Délibération 2012-021 du 26 janvier 2012

Délibération n° 2012-021 du 26 janvier 2012 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication politique (norme simplifiée n° 34)

La Commission Nationale de l'Informatique et des Libertés,

Vu la Constitution du 4 octobre 1958, notamment son article 4 ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code électoral ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 24-I ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n°78-17 du 6 janvier 1978 ;

Vu la délibération de la Commission Nationale de l'Informatique et des Libertés n° 2012-020 du 26 janvier 2012 portant recommandation sur la mise en œuvre, par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives, de fichiers dans le cadre de leurs activités politiques ;

Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;


Formule les observations suivantes :

Les traitements automatisés de données à caractère personnel mis en œuvre par les partis ou groupements politiques, les élus et les candidats à des fonctions électives à des fins de communication politique sont susceptibles de faire apparaître les opinions politiques des personnes qui y sont recensées, du seul fait de leur présence dans ces fichiers.

La constitution, la gestion et l'utilisation de ces fichiers de communication politique impliquent donc un encadrement particulier au regard des dispositions de la loi du 6 janvier 1978 modifiée, qui ne doit toutefois pas porter atteinte aux libertés de conscience, d'expression et de manifestation des opinions, ainsi qu'à la liberté d'association des personnes.

Deux types de fichiers susceptibles d'être utilisés dans le cadre de la communication politique n'ont pas à faire l'objet d'une déclaration auprès de la Commission :

- les fichiers de gestion des membres et des personnes qui entretiennent des contacts réguliers avec un parti ou groupement politique, en application de l'article 22-II-3°) de la loi du 6 janvier 1978 modifiée ;

- les fichiers de communication politique constitués à partir des seules informations issues des listes électorales, y compris consulaires.

Les autres traitements de communication politique sont soumis à déclaration auprès de la Commission.

En application de l'article 24-I de la loi du 6 janvier 1978 modifiée, la Commission Nationale de l'Informatique et des Libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en œuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Les traitements mis en œuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication politique sont de ceux qui peuvent, sous certaines conditions, relever de cette définition. A cet égard, la Commission rappelle qu'elle a adopté la délibération n° 2012-020 du 26 janvier 2012 qui précise, au regard notamment de l'utilisation de nouveaux moyens de communication, les conditions de mise en œuvre des fichiers utilisés à des fins de communication politique.

Dans ces conditions, la Commission estime nécessaire d'adopter une nouvelle norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication politique.


Article 1er : Champ d'application

Peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme les traitements automatisés mis en œuvre à des fins de communication politique qui répondent aux conditions suivantes.

La notion de communication politique recouvre dans le cadre de la présente norme les opérations de :

- communication politique en direction des contacts occasionnels du parti ou groupement politique ;

- communication politique en direction des contacts réguliers et des contacts occasionnels de l'élu ou du candidat ;

- prospection politique (recherche de nouveaux contacts réguliers ou occasionnels ) ;

- propagande électorale (informations et sollicitations en vue d'élections prévues par le code électoral).

La notion de communication politique ne comprend pas les opérations de communication institutionnelle effectuées dans le cadre d'un mandat politique.

À cette fin et au sens de la présente norme, est considérée comme :

- contact régulier : toute personne qui accomplit, auprès d'un candidat ou d'un élu, une démarche positive en rapport direct avec son activité politique (abonnement à une lettre d'actualités, soutien financier, participation à son action, etc.) et entretient avec lui des échanges réguliers ;

- contact occasionnel : toute personne qui sollicite ponctuellement un candidat, élu ou parti politique, sans entretenir avec lui d'échanges réguliers dans le cadre de son activité politique ; ainsi que toute personne sollicitée à des fins de prospection politique à l'initiative du parti, élu ou candidat.

Les traitements ne s'inscrivant pas dans le cadre de la présente norme simplifiée et ceux ne pouvant bénéficier des exonérations susmentionnées doivent être déclarés à la Commission.


