Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques
Afficher l'image d'origine

Traitements de données personnelles par les partis politiques : Les règles datent de 2006…

Délibération n°2006-228 du 5 octobre 2006 portant recommandation relative à la mise en œuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques 

 

JO N°263 du 14 novembre 2006

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment son article L.34-5 ;

Vu le code électoral, et notamment ses articles L. 28 et R. 16 ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;

Vu la loi n° 88-227 du 11 mars 1988 modifiée relative à la transparence financière de la vie politique ;

Vu la loi n° 90-55 du 15 janvier 1990 modifiée relative à la limitation des dépenses électorales et à la clarification du financement des activités politiques ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives recourent à des traitements de données à caractère personnel pour gérer leurs fichiers de membres, de sympathisants ou de personnes s’étant mises en relation avec eux, organiser des élections internes ou réaliser des opérations de communication politique. Compte tenu du caractère sensible des données traitées, la Commission estime nécessaire de préciser les modalités selon lesquelles les principes de protection des données à caractère personnel doivent s’appliquer à ces traitements afin de garantir pleinement le respect des droits et libertés des personnes. Tel est l’objet de la présente recommandation, qui abroge et remplace la délibération du 3 décembre 1996.

 

Rappelle :

Au regard de la loi, les partis ou groupements à caractère politique, élus et candidats sont responsables des traitements qu’ils mettent en œuvre et ce, quand bien même ils feraient appel à des prestataires extérieurs. A ce titre, ils doivent veiller au respect de l’ensemble des dispositions de la loi “informatique et libertés” du 6 janvier 1978 modifiée en août 2004 et, en particulier, celles prévues à l’article 8 qui garantit une protection spécifique au traitement des données relatives aux opinions politiques des personnes.

 

 

Recommande :

 

I. Sur la gestion des fichiers internes mis en œuvre par les élus, candidats, partis ou groupements à caractère politique,

Conformément à l’article 8 de la loi du 6 janvier 1978 modifiée, les partis ou groupements à caractère politique qui mettent en œuvre des traitements relatifs à leurs membres ou aux personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité politique (par exemple, les personnes qui versent des fonds, qui soutiennent de manière régulière l’action du parti ou de l’organisme politique concerné ou qui sont abonnées à une lettre d’information éditée par le parti ou le groupement à caractère politique) n’ont pas à effectuer de déclaration auprès de la CNIL ni à recueillir le consentement des personnes dont les données sont traitées.

En revanche, les traitements mis en œuvre par les élus ou les candidats et les traitements mis en œuvre par les partis ou groupements à caractère politique qui comprennent des données relatives aux personnes s’étant occasionnellement mises en relation avec eux (à l’occasion de l’envoi d’une pétition, d’une demande de documentation ou d’une visite sur un « blog » par exemple) doivent être déclarés à la CNIL. Ces traitements peuvent être déclarés en référence à la norme simplifiée n° 34 adoptée par la Commission.

Lorsque ces traitements sont susceptibles de faire apparaître les opinions politiques, réelles ou supposées, des personnes, la loi impose le recueil de leur consentement écrit. L’ensemble des traitements mis en œuvre par un parti, un groupement à caractère politique, un élu ou un candidat doit respecter les conditions suivantes en manière d’information des personnes,  d’exercice de droits des personnes et de confidentialité des informations traitées.

 

 

A. l’information des personnes lors de la collecte de leurs données

Les personnes doivent être informées, au moment de la collecte de leurs données :

de l’identité de celui qui procède à cette collecte : s’agit-il d’un parti politique, d’un comité de soutien extérieur au parti, d’un candidat, d’un groupe de sympathisants ? ;

de la ou des finalité(s) de cette collecte : les données collectées sont-elles utilisées à des fins de gestion de l’adhésion et  des cotisations, pour l’envoi de journaux et autres documents de  communication politique ? Les données collectées sont-elles destinées à être diffusées sur un site web de soutien à un candidat ? etc. ;

du caractère obligatoire ou facultatif de leurs réponses et des conséquences en cas de défaut de réponse ;

des destinataires des informations collectées : les données sont-elles uniquement destinées à la fédération locale, sont-elles transmises au siège du parti ?

des modalités selon lesquelles elles peuvent exercer leur droit d’accès, de rectification et de radiation auprès du service ou de la personne désignée pour répondre à ces demandes.

Ces mentions doivent figurer sur les bulletins d’adhésion et sur l’ensemble des supports (tracts, pages web, etc.) permettant un recueil de données à caractère personnel.  En outre, les sites web peuvent utilement comporter une rubrique « informatique et libertés/ protection des données personnelles » accessible dès la page d’accueil.

