Publicité politique : nouvelles règles RPP, CNIL & RGPD pour les collectivités

À l'approche de chaque scrutin, les mairies et les élus sont en première ligne. La communication politique s'intensifie, mais les règles de protection des données aussi. La CNIL (Commission nationale de l'informatique et des libertés) le rappelle constamment : les plaintes d'électeurs mécontents de recevoir de la prospection politique non sollicitée se comptent par centaines à chaque élection.

En tant que collectivité, vous détenez de nombreux fichiers (listes électorales, newsletter municipale, services périscolaires...). La tentation peut être grande de les utiliser, mais les risques de non-conformité sont élevés.

Le cadre légal s'est même durci. Au-delà du RGPD (Règlement 2016/679), que vous connaissez, le nouveau Règlement 2024/900 (RPP) sur la transparence et le ciblage de la publicité politique, pleinement applicable, vient imposer de nouvelles exigences.

Pour vous, voici l'essentiel à retenir pour mener une communication politique respectueuse des données de vos administrés.

1. Quelles sont les obligations d'une collectivité ?

En tant que collectivité locale, vous agissez sous une double casquette : celle de l'institution publique (la mairie) et, potentiellement, celle de support pour des candidats (y compris l'équipe municipale sortante). Vos obligations fondamentales découlent directement du RGPD et du RPP.

L'obligation de transparence (Art. 12-14 RGPD & RPP 2024/900) Vos administrés doivent savoir pourquoi vous traitez leurs données. Si vous envoyez une communication politique (même en ligne), elle doit être clairement identifiée comme telle. Le nouveau règlement RPP impose un "marquage" clair : qui finance cette publicité ? Pourquoi la recevez vous ? Comment exercer vos droits ?

Le respect de la finalité (Art. 5 RGPD) C'est le point le plus critique pour une mairie. Un fichier créé pour un service public (ex: la liste des parents d'élèves pour la cantine) ne doit jamais être utilisé pour une autre finalité, comme la propagande électorale. Ce serait un "détournement de finalité", sévèrement sanctionné.

La gestion des listes électorales La mairie a l'obligation légale de communiquer la liste électorale aux candidats ou partis qui la demandent. Cependant, cette communication est strictement encadrée : elle ne doit contenir que les données prévues par le Code électoral (nom, prénoms, date et lieu de naissance, adresse). Elle ne doit inclure ni email, ni numéro de téléphone.

La sécurisation des données (Art. 32 RGPD) Tous les fichiers que vous gérez, et particulièrement les listes électorales (qui contiennent des données sur tous les citoyens de votre commune), doivent être protégés contre l'accès non autorisé, la perte ou le vol.

2. Quelles sont les mesures à mettre en place ?

Pour garantir la conformité, des actions concrètes doivent être intégrées dans vos processus, idéalement sous la supervision de votre Délégué à la Protection des Données (DPO).

Cartographier les traitements. Votre registre des traitements (Art. 30 RGPD) doit être à jour. Identifiez clairement :

• Les fichiers de "service public" (état civil, cantine, newsletter municipale...).

• Les fichiers de "communication politique" (ex: la liste d'inscription volontaire aux actualités de l'équipe municipale).

• Obtenir un consentement "explicite" pour le ciblage (RPP 2024/900). Si un candidat (même le maire sortant) souhaite envoyer des communications ciblées en ligne (ex: "envoyer un message aux 30-45 ans intéressés par l'écologie"), il doit utiliser des données collectées avec le consentement explicite de la personne. Les données "sensibles" (opinions politiques, appartenance syndicale...) sont interdites pour le ciblage, sauf si elles ont été données volontairement et explicitement par la personne pour cet usage (Art. 9 RGPD).

• Mettre en place une "chambre de nettoyage" La CNIL recommande cette bonne pratique. Lorsqu'un candidat utilise la liste électorale (obtenue légalement auprès de vous), il doit la "nettoyer" en la croisant avec le fichier des personnes s'étant opposées à la prospection politique (fichier Robinson, voir le formulaire FEVAD).

• Former les élus et les agents La plus grande faille est souvent humaine. Les agents de mairie et les élus doivent être formés aux règles de base : ne pas "piocher" dans les fichiers de la mairie pour la campagne, ne pas transmettre d'emails ou de téléphones aux équipes de campagne.

3. Quelles sont les pratiques à éviter absolument ?

Certaines pratiques vous exposent directement à des plaintes d'administrés et à des sanctions de la CNIL.

❌ L'erreur n°1 : Le mélange des genres

À éviter absolument : Utiliser la base de données de la newsletter municipale, le fichier des abonnés à la bibliothèque, ou les listes périscolaires pour envoyer le bilan de mi-mandat de l'équipe en place ou de la propagande électorale. Ces fichiers ont été constitués sur la base d'une mission de service public, pas pour la communication politique.

❌ L'enrichissement illégal

À éviter absolument : Prendre la liste électorale (qui ne contient pas d'emails) et "l'enrichir" en y ajoutant les emails trouvés dans les autres fichiers de la mairie (demandes d'urbanisme, services techniques...).

❌ Le ciblage basé sur des données sensibles présumées

À éviter absolument : Pratiquer le "microciblage" interdit par le RPP 2024/900. Par exemple, ne pas cibler des personnes en présumant leurs opinions politiques à partir de leur adresse (ex: "quartier réputé aisé" ou "quartier de logements sociaux"), de leur nom (origine présumée) ou de leur participation à une réunion publique sur un sujet sensible.

❌ L'envoi de SMS ou d'emails "spam"

À éviter absolument : Envoyer de la prospection politique par email ou SMS sans que la personne n'ait donné son accord préalable (opt-in). La seule exception tolérée par la CNIL concerne les candidats qui utilisent des fichiers loués auprès de "courtiers en données" (brokers), à condition que ces derniers aient obtenu un consentement valide.

Conclusion

Naviguer les eaux de la communication politique demande plus que jamais de la rigueur. Le RGPD (2016/679) a posé les fondations de la protection, et le nouveau Règlement sur la publicité politique (2024/900) vient bétonner les garde-fous contre le ciblage abusif.

Pour une mairie, la confiance des administrés est primordiale. La respecter, c'est aussi respecter leurs données personnelles.

En tant que DPO externalisé pour votre collectivité, XDPO est à vos côtés pour auditer vos pratiques, former vos équipes et vous assurer que votre communication reste conforme, éthique et efficace.

N'hésitez pas à nous solliciter en cliquant ici

Ressources utiles:

Les 6 fiches pratiques de la CNIL : https://www.cnil.fr/fr/elections-et-communication-politique-la-cnil-publie-6-fiches-pratiques

Les mentions d’informations requises pour la communication politique : https://www.cnil.fr/fr/les-mentions-dinformations-requises-pour-la-communication-politique

RÈGLEMENT (UE) 2024/900 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 mars 2024 relatif à la transparence et au ciblage de la publicité à caractère politique https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202400900

Lignes directrices pour la mise en œuvre du règlement (UE) 2024/900 relatif à la transparence et au ciblage de la publicité politique - Eur-Lex : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ%3AC_202505514