À l’approche des élections municipales des 15 et 22 mars 2026, la protection des données personnelles constitue un enjeu majeur pour l’ensemble des acteurs du scrutin : candidats, élus sortants, équipes de campagne, prestataires numériques et, bien entendu, citoyens.
L’utilisation croissante d’outils numériques — sites web, réseaux sociaux, messageries électroniques, formulaires en ligne ou plateformes de mobilisation — multiplie les traitements de données personnelles et renforce les risques juridiques, réputationnels et démocratiques.
Dans ce contexte, le Règlement général sur la protection des données (RGPD), la loi Informatique et Libertés et le droit électoral imposent un cadre strict, sous le contrôle de la CNIL. À l’issue des élections européennes et législatives de 2024, plusieurs candidats ont d’ailleurs fait l’objet de mesures correctrices et de sanctions.
Cet article propose une synthèse claire des obligations, des risques et des bonnes pratiques à connaître pour mener une campagne électorale respectueuse des droits des personnes et conforme aux attentes de la CNIL.
Les campagnes électorales sont-elles concernées par le RGPD ?
Toute opération impliquant la collecte, l’enregistrement, l’utilisation, la conservation ou la suppression de données relatives à des personnes identifiées ou identifiables constitue un traitement de données personnelles au sens du RGPD. À ce titre, les campagnes électorales sont pleinement concernées par la réglementation. La collecte d’adresses électroniques, de numéros de téléphone ou de données via des formulaires, des réunions publiques ou des outils numériques (sites web, réseaux sociaux, plateformes de mobilisation) constitue un traitement soumis au RGPD.
Dès lors qu’un acteur du scrutin — candidat, liste, parti politique ou équipe de campagne — détermine les finalités et les moyens de ces traitements, il agit en qualité de responsable de traitement et doit respecter les principes fondamentaux du RGPD : licéité, loyauté, transparence, minimisation des données, sécurité et limitation des durées de conservation.
Les prestataires techniques (hébergeurs, plateformes d’envoi de SMS ou d’e-mails, outils de gestion de campagne, réseaux sociaux) interviennent généralement en qualité de sous-traitants et doivent être encadrés par des contrats conformes à l’article 28 du RGPD. Certaines pratiques, notamment la publicité politique en ligne ou l’utilisation de plateformes mutualisées, peuvent conduire à des situations de responsabilité conjointe, impliquant une répartition claire et transparente des obligations entre les acteurs.
Le plan de vigilance de la CNIL pour les élections municipales 2026
Pourquoi la CNIL renforce-t-elle ses contrôles ?
Lors des élections municipales de 2020, la CNIL a reçu près de 3948 signalements, principalement liés à l’envoi de SMS, aux appels téléphoniques et aux e-mails de campagne. Ces signalements ont concerné majoritairement les grandes agglomérations. Face à la multiplication des outils numériques et aux risques de dérives en matière de ciblage politique, la CNIL a annoncé un renforcement de sa vigilance pour les élections municipales de 2026, notamment via des actions de sensibilisation, un observatoire dédié et des contrôles ciblés.
Signalements et contrôles : comment réagir ?
Les citoyens peuvent signaler facilement des pratiques problématiques via le dispositif mis en place par la CNIL. Ces signalements permettent à l’autorité d’identifier des pratiques à risque et, le cas échéant, de procéder à des investigations. En cas de mise en demeure, il est essentiel de réagir rapidement : corriger les manquements identifiés, documenter les mesures prises et coopérer avec la CNIL afin de limiter le risque de sanctions plus lourdes. Voici le lien de signalement si on ne respecte pas vos données personnelles : https://demarche.services.cnil.fr/elections/signalement-elections-municipales-2026/
Collecte de données : ce qui est autorisé (et ce qui ne l’est pas)
Usage des listes électorales : un cadre strict
Les listes électorales sont encadrées par le code électoral et ne peuvent être utilisées que pour les finalités prévues par la loi. Leur utilisation à des fins de communication politique directe ou de constitution de fichiers de prospection constitue un détournement de finalité et est interdite. Les candidats et équipes de campagne doivent privilégier des bases de contacts constituées de manière licite, notamment par le recueil volontaire des coordonnées des personnes concernées.
Du porte-à-porte au formulaire web : comment recueillez-vous des contacts de façon légale ?
La collecte de données lors du porte-à-porte, de réunions publiques ou via des formulaires en ligne est possible, à condition de respecter le principe de transparence. Les personnes concernées doivent être clairement informées de la finalité de la collecte, de l’utilisation de leurs données et de leurs droits.Lorsque le consentement est requis, celui-ci doit être libre, spécifique, éclairé et univoque et un moyen simple d’opposition ou de retrait du consentement doit être proposé.
