphone, date de naissance, photo, empreinte digitale, etc.

Parmi les six réflexes à avoir selon la CNIL, le premier est de ne collecter que les informations dont on a besoin. Dans le cadre de votre campagne électorale, vous n’aurez pas d’intérêt à collecter les empreintes digitales de vos contacts par exemple. Avant de collecter des informations sur les habitants de votre territoire, réfléchissez bien à celles qui vous seront réellement utiles.

Attention : veillez à ne pas collecter et à ne pas traiter de données sensibles, c’est à dire des informations sur l’origine, la religion, l’appartenance syndicale, la santé, la sexualité… Le RGPD interdit de collecter ces données. Vous ne pouvez pas vous servir des fichiers de votre collectivité, de votre association, de votre organisme et/ou de votre entreprise. La CNIL résume en une image les fichiers que vous pouvez utiliser et ceux dont vous ne pouvez pas vous servir.

De la nécessité de demander le consentement des contacts

Finie l’époque où vous pouviez récupérer des fichiers remplis d’adresses email et de numéros de téléphone et communiquer régulièrement avec ces contacts sans leur accord. Il vous faut maintenant obtenir le consentement de vos contacts pour pouvoir collecter et traiter leurs données personnelles. Après avoir obtenu leur adresse email ou leur numéro de téléphone, vous ne pouvez leur demander leur consentement qu’une seule fois. Lors de l’envoi de votre premier email, n’oubliez pas d’indiquer à votre contact par quel moyen vous avez récupéré ses données. En cas de refus, vous devez supprimer les données du contact ; s’il ne répond pas, vous ne pouvez pas interpréter son absence de réponse comme un consentement. Vous ne pouvez donc pas communiquer avec cette personne.

Le formulaire est le meilleur moyen pour obtenir le consentement de vos contacts et pour en garder une trace. Sur ces formulaires, vous devez indiquer ce que vous ferez avec les informations collectées, le temps de conservation des données et les droits des électeurs.

Pour être valide, le consentement doit être :

  • libre (sans contrainte)
  • spécifique (un consentement pour un seul traitement pour une seule finalité. Si le consentement se fait sous la forme de cases à cocher, alors il faut une case par finalité. Exemple : une case pour accepter d’être contacté par email et une case pour accepter d’être contacté par SMS et non une seule case pour les deux finalités.)
  • éclairé (vous devez indiquer : l’identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées et l’existence d’un droit de retrait du consentement)
  • univoque (il ne peut y avoir d’ambiguïté quant à l’expression du consentement).

Le cas particulier des réseaux sociaux

Certaines solutions numériques de types CRM politiques (Customer Relationship Management) vous permettent de collecter automatiquement des données personnelles issues de vos comptes sur les réseaux sociaux. La CNIL indique dans un document datant de 2016 et toujours en vigueur : “La collecte massive de données issues des réseaux sociaux n’est pas légale en l’absence d’information des personnes concernées”. Le fait d’être ami avec vous ou d’être abonné à votre page sur un réseau social ou de vous suivre ne constitue pas un consentement au traitement de ses données personnelles. Si vous souhaitez collecter des informations sur vos amis/abonnés, vous devez prévenir clairement les utilisateurs des réseaux sociaux. En ce qui concerne les utilisateurs qui aiment et partagent le contenu de vos profils/pages sans être amis ou abonnés : vous n’avez pas le droit de collecter automatiquement leurs données puisque ces personnes ne sont pas informées de votre collecte.

Le traitement des données

Comment catégoriser les contacts ?

Traiter des données personnelles dans un cadre politique implique des règles particulières. Dans la délibération n°2012-020 du 26 janvier 2012, toujours en vigueur, la CNIL sépare les contacts des partis politiques et des élus et candidats en deux catégories : les contacts occasionnels et les contacts réguliers. Un contact régulier est, selon la définition de la CNIL,  “toute personne qui accomplit, auprès d’un parti politique, une démarche positive en vue d’entretenir des échanges réguliers et touchant directement à son action politique.” Un contact occasionnel est quant à lui “toute personne qui sollicite ponctuellement un parti politique ou un candidat, sans entretenir avec lui d’échanges réguliers dans le cadre de son activité politique. Toute personne sollicitée sans démarche volontaire de sa part”.

