À l’occasion des élections municipales des 15 et 22 mars 2026, premières élections soumises au règlement (UE) 2024/900 du 13 mars 2024 relatif à la transparence et au ciblage de la publicité à caractère politique, la CNIL a dressé le bilan de son observatoire des élections. Elle fait état d’une diminution sensible des signalements par rapport au scrutin municipal de 2020, tout en engageant quatre contrôles et une procédure de sanction simplifiée pour non-réponse à une demande d’exercice des droits.
I. Un premier scrutin sous l’empire du règlement publicité politique
Lors de chaque échéance électorale, la CNIL réactive son observatoire des élections, dont la mission est de surveiller les pratiques de communication politique, de dialoguer avec les partis et candidats, et d’informer les électeurs sur leurs droits. Les municipales 2026 revêtaient une portée particulière : elles constituaient le premier scrutin soumis au règlement (UE) 2024/900 du Parlement européen et du Conseil du 13 mars 2024, entré en application le 10 octobre 2025, qui encadre la transparence et le ciblage de la publicité à caractère politique.[1]
Ce texte, d’application directe en droit interne, impose notamment aux prestataires de services de publicité politique des obligations renforcées de transparence sur le financeur du message, les critères de ciblage utilisés et les dépenses engagées. Il vient compléter, en matière électorale, les exigences du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) relatives à la licéité des traitements de données à des fins de prospection politique, lesquelles demeurent pleinement applicables.[2]
Afin d’accompagner les acteurs dans l’appropriation de ce nouveau cadre, la CNIL a diffusé six fiches pratiques à destination des candidats et partis, ainsi qu’un guide de sept réflexes pour une campagne responsable. À l’attention des électeurs, elle a publié une fiche sur leurs droits et une FAQ dédiée à la communication politique, et mis à disposition, à compter du 30 janvier 2026, une plateforme de signalement des pratiques irrégulières.
II. Un volume de signalements en baisse, dominé par la prospection par SMS
Entre l’ouverture de la plateforme de signalement le 30 janvier 2026 et le second tour du 22 mars 2026, la CNIL a reçu 739 signalements, en baisse significative par rapport aux élections municipales de 2020. La prospection par SMS constitue de loin le canal le plus signalé, représentant 405 signalements (63 %), devant les courriers (98 signalements, 16 %), les courriels (85, soit 13 %), les appels téléphoniques (45, soit 7 %) et la prospection via les réseaux sociaux (9, soit 1 %).
Sur ces 739 signalements, 81 ont donné lieu à l’instruction d’une plainte formelle. Ces plaintes émanaient majoritairement de personnes ayant reçu des courriels non sollicités (41 plaintes), des SMS (25) ou ayant fait l’objet d’un démarchage via les réseaux sociaux (2). Le motif principal avancé était l’origine des données exploitées par les candidats, ce qui renvoie directement aux conditions de licéité du traitement au regard de l’article 6 du RGPD, et notamment à la question de la base juridique mobilisée pour la collecte initiale des données.
III. Les manquements identifiés : origine des données et détournement de finalité
Deux catégories de manquements ressortent de l’analyse des plaintes. En premier lieu, l’origine des données : lorsqu’un candidat ou un parti politique utilise des fichiers dont la provenance n’est pas établie ou dont la collecte initiale ne permettait pas une réutilisation à des fins de prospection électorale, il méconnaît le principe de licéité posé à l’article 5, paragraphe 1, sous a), du RGPD, ainsi que l’obligation d’information prévue à l’article 14 du même règlement en cas de collecte indirecte.
En second lieu, des suspicions de détournement de finalité ont été relevées, principalement s’agissant de candidats sortants. Ce grief vise la situation dans laquelle des données collectées dans le cadre de l’exercice d’un mandat — par exemple des listes de contacts constitués à l’occasion d’une fonction élective — sont réutilisées à des fins de campagne électorale sans que cette utilisation soit compatible avec la finalité pour laquelle les données ont été initialement recueillies, en méconnaissance de l’article 5, paragraphe 1, sous b), du RGPD.
IV. Les suites : quatre contrôles et une procédure de sanction simplifiée
À ce stade, la CNIL a engagé quatre contrôles à la suite des signalements et plaintes reçus. Par ailleurs, une procédure de sanction simplifiée a été ouverte à l’encontre d’un candidat qui n’aurait pas répondu à une demande d’exercice des droits, en violation de l’obligation imposée par l’article 12 du RGPD de répondre dans un délai d’un mois à compter de la réception de la demande.
La procédure de sanction simplifiée permet à un président de section de la CNIL de prononcer seul certaines sanctions pour des manquements peu complexes ou dont les effets sont limités. Les décisions adoptées dans ce cadre sont non publiques, ce qui les distingue des délibérations de la formation restreinte publiées sur le site de la CNIL.
Ce bilan, pris dans sa globalité, témoigne de l’effectivité croissante du dispositif de contrôle électoral de la CNIL, dans un contexte où l’entrée en vigueur du règlement (UE) 2024/900 est susceptible de modifier, à terme, les pratiques de ciblage des candidats et partis politiques en imposant de nouvelles obligations de transparence sur les opérations de publicité politique numérique.
_____
[1]Règlement (UE) 2024/900 du Parlement européen et du Conseil du 13 mars 2024 relatif à la transparence et au ciblage de la publicité à caractère politique, JOUE L, 2024/900, 20 mars 2024.
[2]Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), JOUE L 119, 4 mai 2016, p. 1.