 

 

B. les droits des personnes dont les données sont traitées

Les personnes doivent pouvoir exercer facilement, et dans des délais rapides, les droits qui leur sont reconnus par la loi. En particulier, le droit :

d’obtenir, en justifiant de leur identité, communication et copie de l’ensemble des informations les concernant, ainsi que celui de se faire communiquer l’origine des ces informations ;

d’exiger que les informations les concernant qui sont inexactes, incomplètes, équivoques ou périmées soient rectifiées, complétées, mises à jour ou effacées ;

de s’opposer, à tout moment, à la conservation par l’élu, le candidat, le parti ou le groupement politique des données à caractère personnel les concernant.

L’exercice de ces droits doit être facilité par la mise en place d’une adresse postale ou d’une adresse de courrier électronique spécifiquement dédiée à cet effet dont l’existence aura été portée clairement à la connaissance des personnes intéressées sur les différents supports de collecte des données. Enfin, les données recueillies ne peuvent être cédées à des tiers, sauf accord écrit des personnes concernées.

 

 

C. Les conditions de sécurité, d’accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats

La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. La Commission appelle l’attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.

Ainsi, la Commission recommande que l’accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. En effet, eux seuls peuvent, dans le cadre de leur fonction au plan national ou local, légitimement y prétendre, aux côtés des personnels administratifs habilités à gérer ces traitements.

Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.

Les accès individuels aux traitements devraient être garantis, par exemple, par l’attribution d’un identifiant et d’un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification.

La transmission, à des fins de communication politique, de la liste des adhérents à un candidat à une élection interne à un parti politique est possible sous réserve que ce dernier s’engage à ne pas en faire un usage autre. En cas d’organisation d’une élection interne par vote électronique, la Commission préconise le respect des dispositions de sa recommandation en date du 1er juillet 2003.

L’utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s’accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier.

 

 

II. Sur l’organisation d’opérations de communication politique,

 

A. L’utilisation de fichiers constitués par le candidat ou le parti politique lui-même,

Un parti, un groupement à caractère politique, un élu ou un candidat  peut  utiliser, à des fins de communication politique, les fichiers qu’il détient dès lors que les données ont été collectées en conformité avec les principes rappelés ci-dessus et sous réserve de permettre aux personnes démarchées de s’opposer à tout moment à la réception de nouveaux messages et de se faire radier, le cas échéant, du fichier utilisé.

 

 

B. L’interdiction d’utiliser les fichiers des administrations ou des collectivités locales,

Les fichiers mis en œuvre dans les administrations et les collectivités locales ne peuvent être utilisés que pour les seules finalités pour lesquelles ils ont été constitués dans le cadre des missions de service public qui leur sont imparties. Toute autre utilisation est susceptible de constituer un détournement de finalité, constitutive d’une infraction pénale. Dès lors, l’utilisation de ces fichiers à des fins de communication politique ne peut être admise. Ainsi, à titre d’exemple, les registres d’état civil, les fichiers de taxes et redevances, les fichiers d’aide sociale, les fichiers de parents d’élèves, les adresses de courrier électronique collectées à partir d’un site web institutionnel et, d’une façon générale, les fichiers d’administrés et d’usagers ne peuvent en aucun cas être utilisés à des fins de communication politique.

 

 

C. L’utilisation de la liste électorale,

Aux termes de l’article L. 28 du code électoral, tout électeur, tout candidat et tout parti ou groupement politique peut prendre communication et copie de la liste électorale auprès des communes concernées, à la condition de ne pas en faire un usage commercial. Cette disposition n’interdit pas aux élus, candidats ainsi qu’aux partis et groupements politiques, d’utiliser les informations issues des listes électorales à des fins de recherche de moyens de financement. Il est possible d’opérer, à partir des listes électorales obtenues, des extractions en fonction de l’âge ou du bureau de vote de rattachement des électeurs afin d’effectuer une opération de communication politique ciblée. En revanche, la Commission estime qu’un traitement consistant à opérer des tris sur la base de la consonance du nom des électeurs, sur leur département ou leur lieu de naissance afin de s’adresser à eux en raison de leur appartenance, réelle ou supposée, à telle communauté ethnique ou religieuse, ne constitue pas, au regard des articles 6 et 8 de la loi, une collecte loyale et licite de données. Un tel traitement doit donc être proscrit car comportant un risque de sélection et de discrimination susceptible de porter atteinte aux droits et libertés des personnes. La Commission recommande que tout courrier adressé à un électeur à partir de la liste électorale indique l’origine des informations utilisées pour le lui faire parvenir.

