A seulement deux mois des élections municipales de 2026, la Commission nationale de l’informatique et des libertés (Cnil) a publié un article indiquant qu’en décembre 2025, elle avait sanctionné cinq candidats aux élections européennes et législatives de 2024 au regard du non-respect des règles sur la communication en période électorale.
Dans la continuité de l’article Élections et communication : 6 fiches pratiques pour accompagner les acteurs, cet article précise le cadre juridique applicable aux acteurs politiques.
Une période passée au peigne fin par la Cnil
Communication en période électorale : sanctions de la Cnil en 2025
A l’occasion des élections européennes et législatives de 2024, la Cnil a mis en place un dispositif de contrôle spécifique afin de suivre les usages numériques des candidats. Un téléservice accessible au public permettait aux citoyens de signaler directement les messages de campagne perçus comme intrusifs ou contraires au droit des données personnelles.
Ce mécanisme, intégré à l’« observatoire des élections », a conduit à la réception de 462 signalements, un volume sensiblement plus élevé que lors des précédents scrutins. Cette hausse illustre l’attention croissante portée par les électeurs à la manière dont leurs données sont utilisées à des fins politiques.
L’analyse des signalements permet d’établir une cartographie précise des canaux de communication générant le plus de plaintes : 59 % concernent la prospection par SMS, 17 % les courriels et 16 % les courriers. La prospection par appel téléphonique ne représente quant à elle que 3 % des signalements.
Sur la base de ces éléments, la Cnil a concentré ses contrôles sur les situations les plus problématiques, en ciblant les candidats faisant l’objet de nombreux signalements ou présentant des manquements particulièrement sérieux.
À l’issue des investigations, cinq amendes ont été prononcées selon la procédure simplifiée, pour un montant total de 23 500 euros. Au-delà de l’aspect financier, ces décisions rappellent que les impératifs de communication électorale ne sauraient justifier des atteintes aux règles de protection des données personnelles.
Communication en période électorale : le respect des principes fondamentaux du traitement des données
Communication en période électorale : sanctions de la Cnil en 2025
Les contrôles menés ont mis en évidence que certains candidats étaient incapables de justifier la base légale des traitements de données utilisés pour leurs communications en période électorale.
Il convient de rappeler que le recours à des prestataires techniques (plateformes d’envoi de SMS ou de courriels, courtiers en données, etc.) ne décharge en aucun cas les candidats de leurs responsabilités. En tant que responsables de traitement, ils doivent être en mesure d’établir la conformité de leurs pratiques, soit en démontrant l’existence d’un consentement valide, soit en fondant la prospection sur leur intérêt légitime, lorsque celui-ci est applicable.
Par ailleurs, le principe de limitation des finalités impose que les données ne soient utilisées que pour les objectifs pour lesquels elles ont été collectées. À ce titre, la Cnil a sanctionné un candidat exerçant une profession médicale, qui avait utilisé les coordonnées téléphoniques de ses patients pour diffuser un message de campagne. Ces données, recueillies dans un contexte de soins, ne pouvaient légalement être réutilisées à des fins politiques, ce qui constituait un détournement de finalité prohibé par le RGPD.
Sanction de la Cnil pour absence d’information des personnes concernées
Communication en période électorale : sanctions de la Cnil en 2025
Quatre candidats ont été sanctionnés pour ne pas avoir correctement informé les destinataires de leurs communications en période électorale.
Conformément aux articles 12, 13 et 14 du Règlement général sur la protection des données (RGPD), les candidats doivent fournir l’ensemble des informations requises, pour que les personnes concernées soient informées de manière claire et complète dès la collecte de leurs données, ou au plus tard lors du premier contact.
Concrètement, les candidats ayant recours à des listes électorales ou à des bases de données acquises auprès de sociétés spécialisées doivent, dès le premier message de campagne, préciser leur identité, l’objectif politique de la communication, la base juridique retenue, l’origine des données utilisées, ainsi que les droits dont disposent les destinataires, notamment le droit d’opposition et le droit à l’effacement.
Manquements relatifs à l’effectivité des droits des personnes
Communication en période électorale : sanctions de la Cnil en 2025
La Cnil a par ailleurs relevé plusieurs manquements concernant l’exercice effectif des droits des personnes. Deux candidats ont été sanctionnés pour ne pas avoir mis en place de mécanisme permettant aux destinataires de s’opposer à la réception de messages de prospection, en violation des articles 12 et 21 du RGPD. Des dispositifs tels qu’une mention « STOP SMS » ou un lien de désinscription sont indispensables.
Dans un autre cas, un candidat n’avait pas donné suite à une demande d’accès et d’effacement formulée par un électeur ayant reçu un SMS de campagne. Or, le RGPD impose des délais stricts pour répondre à ce type de demande : un mois en principe, avec des ajustements possibles selon la nature des données concernées. Face à cette carence, la Cnil a prononcé une injonction obligeant le candidat à répondre aux demandes restées sans suite.
L’obligation d’assurer la confidentialité des données
Communication en période électorale : sanctions de la Cnil en 2025
Les candidats doivent veiller à ce que leurs communications en période électorale soient sécurisées et respectent la confidentialité des données.
Lors d’un contrôle, il a été constaté qu’un candidat avait adressé un courriel de prospection à de nombreux destinataires sans masquer les adresses électroniques, rendant ainsi visibles les coordonnées de l’ensemble des personnes contactées. Une telle pratique porte atteinte au principe de confidentialité prévu par l’article 32 du RGPD.
Elle a également souligné la gravité de la situation, puisque les données révélées concernaient l’opinion politique réelle ou supposée des destinataires, considérée comme donnée sensible au sens de l’article 9 du RGPD.
Virginie Bensoussan-Brulé apportera un éclairage juridique et opérationnel sur
« La communication numérique en période électorale »
lors d’une Conférence Lexing à distance le 28 janvier 2026, de 9h30 à 11h30
(Participation gratuite sur inscription obligatoire).
Virginie Bensoussan-Brulé
Avocate, Directrice du pôle Contentieux du numérique
Célia Neveux
Juriste, département Contentieux numérique
Pour en apprendre davantage
Le Règlement européen sur l’intelligence artificielle constitue un outil essentiel pour comprendre les enjeux juridiques et techniques que pose le RIA (ou AI Act). L’ouvrage analyse et souligne les points clé et analyse article par article ce texte...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