Article 2 : Finalités du traitement

Le traitement concerné peut avoir tout ou partie des finalités suivantes :

- la gestion des contacts réguliers de l'élu ou du candidat ;

- la gestion des contacts occasionnels du parti politique, de l'élu ou du candidat ;

- la gestion des opérations de communication, de prospection politique et de propagande électorale en direction de ces personnes, quels que soient les moyens de communication utilisés ;

- la gestion des opérations liées au financement d'un parti ou des opérations électorales de l'élu et du candidat ;

- la gestion des pétitions ayant pour objet le soutien direct d'un parti, de l'élu ou du candidat ;

- l'établissement d'études statistiques, à l'exception des sondages d'opinion.


Article 3 : Données traitées

Les catégories de données à caractère personnel traitées pour la réalisation des finalités décrites à l'article 2 sont :

- les données d'identification (nom, nom marital, titre ou fonction, prénom, sexe, date de naissance ; pseudonyme, nom d'utilisateur d'un réseau social) ;

- les coordonnées (adresse postale, numéro de téléphone, adresse électronique) ;

- les données de connexion (adresse IP, log, cookies) ;

- la participation financière (montant, date, nature du don) ;

- la vie personnelle et professionnelle (centres d'intérêt ; profession ou catégorie socio-professionnelle).

Aucune donnée à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle, ne peut faire l'objet d'un traitement, sauf justifications particulières et consentement exprès des personnes concernées.

En particulier, les traitements de gestion des contacts réguliers de l'élu ou du candidat sont susceptibles de faire apparaître les opinions politiques, réelles ou supposées, des personnes qui y sont recensées, du seul fait de leur présence dans ces fichiers. A ce titre, et conformément à l'article 8 de la loi, ces personnes doivent consentir expressément à la collecte et au traitement de leurs données dans ces fichiers.

Les données à caractère personnel enregistrées dans les traitements relevant de la présente norme peuvent être recueillies directement auprès des personnes concernées. Elles peuvent également être collectées de façon indirecte par l'intermédiaire d'autres personnes physiques (par exemple, dans le cadre d'une opération de parrainage), de fichiers déjà constitués (par exemple, location d'une base de prospection ou utilisation d'un annuaire) ou du réseau Internet.

Conformément à l'article 6 de la loi du 6 janvier 1978 modifiée, les données collectées et traitées doivent être pertinentes au regard de la finalité du traitement et de la nature des liens entretenus avec la personne concernée.


Article 4 : Destinataires des données

Peuvent seuls recevoir communication des données à caractère personnel traitées :

- l'élu ou le candidat ou les responsables du parti ou du groupement à caractère politique, qui, dans le cadre de leur fonction au plan national ou local, ont la responsabilité de la mise en œuvre des traitements correspondant aux finalités définies à l'article 2 ;

- les seuls personnels qui, en raison de leurs attributions, sont habilités à gérer ces traitements ;

- l'association ou le mandataire en charge du financement du parti, de l'élu ou du candidat politique ;

- les éventuels prestataires chargés de la réalisation des opérations de communication politique qui doivent être tenus contractuellement aux obligations de sécurité et de respect des droits des personnes.


Article 5 : Durée de conservation des données

Les données à caractère personnel mentionnées à l'article 3 doivent être supprimées dans les délais suivants :

- en ce qui concerne les opérations de communication politique (données relatives aux contacts réguliers de l'élu ou du candidat) : lorsque les échanges prennent fin ;

- en ce qui concerne les opérations de propagande électorale : à l'issue du scrutin concerné, sauf si la personne a consenti à ce que ses données soient utilisées à d'autres fins ;

- en ce qui concerne les opérations de prospection politique : dans un délai maximal de deux mois après l'envoi de l'unique message de prospection. Dans l'hypothèse d'une collecte de données sur Internet (par exemple, par l'intermédiaire des réseaux sociaux, blogs, microblogging ou chat), ce délai devrait être raccourci au regard du caractère instantané du support de communication utilisé.