 

 

D. L’utilisation des fichiers commerciaux,

Seuls les fichiers loués ou cédés à des fins de prospection commerciale (fichiers de clients ou de prospects) peuvent être utilisés par un candidat, un élu ou un parti politique à des fins de communication politique.

Ainsi, les fichiers de gestion interne (par exemple, les fichiers de gestion et de paie du personnel) ne peuvent être utilisés à des fins de communication politique.

L’élu, le candidat ou le parti ou le groupement à caractère politique est responsable du traitement mis en œuvre dans le cadre d’une opération de prospection politique, quand bien même l’organisation de cette campagne ne le conduit pas à traiter directement les données à caractère personnel des personnes démarchées, c’est-à-dire lorsqu’il fait appel aux services de sociétés extérieures qui gèrent elles-mêmes l’organisation et la réalisation technique de l’opération de prospection.

A ce titre, il doit procéder à la déclaration du traitement à la CNIL et s’assurer, notamment par l’insertion de clauses spécifiques dans le contrat de location du fichier dont l’utilisation est envisagée, que les personnes ont été informées de l’utilisation à des fins de prospection politique de leurs données et des droits qui leur sont ouverts au titre de la loi “informatique et libertés”. Une sélection des personnes à démarcher, notamment sur la base de leur centre d’intérêt (par exemple, la politique), de leur âge ou de leur résidence géographique est possible à la condition qu’elle ne se base pas sur la consonance des noms des personnes ou sur leur lieu de naissance et qu’elle ne fasse pas apparaître, directement ou indirectement, les origines raciales, ou ethniques ou les opinions politiques, réelles ou supposées, des personnes concernées.

 

 

La particularité des opérations de prospection politique conduit la Commission à recommander une information particulière des personnes dont les données sont traitées, d’une part, lors de la collecte de leurs données, d’autre part, lors de la réception du message.

 

1. la nécessité d’une information claire et transparente des personnes lors de la collecte de leurs données

La Commission recommande que les personnes soient averties, lors du recueil de leurs données par le prestataire détenteur du fichier dont l’utilisation est envisagée, de la possible utilisation de leurs données à des fins de prospection politique.

concernant l’organisation d’opérations de prospection par voie postale ou téléphonique,

Les personnes doivent, en outre, être averties de leur droit de s’opposer à cette utilisation et à la transmission à des tiers de leurs données – ici, le parti, le groupement à caractère politique, le candidat ou l’élu – par un moyen simple et immédiat, une case à cocher par exemple.

concernant l’organisation d’opérations de prospection par voie électronique,

La loi pour la confiance dans l’économie numérique du 21 juin 2004 a posé le principe du consentement préalable des personnes concernant la réception de messages de « prospection directe », entendu au sens de commerciale, fournis notamment au moyen de courriers électroniques, mais n’a pas abordé le cas de la prospection politique.

Face au silence de la loi, la Commission estime que ce régime devrait s’appliquer aux opérations de prospection politique opérées par voie électronique et, dès lors, appelle l’attention du Gouvernement sur l’intérêt qui s’attacherait à ce qu’une disposition législative vienne préciser le régime juridique applicable aux opérations de prospection politique opérées par voie électronique.

La Commission estime dès à présent que les opérations de prospection politiques opérées par courrier électronique devraient n’utiliser que des bases de données de personnes ayant exprimé leur consentement à être démarchées, dits fichiers « opt-in ». (exemple de recueil de consentement par une case à cocher : «  Oui, j’accepte de recevoir par e-mail des sollicitations de vos partenaires commerciaux, d’associations ou de groupements à caractère politique »).

Prenant acte du fait que les personnes dont les adresses de courrier électronique sont aujourd’hui contenues dans les fichiers de prospection commerciale n’ont pas été informées de la possible utilisation de leurs données à des fins de prospection politique, la Commission recommande que les gestionnaires de bases de données souhaitant proposer la location de leur base à des fins de prospection politique adressent un courrier électronique à chacune des personnes présentes dans leur base pour les informer que leur adresse électronique est dorénavant susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer.

 

 

2. la nécessité de renforcer l’information des personnes lors de la réception d’un message de prospection politique

La Commission préconise que le message envoyé aux personnes sollicitées, quel que soit le support utilisé, précise de façon claire et visible :

l’origine du ou des fichiers utilisés ou du programme de fidélisation auquel elles se seraient inscrites (par exemple : « Vous recevez cet e-mail/ ce courrier parce que vous vous êtes inscrit auprès de ….  Si vous ne souhaitez plus recevoir de messages de sa part, cliquez ici/ écrivez à l’adresse ci-dessous ») ;

le fait que le candidat, l’élu ou le parti à l’origine de la campagne ne dispose pas de l’adresse utilisée mais a eu recours à un prestataire extérieur (par exemple : « Ce message vous a été envoyé par un prestataire pour le compte de notre parti qui n’a pas connaissance de votre adresse ») ;

du droit de s’opposer, à tout moment, à recevoir de tels messages. L’exercice de ce droit doit permettre à l’internaute de ne plus recevoir de message à vocation de prospection politique du fichier à partir duquel ses coordonnées électroniques ont été utilisées.

