RGPD : les trois griefs récurrents des électeurs aux candidats aux municipales
Le 27 novembre 2019, la Commission nationale de l’informatique et des libertés (Cnil) lançait une plateforme de signalement pour les électeurs dans la perspective des élections municipales (lire Maire info du 17 décembre 2019). Elle restera ouverte jusqu’au 28 juin, date du second tour. Six mois plus tard, la Commission relève que « le manque de transparence » des candidats est « à l’origine de nombreux signalements ». Dans chaque cas, la Cnil contacte les candidats mis en cause et leur rappelle leurs obligations. « Selon la gravité des manquements constatés, les candidats s’exposent à l’ensemble des mesures coercitives de la Cnil, qui peuvent être un rappel à l’ordre, une mise en demeure ou une sanction pécuniaire ».
« Le candidat doit correctement informer les destinataires de ses messages »
« La grande majorité des plaignants s’interrogent sur l’origine des données utilisées pour les contacter, conséquence directe d’un manquement aux obligations d’information de la part du candidat », poursuit-elle s’appuyant sur le témoignage d’un électeur interrogatif. « Le candidat Y à la mairie de X vient de m'appeler (bande enregistrée) sur ma ligne fixe qui est sur liste rouge ! Comment a-t-il pu obtenir mon numéro ? Scandaleux ces pratiques intrusives sans accord de ma part ! », objecte-t-il.
La Commission rappelle donc que « le candidat doit correctement informer les personnes destinataires de ses messages de prospection politique, que leurs données aient été collectées directement ou indirectement auprès d’elles ». Comme cela semble être le cas dans ce témoignage, « lorsque les données personnelles ne sont pas collectées directement auprès de la personne sollicitée, le candidat doit lui transmettre des informations quant à l’origine de celles-ci ».
Cette information ne peut pas être « générale ou imprécise » (par exemple : « vos données figurent dans les fichiers d’un partenaire » ) ni « erronée » (par exemple : « votre numéro de téléphone provient de la liste électorale » ). « Au contraire, poursuit la Cnil, cette information doit être précise et détaillée (par exemple : « vos données nous ont été communiquées par la société XXX avec qui nous travaillons. Vous pouvez la contacter à telle adresse » ), pour permettre aux personnes concernées d’exercer leurs droits auprès de ce fournisseur. »
Les fichiers tenus par les mairies ne doivent pas être utilisés pour envoyer de la propagande
Autre exemple de manquements aux règles relatives à la protection des données personnelles : les fichiers tenus par les mairies (coordonnées laissées lors de démarches à la mairie, fichiers scolaires ou périscolaires, fichiers « évènements météorologiques », fichiers de gestion de crise sanitaire liée au covid-19) sont parfois utilisés à mauvais escient et ce que l’on appelle le « principe de finalité » n’est pas toujours respecté. Comme le fait remarquer cet électeur : « Bonjour, je reçois des mails concernant les réunions du candidat X. Cependant il utilise les adresses mail via le portail famille avec lequel j'inscris mes enfants à la cantine... C'est scandaleux d'utiliser les données personnelles pour ça ».
Or ces fichiers ne peuvent pas être utilisés pour envoyer de la propagande électorale aux administrés. « Il est également interdit pour un candidat dirigeant, par exemple, une société commerciale ou une association, d’utiliser le fichier de ses clients ou adhérents pour leur adresser des messages en lien avec sa campagne électorale. Un tel usage peut représenter un « détournement de finalité », puni de 5 ans d’emprisonnement et 300 000 € d’amende par le Code pénal », rappelle la Cnil.
Les droits des destinataires doivent être garantis
« Je tiens à la disposition les multiples courriels de campagne auxquels, très énervée de les recevoir, j’ai voulu me désinscrire et là, quelle ne fut pas ma surprise : impossible car aucun bouton, aucun courriel de contact et le « replay » est impossible ! Impossible de contacter la candidate donc ! », proteste, enfin, une autre électrice, alors que les règles en la matière imposent au candidat de « faciliter l’exercice des droits par la personne concernée et traiter ses demandes dans les meilleurs délais, et au plus tard dans un délai d’un mois ».
Chaque candidat se doit ainsi d’insérer, dans tout envoi électronique, un lien permettant facilement et gratuitement de signifier son opposition à recevoir des messages ultérieurs. Cela se traduit aussi par « la prise en compte effective et rapide des demandes exprimées » et « une répercussion des demandes d’effacement au fournisseur des données ». Et la Cnil de conclure : « une demande d’opposition et d’effacement de ses données doit réellement aboutir à la suppression des données personnelles contenues dans le fichier du candidat. De plus, une demande d’accès à ses données, et notamment à leur origine, ne doit pas amener le candidat à effacer les données de la personne concernée sans répondre à sa demande d’accès. »
Ludovic Galtier
Suivez Maire info sur Twitter : @Maireinfo2