Votez pour moi qu’il disait, votez pour moi !

 

Votre entourage ou vous-même avez peut-être reçu ce type de SMS ou de message, et vous êtes loin d’être les seuls.

Un seul objectif, être élu et ils utilisent tous les moyens possibles sans toujours (rarement) se poser la question de la légalité et de la conformité, un comble pour un élu censé respecter les lois votées au parlement et au Sénat !

 

Vous en revanche, vous vous posez les questions :

 

  • A-t-il le droit
  • D’où proviennent les informations (téléphone, mail, …) qu’il a sur moi
  • Que puis-je faire

 

Nous allons tenter de vous répondre sur ces 3 questions,

 

En réponse à la première question, si celle-ci est oui, il a le droit, en revanche, il ne peut pas le faire n’importe comment et, la CNIL, nous rappelle les éléments suivants dans le cadre de la communication politique.

 

  • Les fichiers qui peuvent être utilisés À des fins de communication politique doivent respecter les règles de la protection des données (notamment le respect de la ou les finalité(s) du fichier concerné, la pertinence des informations collectées, une durée de conservation limitée des données et la confidentialité et la sécurité de celles-ci).

Bien entendu, ces fichiers, ne peuvent contenir votre orientation politique sans que vous en ayez été informés et avez donné votre accord à la collecte de cette information classée “sensible” au sens du RGPD.

 

Il doit également s’assurer de la conformité de la collecte des données qui lui ont été vendues ou fournies par son prestataire (si tel est le cas) et plus particulièrement le fait que ces données ont été collectées avec comme finalité ou sous-finalité l’utilisation à des fins de communications politiques et que vous avez été informés préalablement de cette possible destination de vos données et que vous avez consenti à l’utilisation des données pour ces finalités.

 

À la deuxième question, à savoir la provenance des données vous concernant, là encore la CNIL précise :

  • Les candidats sont tenus d’informer correctement les destinataires de leurs messages de prospection politique. Ainsi, l’origine des données utilisées pour démarcher un électeur doit notamment lui être précisée lorsque les données ne sont pas collectées directement auprès de lui.
  • Et plus particulièrement, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (les listes électorales par exemple).

Cette information devra intervenir dans un délai raisonnable après avoir obtenu les données personnelles et au plus tard au moment de la première communication à la personne concernée. Si le responsable de traitement (un parti politique par exemple) envisage de communiquer les informations à un autre destinataire (les candidats à des primaires internes au parti par exemple), il doit alors informer les personnes concernées au plus tard lorsque les données sont transmises au destinataire pour la première fois.

Enfin en ce qui concerne la troisième question, l’autorité de contrôle, la CNIL, précise :

 

  • Quel que soit le moyen de communication utilisé, les personnes contactées doivent pouvoir exercer leurs droits (notamment d’opposition) aussi simplement que possible : ces demandes doivent être traitées dans les meilleurs délais, et au plus tard sous un mois pour le droit d’accès.

Il ne faut donc pas hésiter, bien au contraire, à vous manifester auprès du candidat pour exercer à minima, en vertu de l’article 15 du RGPD, votre droit d’accès, mais également vos autres droits.

 

Il vous faut pour cela, contacter le candidat par n’importe quel moyen, courrier, mail, téléphone et demander conformément à cet article 15, communication de l’ensemble des informations en sa possession, avec copies éventuelles des documents que vous auriez rempli, la preuve que vous avez été informés du fait que ces données pourraient être utilisées à des fins de communication politiques, les coordonnées de l’origine des données, la base légale utilisée dans le cadre de cette collecte et votre consentement à l’utilisation de vos données dans ce cadre si la base légale évoquée est le consentement. Si une autre base légale est évoquée notamment l’intérêt légitime charge alors à lui de prouver cet intérêt.

 

N’hésitez pas non plus à exercer votre droit d’opposition à l’utilisation de vos données et qu’il lui est demandé également de transférer cette demande également à son fournisseur mais également au parti qu’il représente si les informations sont communes à plusieurs candidats du parti.

 

Pensez si besoin, à utiliser le lien de la CNIL pour signaler un manquement à leurs obligations légales en matière de respect des droits https://demarche.services.cnil.fr/signalement-elections/

 

Et enfin si rien de tout cela n’aboutit ou cela ne correspond pas à vos demandes, n’hésitez pas à saisir la CNIL et à déposer plainte à la CNIL. Certes une plainte ne suffira sans doute pas à diligenter un contrôle mais force reste aux nombres et dites-vous que vous n’êtes certainement pas le seul.

 

Pour terminer, et cela est valable pour toutes les collectes de vos données

 

  • Lisez ce que vous allez signer et notamment les clauses particulières, même si elles sont écrites en tout petit (il y a certainement une raison pour écrire en tout petit).
  • Ne consentez qu’en toute connaissance de cause les demandes faites de collecte de données que ce soit par internet ou sur un document.
  • Fuyez comme la peste tous documents sans la présence des mentions légales obligatoires et tous formulaires internet similaires.
  • Vérifiez les mentions légales sur les sites internet ainsi que la politique de confidentialité si les mentions légales ne contiennent pas cette politique. Vous devez au moins retrouver les finalités des collectes, les durées de conservation, les droits que vous avez sur les données que vous confiez, les bases légales utilisées par traitement.
  • Si vous trouvez sur ces mentions des informations comme celles-ci
    • Allusion aux articles 34 en ce qui concerne les droits qui ne sont plus en vigueur depuis 2004 !!!
    • Allusion aux articles 38 à 40 toujours en ce qui concerne les droits qui ne sont plus en vigueur depuis 2018.
    • L’information disant que la liste, le fichier, le site a été déclaré à la CNIL, ces demandes ont disparu depuis 2004.
    • Que vous ayez un droit de suppression (celui-ci n’a jamais existé)
    • Que ce site ne collecte aucune donnée (ha bon et l’adresse IP alors) et que donc il n’a pas à être déclaré à la CNIL (cf. point au-dessus).

 

Eh bien fuyez celui-ci et ne lui communiquez aucune information réelle. Cela montre au mieux que les mentions ne sont jamais relues et modifiées en conséquence, et donc que le responsable de l’organisme se fout du sort réservé à vos données. Au pire que malgré tout ce qui sera ensuite dit sur sa conformité au regard du RGPD risque de n’être que de l’apparence. Ceci est encore plus vrai si un DPO est mentionné dans les mentions, politique ou autres, vous pouvez alors vous poser la question de savoir s’il vient juste d’arriver (OK il lui faut un peu de temps pour modifier ou faire modifier toutes ces erreurs), s’il s’agit juste d’un nom pour répondre à une obligation légale ou encore pire, s’il connaît vraiment le RGPD ou s’il le pratique réellement.

 

Deux liens supplémentaires pour vous aider dans cette situation de sollicitation non demandée.

 

https://www.cnil.fr/fr/elections-departementales-regionales-regles-plan-action

 

https://www.cnil.fr/fr/elections-municipales-la-cnil-rappelle-les-regles-respecter-avant-le-second-tour