Sur son site internet, la Commission nationale de l'informatique et des libertés (Cnil), chargée de la protection des données personnelles en ligne, indique que lors de chaque élection elle « reçoit des centaines de signalements qui révèlent le mécontentement d’électeurs face à certaines pratiques de prospection politique ». 

Alors que les citoyens seront appelés aux urnes les 15 et 22 mars prochains pour les élections municipales, la Cnil fait le point sur un certain nombre de règles, notamment sur celles introduites par le « règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique, qui complète le RGPD ».

De l’urgence de réguler la publicité politique ciblée en ligne 

En élaborant un nouveau projet de règlement relatif à la transparence et au ciblage de la publicité à caractère politique, la Commission européenne répond à la nécessité de protéger l’intégrité des élections démocratiques qui ont lieu en Europe. Cette problématique de l’utilisation des données personnelles à des fins politiques a été mise en lumière en 2018 avec l’affaire Cambridge Analytica. Pour rappel, plus de 80 millions de personnes aux Etats-Unis ont vu leurs données personnelles volées par la société Cambridge Analytica, « dans le but d’aider Donald Trump à remporter l’élection présidentielle américaine », résume un article du Clemi (Centre pour l'éducation aux médias et pour l'information).

Des ingérences politiques étrangères sont également aujourd’hui régulièrement constatées dans la sphère numérique. Par exemple, selon un groupe de recherches américain intitulé Insikt, une centaine de faux sites d'informations locales a été créé par un réseau d'influence russe dans la perspective des élections municipales de 2026. Ainsi des sites comme Suddouestdirect.fr ou infosdupays.fr ont été créés par des Intelligences artificielles (IA) dans le but, selon une enquête menée par Franceinfo, d'exacerber la fragmentation politique en France. 

Pour mettre de l’ordre dans ce far west virtuel, le législateur européen a adopté en 2024 le règlement 2024/900, pleinement applicable depuis le 15 octobre 2025, et qui « vient compléter le RGPD afin d’encadrer l’usage croissant des outils numériques dans la sphère politique » , indique la Cnil. « Ce texte introduit de nouvelles obligations relatives à l’utilisation des techniques de ciblage ou de diffusion d’annonces publicitaires impliquant le traitement de données personnelles, dans le contexte de la communication politique en ligne. » 

Soulignons au passage que si ce règlement s’applique à tous les niveaux de scrutin – européen, national, régional ou local – ce sont néanmoins les États membres qui régissent le déroulement des campagnes politiques.

Transparence et consentement 

Concrètement, ce règlement sur la transparence de la publicité politique (RPP) prévoit des obligations sur l’utilisation de techniques de ciblage et de diffusion de publicités à caractère politique en ligne reposant sur le traitement de données à caractère personnel.

Désormais, pour utiliser des techniques de ciblage comme pourrait le faire un candidat à une élection qui utiliserait « un logiciel pour réaliser un tri en fonction de la zone géographique afin d’envoyer un courriel à des personnes résidant dans une zone où son parti a réalisé de bons scores »  par exemple, le consentement explicite de l’utilisateur est obligatoire. Par ailleurs, il n’est pas possible pour le responsable de traitement des données, « lorsqu’il a recours à ces techniques (ciblage ou diffusion d’annonces en ligne) »  de relever les données collectées en mairie car les données doivent directement être relevées auprès de l’utilisateur. Concernant les techniques de diffusion d’annonce à caractère politique, les mêmes règles de consentement explicite et de collecte directe s’appliquent. Un candidat à une élection peut par exemple utiliser « une application basée sur un algorithme capable d’identifier des sympathisants potentiels pour envoyer des messages sur un réseau social »  mais il doit respecter les règles du RPP. 

Au-delà de l’utilisation d’outils pour faire de la communication politique, d’autres règles s’appliquent concernant les fichiers de communication politique, l’utilisation de listes d’électeurs pour les opérations de prospection politique et l’utilisation circonscrite des données sensibles. 

La semaine dernière, et dans la perspective des élections municipales de mars prochain, la Cnil a publié six fiches pour aider les acteurs à se mettre en conformité sur les principaux traitements mis en œuvre dans le cadre de la communication politique. En complément de ces fiches, un tableau récapitulatif a été réalisé, présentant ainsi « les mentions que doivent rendre publiques les responsables de traitement et les éditeurs selon le type de publicité politique, conformément au RGPD et au règlement sur la transparence de la publicité politique. »  Une très utile FAQ est aussi accessible sur le site de la CNIL dédiée à la question des élections. Maire info reviendra dans une prochaine édition sur les recommandations de la CNIL dans la perspective des éléctions municipales. 

Suivez Maire info sur Twitter : @Maireinfo2