Réseaux sociaux et outils de « Data Politique » : quelles limites ?
Le profilage des électeurs, notamment sur la base de leurs opinions politiques, est strictement encadré. Le ciblage fondé sur des données sensibles nécessite le consentement explicite des personnes concernées. Les campagnes publicitaires en ligne doivent respecter les paramètres de confidentialité des plateformes et éviter toute technique intrusive ou déloyale. Depuis l’entrée en application du règlement européen relatif à la transparence et au ciblage de la publicité politique (RPP), le recours à des techniques de ciblage ou de diffusion de publicité politique en ligne entraîne des obligations renforcées. Ces obligations portent notamment sur l’information des personnes concernées, la transparence des critères de ciblage et l’encadrement des traitements de données utilisés à des fins politiques. Ces dispositifs doivent être appréciés au cas par cas et faire l’objet d’une analyse juridique spécifique, au regard du RGPD et du droit électoral.
Consentement, intérêt légitime et communication politique
L’envoi de messages électroniques (SMS, e-mails, appels automatisés) à caractère politique nécessite, dans la majorité des cas, le consentement préalable des personnes concernées, en particulier lorsque les données utilisées révèlent des opinions politiques ou reposent sur des techniques de ciblage. Il est important d’obtenir le consentement préalable des destinataires (« opt-in »), sauf exception prévue par la loi. Si vous pratiquez l’envoi massif sans consentement, vous risquez des sanctions. Assurez-vous d’obtenir un accord clair et documenté avant toute communication directe.
Dans des situations limitées, l’intérêt légitime peut constituer une base légale pour certaines communications non intrusives. Il doit toutefois faire l’objet d’une mise en balance documentée entre l’intérêt poursuivi et les droits et libertés des personnes concernées. La réutilisation de fichiers issus de campagnes antérieures n’est pas automatique. Les personnes doivent être informées de cette réutilisation et disposer d’un moyen simple de s’y opposer. Lorsque les données sont anciennes ou que la finalité a évolué, un nouveau consentement peut être requis.
Mentions d’information et transparence
Toute communication politique doit comporter des informations claires sur l’identité du responsable de traitement, la finalité des messages, la base légale utilisée et les droits des personnes concernées. La politique de confidentialité doit notamment préciser : l’identité et les coordonnées du responsable de traitement, l’origine des données, les finalités poursuivies, les catégories de données collectées, les destinataires, la durée de conservation et les modalités d’exercice des droits.
Lorsque des techniques de ciblage ou de diffusion d’annonces politiques en ligne sont utilisées, des obligations renforcées de transparence s’appliquent, conformément au règlement européen relatif à la transparence et au ciblage de la publicité politique. Les personnes concernées doivent pouvoir comprendre la logique du ciblage, les catégories de données utilisées et les paramètres retenus. En cas de doute sur les mentions d’informations à transmettre aux personnes concernées, voici le tableau : https://www.cnil.fr/fr/les-mentions-dinformations-requises-pour-la-communication-politique
Durée de conservation et sécurité des données
Les données collectées dans le cadre d’une campagne électorale ne doivent pas être conservées indéfiniment. Une durée de conservation proportionnée, généralement limitée à quelques mois après le scrutin, doit être définie et appliquée. Les responsables de traitement doivent également garantir la sécurité et la confidentialité des données : accès restreint aux personnes habilitées, gestion rigoureuse des droits d’accès, sécurisation des fichiers et vigilance particulière lors des envois groupés. Les fichiers de communication politique doivent être strictement cloisonnés et ne pas être alimentés à partir de bases issues d’autres fonctions institutionnelles, professionnelles ou associatives.
Risques et sanctions : ce que vous devez savoir
Le non-respect des règles applicables expose les responsables de traitement à des sanctions administratives, pouvant aller de la mise en demeure à des amendes, ainsi qu’à des risques pénaux en cas de collecte frauduleuse ou de détournement de finalité. Au-delà des sanctions juridiques, une atteinte à la protection des données personnelles peut entraîner un impact réputationnel significatif et nuire durablement à la confiance des électeurs
Conclusion : faites du respect de la vie privée un argument de campagne
À l’approche des élections municipales de 2026, le respect du RGPD ne constitue pas une contrainte accessoire, mais un pilier essentiel de la transparence et de la confiance démocratique.
Anticiper les exigences de la CNIL, documenter les choix opérés et adopter des pratiques respectueuses des droits des personnes permet de sécuriser juridiquement les campagnes électorales et de renforcer la crédibilité des acteurs du scrutin auprès des citoyens.
Le présent article a pour objet de présenter le cadre juridique applicable en matière de protection des données dans le cadre des campagnes électorales. Il ne saurait se substituer à une analyse juridique individualisée.