 

 

3. la gestion des radiations exprimées par les personnes

Un parti, un groupement à caractère politique, un élu ou un candidat ne peut traiter lui-même dans un fichier (type « liste rouge ») les données des personnes ne souhaitant plus être démarchées. En effet, la constitution d’un tel fichier pourrait révéler, directement ou indirectement, les opinions politiques des personnes qui y sont inscrites. Il revient donc aux prestataires de gérer le fichier des oppositions exprimées par les personnes, en évitant toute indication susceptible de révéler indirectement les opinions politiques des personnes, à savoir la campagne à l’origine de la demande de désinscription.

 

 

4. l’utilisation d’autres moyens de communications électroniques

Au regard du caractère particulièrement intrusif de la prospection opérée par télécopieurs ou par automates d’appel, la Commission recommande que les candidats, élus ou partis et groupements à caractère politique s’abstiennent d’utiliser ces moyens de communication pour effectuer une opération de prospection politique. La Commission relève que le format actuel des messages qui peuvent être envoyés sur les téléphones portables (SMS) ne permet généralement pas de fournir aux personnes démarchées les informations nécessaires dans le cadre d’une opération de prospection politique. En conséquence, elle préconise de ne pas utiliser ce moyen de communication afin de réaliser des opérations de communication politique.

 

 

III.   Sur l’organisation d’opérations de parrainage,

Les partis, groupements à caractère politique, élus ou candidats peuvent vouloir organiser des opérations de parrainage leur permettant de s’adresser directement à une personne dont les données leur auront été communiquées par un tiers. Les opérations de parrainage constituant un mode de collecte indirecte de données, la Commission recommande qu’il soit adressé à la personne ainsi parrainée un seul et unique message l’informant de l’identité de la personne lui ayant transmis ses coordonnées (le parrain) et l’invitant à entrer en contact avec le  parti, le groupement à caractère politique, l’élu ou le candidat à l’origine du message et, qu’à défaut, les coordonnées soient effacées à l’issue de cette opération (exemple : « Votre adresse nous a été transmise par M. X. Elle n‘est pas conservée et n’a été utilisée que pour vous faire parvenir ce message vous invitant à rentrer en contact avec nous en nous contactant à l’adresse suivante / par l’intermédiaire de notre site web).

Le président, Alex Türk

 

A Lire aussi :

Nouveautés dans l’organisation des votes électroniques pour les élections professionnelles
3 points à retenir pour vos élections par Vote électronique
Le décret du 6 décembre 2016 qui modifie les modalités de vote électronique
Modalités de recours au vote électronique pour les Entreprises
L’Expert Informatique obligatoire pour valider les systèmes de vote électronique
Dispositif de vote électronique : que faire ?

La CNIL sanctionne un employeur pour défaut de sécurité du vote électronique pendant une élection professionnelle

Notre sélection d'articles sur le vote électronique



Vous souhaitez organiser des élections par voie électronique ?
Cliquez ici pour une demande de chiffrage d'Expertise


Vos expertises seront réalisées par Denis JACOPINI :

  • Expert en Informatique assermenté et indépendant ;
  • spécialisé dans la sécurité (diplômé en cybercriminalité et certifié en Analyse de risques sur les Systèmes d'Information « ISO 27005 Risk Manager ») ;
  • ayant suivi la formation délivrée par la CNIL sur le vote électronique ;
  • qui n'a aucun accord ni intérêt financier avec les sociétés qui créent des solution de vote électronique ;
  • et possède une expérience dans l’analyse de nombreux systèmes de vote de prestataires différents.

Denis JACOPINI ainsi respecte l'ensemble des conditions recommandées dans la Délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.

Son expérience dans l'expertise de systèmes de votes électroniques, son indépendance et sa qualification en sécurité Informatique (ISO 27005 et cybercriminalité) vous apporte l'assurance d'une qualité dans ses rapport d'expertises, d'une rigueur dans ses audits et d'une impartialité et neutralité dans ses positions vis à vis des solutions de votes électroniques.

Correspondant Informatique et Libertés jusqu'en mai 2018 et depuis Délégué à La Protection des Données, nous pouvons également vous accompagner dans vos démarches de mise en conformité avec le RGPD (Règlement Général sur la Protection des Données).


Contactez-nous


image_pdfimage_print