Pour résumer : un contact occasionnel n’a pas encore donné son consentement pour devenir un contact régulier : vous pouvez lui en faire la demande une fois. Un contact régulier a donné son consentement pour le devenir et vous pouvez communiquer avec lui selon les modalités qu’il a choisies.Vous ne pouvez donc pas utiliser des termes empruntés au marketing et aux réseaux sociaux tels qu’abonnés et prospects pour catégoriser vos contacts.

Comment croiser les informations ?

Votre travail sur le terrain et votre communication numérique vous permettent d’accumuler un grand nombre d’informations sur vos électeurs. Vous pourrez personnaliser vos communications envers vos contacts en croisant les données que vous avez sur eux. Ce travail vous est facilité si vous utilisez une solution numérique de gestion de contacts. Il vous est alors possible, sur la fiche de Madame Michu par exemple, d’ajouter, en plus des informations issues de la liste électorale, l’intérêt qu’elle porte aux différentes thématiques sur la commune, aux différentes réunions de quartier ou thématiques que vous organisez et aux animations culturelles de votre commune.

Veillez toutefois à ne pas mettre de telles informations si Madame Michu est un contact occasionnel. En effet, comme l’indique la CNIL, Le croisement des données personnelles ne peut concerner que les contacts réguliers.  Les conditions d’information et de recueil du consentement peuvent en effet difficilement être satisfaites pour les contacts occasionnels.
Certaines solutions numériques de gestion de contacts vous permettent d’attribuer des mots-clefs à vos contacts, même à ceux n’ayant pas donné leur consentement. Nous vous conseillons de veiller à ce que les membres de votre équipe soient bien informés de l’interdiction de cette pratique ou bien d’utiliser une solution qui empêche le croisement des données pour les contacts occasionnels.

Le droit des électeurs à consulter, modifier et supprimer leurs données

Même s’ils ont accepté de faire partie de vos contacts réguliers et de recevoir vos communications, vos contacts doivent pouvoir vous demander de consulter, de modifier et de supprimer leurs données à tout moment. 

Tout électeur peut vous interroger sur les données que vous possédez sur lui, sur leurs origines et sur leurs traitements (article 15 du RGPD) ; tout électeur peut également vous demander de modifier ou de supprimer les données le concernant (articles 16 et 17 du RGPD).  L’article 20 du RGPD vous oblige à transmettre à n’importe quel électeur qui en fait la demande, les données personnelles le concernant. Vous devez fournir ces données “dans un format structuré, couramment utilisé et lisible par machine”. C’est le droit à la portabilité

Le temps de conservation des données

Terminé, l’envoi de mails en masse à des personnes que vous ne connaissez pas et/ou qui n’ont pas affirmé vouloir être contactées de votre part. N’oubliez pas que vos électeurs sont désormais sensibilisés à leur droit à la protection des données personnelles et qu’ils peuvent saisir la CNIL pour lui signaler des pratiques abusives de prospection politique. La CNIL avait mis à disposition des électeurs un formulaire de signalement pour les élections européennes de 2019. Nul doute qu’elle en fera de même pour les élections municipales de 2020.

La communication par courriels

Dans les courriels que vous envoyez à vos contacts réguliers, n’oubliez pas d’indiquer qui vous êtes et à quelle élection vous vous présentez. Vous devez également préciser comment vous avez obtenu l’adresse email de votre contact. Lors d’un premier contact par email, sur un formulaire de consentement par exemple, indiquez à votre contact quel sera le traitement de ses données personnelles ainsi que la durée de conservation de ces  informations. Dans chacun de vos emails, vous devez permettre à vos contacts de se désabonner de manière “accessible, simple et efficace”. Enfin, votre contact doit pouvoir vous demander de consulter ses données, de les modifier et de les supprimer.

La communication par téléphone/SMS

La communication par SMS doit répondre aux mêmes règles que la communication par email. Les modalités de désabonnement, de modification et de suppression de données doivent être “accessible, simple et efficace” pour vos contacts. Vous devez mettre en place un dispositif “STOP PROSPECTION”

Si vous souhaitez vous servir d’automates d’appel, vous devez obtenir le consentement des contacts avant le premier appel. Lors du recueil du consentement, vous devez informer vos contacts de la plage horaire précise des appels. Vos messages vocaux pré-enregistrés doivent comporter les mêmes mentions légales que pour les emails et les SMS

Laisser un commentaire