Délibération nº 2006-229 du 5 octobre 2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication (norme simplifiée nº 34).
La Commission nationale de l'informatique et des libertés,
Vu la Constitution du 4 octobre 1958, et notamment son article 4 ;
Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des postes et des communications électroniques, et notamment son article L. 34-5 ;
Vu le code électoral ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et en particulier son article 24 ;
Vu la loi nº 88-227 du 11 mars 1988 relative à la transparence financière de la vie politique ;
Vu la loi nº 90-55 du 15 janvier 1990 relative à la limitation des dépenses électorales et à la clarification du financement des activités politiques ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;
Vu la délibération de la Commission nationale de l'informatique et des libertés nº 2006-228 du 5 octobre 2006 relative à la mise en oeuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques ;
Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les conditions d'utilisation des fichiers comprenant des données à caractère personnel à des fins de communication politique sont précisées par une délibération de la CNIL en date du 5 octobre 2006 portant adoption d'une recommandation relative à la mise en oeuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques.
Au regard des formalités préalables prévues par la loi, les traitements mis en oeuvre, notamment à des fins de communication politique, par les partis ou groupements à caractère politique lorsqu'ils concernent des données relatives à leurs membres ou aux personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité politique sont exonérés de déclaration auprès de la CNIL.
La commission considère que les traitements mis en oeuvre à des fins de communication politique constitués à partir des seules informations issues de la liste électorale sont, eux aussi, exonérés de déclaration.
Les autres traitements mis en oeuvre à des fins de communication politique qui ne peuvent bénéficier de ces dérogations doivent être déclarés à la CNIL, y compris lorsqu'il est fait appel à des prestataires extérieurs.
En application de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. Les traitements mis en oeuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
La commission a déjà adopté le 3 décembre 1991 une norme simplifiée relative aux traitements automatisés d'informations nominatives mis en oeuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication.
Cependant, elle estime nécessaire d'adopter un nouveau texte au regard, notamment, de la modification de la loi du 6 janvier 1978 par la loi du 6 août 2004 et de l'utilisation par les partis, groupements à caractère politique, élus ou candidats, des moyens de communication électronique ;
Décide :
– d'abroger la délibération nº 91-118 du 3 décembre 1991 relative aux traitements automatisés d'informations nominatives mis en oeuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication ;
– d'adopter une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les partis, groupements à caractère politique, élus ou candidats à des fonctions électives à des fins de communication (norme simplifiée nº 34) dont le contenu est le suivant :
Article 1. Peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme les traitements automatisés qui répondent aux conditions définies aux articles suivants.
Article 2. Finalités des traitements.
Les traitements peuvent avoir tout ou partie des finalités suivantes :
– la gestion et l'envoi, y compris sous forme électronique, de toute information faite dans le respect du code électoral et ayant un lien direct avec l'activité politique poursuivie tels que les programmes politiques, les appels d'adhésion ou de financement, les comptes rendus de mandats, les invitations aux réunions, etc. ;
– l'établissement d'études statistiques, à l'exception des sondages d'opinion ;
– l'exécution d'opérations liées au financement des partis ou des opérations électorales, et en particulier la gestion des comptes de campagne et des comptes de partis ou groupements à caractère politique tels que définis par la loi nº 90-55 du 15 janvier 1990.
Article 3. Origine et nature des données traitées.
Les données à caractère personnel pouvant être traitées dans le cadre de la présente norme sont soit recueillies directement auprès des personnes, y compris par l'intermédiaire de sites web ou de ” blogs ” mis en oeuvre par le parti, le groupement à caractère politique, l'élu ou le candidat, soit indirectement par l'intermédiaire de fichiers loués dans le respect des dispositions de la loi ” informatique et libertés “.
Les données à caractère personnel pouvant être traitées dans le cadre de la présente norme sont :
– nom, nom marital, titre ou fonction, prénom, sexe, date de naissance, adresse postale, numéro de téléphone fixe ou mobile, adresse électronique, profession ou catégorie socio-professionnelle, centres d'intérêt, montant des dons, date des dons.
Les données traitées dans le cadre d'opérations de communication politique et, le cas échéant, la production, à partir des fichiers utilisés, de sélections de personnes à contacter ne peuvent en aucun cas porter sur des données susceptibles de faire apparaître directement ou indirectement les origines raciales ou les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou qui sont relatives à la santé ou à la vie sexuelle des personnes, sauf justifications particulières et accord écrit des personnes concernées.
Article 4. Destinataires des données traitées.
Peuvent seuls être destinataires des données à caractère personnel traitées :
– l'élu ou le candidat ou les responsables du parti ou du groupement à caractère politique, qui, dans le cadre de leur fonction au plan national ou local, ont la responsabilité de la mise en oeuvre des traitements correspondant aux finalités définies à l'article 2 et les seuls personnels habilités à gérer ces traitements ;
– les éventuels prestataires chargés de la réalisation des opérations de communication qui doivent être tenus contractuellement aux obligations de sécurité et de respect des droits des personnes.
Article 5. Durée de conservation.
Les données à caractère personnel nécessaires aux traitements définis à l'article 2 peuvent être conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont enregistrées.
Les données collectées dans le cadre d'opérations de communication mises en oeuvre à l'occasion d'une campagne électorale ne peuvent être conservées à l'issue du scrutin, sauf information préalable des personnes.
Article 6. Information et droits des personnes.
Les personnes dont les données sont traitées doivent avoir été informées de l'identité de celui qui aura procédé à la collecte, de la ou des finalité(s) de cette collecte dont, le cas échéant, l'utilisation des données à des fins de communication politique, du caractère obligatoire ou facultatif de leur réponse et des conséquences, en cas de défaut de réponse, des destinataires des informations collectées et de l'existence d'un droit d'accès, de rectification et d'opposition.
Les personnes dont les données sont issues d'un fichier loué doivent avoir été mises en mesure de s'opposer par un moyen simple et immédiat à la transmission ou à l'utilisation de leurs données par l'élu, le candidat ou le parti ou groupement à caractère politique à l'origine du message.
Dans le cadre de l'utilisation de moyen de communication par voie électronique, seules les personnes ayant préalablement consenti à être démarchées peuvent recevoir des messages de communication politique.
Les messages envoyés dans le cadre d'opérations de communication politique doivent indiquer aux personnes démarchées les modalités selon lesquelles elles peuvent utilement demander à ne plus recevoir de nouveaux messages.
Ces messages indiquent aux personnes démarchées l'origine des informations utilisées pour leur faire parvenir ce message lorsque les données n'ont pas été recueillies directement par l'élu, le candidat ou le parti ou groupement à caractère politique à l'origine du message.
Article 7. Mesures de sécurité.
Des mesures de sécurité physique et logique doivent être prises afin de préserver la sécurité des données à caractère personnel traitées et d'empêcher notamment qu'elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Article 8. La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 5 octobre 2006.
Le président, A. Türk