Article 6 : Droits des personnes concernées

En application de l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes dont les données sont traitées doivent être informées de l'identité du responsable de traitement et, le cas échéant, de celui qui procède à la collecte ; de la ou des finalité(s) de cette collecte ; des catégories de données collectées ; du caractère obligatoire ou facultatif de leurs réponses ; des destinataires des informations collectées ; et de l'existence de droits d'accès, de rectification et d'opposition et de leurs modalités d'exercice.

En cas de collecte directe auprès des personnes concernées, ces informations doivent être fournies au moment de la collecte. En cas de collecte indirecte, elles doivent être fournies au plus tard lors de la première utilisation des données.

Lors de l'inscription d'un internaute à un réseau social virtuel, une application Internet, ou lors de l'utilisation d'outils de partage insérés sur une page Internet outil de communication politique, l'utilisateur doit être informé du caractère public de la relation créée et du fait que s'exprimer révélera publiquement son opinion politique, réelle ou supposée. Il doit en outre être invité à régler les paramètres de confidentialité de son profil d'utilisateur.

Dans le cadre d'opérations de prospection utilisant des moyens de communication téléphonique ou électronique (SMS, MMS, automate d'appel, bluetooth et courrier électronique), seules les personnes ayant consenti à être démarchées par ce moyen peuvent recevoir des messages de communication politique.

Tout message de communication politique doit rappeler les modalités d'exercice du droit d'opposition des personnes à recevoir de nouveaux messages de prospection. Lorsque les données n'ont pas été recueillies directement auprès des personnes concernées par l'élu, le candidat ou le parti ou groupement à caractère politique, ce message doit également indiquer l'origine des informations utilisées pour le leur faire parvenir.

Le responsable de traitement doit faciliter par tout moyen l'exercice des droits d'opposition, d'accès et de rectification des données, prévus par les articles 38 à 40 de la loi du 6 janvier 1978 modifiée, et les traiter dans un délai maximal de deux mois.


Article 7 : Mesures de sécurité

Des mesures de protection physique et logique doivent être prises afin de préserver la sécurité du traitement et des données à caractère personnel ; empêcher notamment toute utilisation détournée, frauduleuse ou que des tiers non autorisés y aient accès ; et en préserver l'intégrité.

En particulier, des mesures permettant de contrôler les accès au traitement et de sécuriser les communications des données sont mises en œuvre.

Ces mesures doivent être adaptées au traitement et au mode de communication choisi.


Article 8 : Recours à un prestataire de service

Le recours à un prestataire pour gérer des fichiers ou des opérations de communication politique n'exonère le parti politique, l'élu ou le candidat d'aucune de ses obligations de responsable de traitement.

À ce titre, il doit s'assurer que le contrat de sous-traitance comporte notamment une clause spécifique précisant : les mesures à mettre en œuvre afin de répondre à l'obligation de sécurité du traitement et de confidentialité des données ; l'interdiction d'utiliser les données fournies à d'autres fins que la mission pour laquelle elles ont été confiées ; l'interdiction de divulguer ces données à des tiers ; et, le cas échéant, les obligations du sous-traitant en matière d'information des personnes et de recueil de leur consentement.


Le responsable de traitement peut, de même, confier la réalisation des statistiques mentionnées à l'article 1er à un prestataire de service. Dans cette hypothèse, il ne doit fournir à son prestataire, dans des conditions satisfaisantes de sécurité, que les seules données pertinentes pour réaliser l'étude concernée. Les résultats de celle-ci doivent être anonymisés avant leur restitution. Le contrat conclu entre le responsable de traitement et son prestataire doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel transmises. Dans tous les cas, le prestataire de services doit procéder à la destruction ou à la restitution de tous les fichiers manuels ou informatisés stockant les informations saisies dès l'achèvement de son contrat.

Article 9 : Publication

La présente délibération abroge la délibération n° 2006-229 du 5 mai 2006 et sera publiée au Journal officiel de la République française.


La Présidente

Isabelle FALQUE PIERROTIN

Retourner en haut de la page