À l’approche des municipales 2026, la CNIL remet la donnée personnelle au cœur du débat démocratique. Ciblage, IA, SMS et appels, l’autorité promet une surveillance accrue et un canal de signalement.
La CNIL renforce son dispositif de suivi des campagnes avant les élections municipales de 2026, dans un contexte où la prospection politique s’appuie toujours plus sur les données personnelles, les réseaux sociaux et des outils d’intelligence artificielle. Active depuis 2012, son « observatoire des élections » encadre les pratiques des candidats, des partis et de leurs sous-traitants, et traite conseils, signalements et plaintes. Lors des municipales 2020, 3 948 signalements ont été comptabilisés, majoritairement liés aux SMS et aux appels. Avec l’entrée en application du RPP le 10 octobre 2025, la CNIL ciblera notamment le consentement, l’interdiction du profilage sensible et la protection des mineurs.
Une campagne numérisée, une démocratie sous tension
Il y a quelques jours, ZATAZ vous montrait un outil « pirate » modifié par votre serviteur afin de vous en faire la démonstration en vidéo, capable de perturber, par exemple, une pétition ou des formulaires qu’il est possible de trouver sur des sites politiques. L’outil en question aurait été pensé, ou utilisé [je n’ai pas de preuve], pour « remplir » au moins deux pétitions politiques françaises, dont celle d’un politique d’extreme droite, l’année derniére.
Démonstration de cet outil pirate pour nuire à nos démocraties.
La communication électorale a changé de nature. Elle n’est plus seulement une affaire de tracts, de réunions et d’affiches, elle se joue désormais dans la mécanique invisible des fichiers, des plateformes et des outils automatisés. La CNIL décrit une numérisation accélérée, nourrie par les réseaux sociaux et par des usages d’intelligence artificielle qui facilitent la prospection, la segmentation et l’optimisation des messages. Dans ce paysage, la protection des données cesse d’être un détail technique pour devenir un paramètre central du processus électoral, donc de la vie démocratique.
Cette pression se lit dans les remontées du terrain. L’autorité constate que les personnes la saisissent davantage lorsqu’elles observent des pratiques qu’elles jugent abusives, et qu’elles les dénoncent aussi publiquement. Pour absorber cette réalité, la CNIL s’appuie sur un outil installé de longue date, l’observatoire des élections, mis en place en 2012. Sa logique est opérationnelle : suivre ce qui remonte pendant la campagne, répondre aux demandes de conseil de candidats, analyser les alertes, et repérer les schémas récurrents qui peuvent traduire une méconnaissance des règles ou un choix délibéré de passer en force.
Les chiffres des municipales 2020 servent d’avertissement. La CNIL y a reçu 3 948 signalements, dont 3 034 dès le premier tour et 914 au second, répartis sur 329 communes, surtout de grandes agglomérations. La cartographie des canaux est parlante : les SMS concentrent 45 % des signalements, les appels téléphoniques 36 %, les courriels 12 %. Le reste se partage entre d’autres modes, avec 5 % pour des courriers et 1 % pour des réseaux sociaux. Derrière ces pourcentages, une même interrogation revient : qui détient mes données, d’où viennent-elles, et pourquoi suis-je ciblé maintenant ?
Nouvelles règles 2026, signaler sans attendre
Pour 2026, la CNIL annonce une vigilance resserrée, dans le prolongement de ses travaux liés au règlement européen sur la transparence et le ciblage de la publicité politique, le RPP, entré en application le 10 octobre 2025. Le message vise directement les candidats, les partis et leurs sous-traitants, autrement dit l’écosystème qui fabrique la prospection et opère les outils. Quatre exigences structurent ce cadre. D’abord, la collecte doit se faire directement par le responsable de traitement auprès de la personne concernée, ce qui ferme la porte aux chaînes opaques d’enrichissement. Ensuite, la base légale admise est le consentement, ce qui transforme la prospection en démonstration de preuve, pas en simple habitude. Troisième point, le profilage mobilisant des données sensibles est prohibé, un verrou majeur contre les catégorisations à haut risque. Enfin, le ciblage des mineurs de moins de 17 ans est interdit, marqueur clair d’une volonté de protection renforcée.
La CNIL rappelle toutefois qu’une dérogation demeure pour les communications internes d’un parti politique, d’une fondation, d’une association ou d’une structure similaire, lorsqu’elles s’adressent à ses membres et anciens membres. L’équilibre se joue là : préserver l’organisation interne sans ouvrir une brèche vers un marketing électoral déguisé. L’autorité invite donc candidats et partis à s’appuyer sur ses ressources afin de mener une campagne respectueuse des droits, avec une idée implicite : l’argument « on ne savait pas » tiendra de moins en moins.
Côté électeurs, la CNIL met en avant deux outils : une fiche pratique qui rappelle les droits pendant la période électorale et un formulaire de signalement pour faire remonter des pratiques jugées interdites. La nuance est importante : un signalement ne vise pas à régler une situation individuelle comme une plainte. Les personnes ne sont pas informées des suites, mais la CNIL peut s’en servir pour contacter un candidat, décider d’investigations et, si nécessaire, déclencher des contrôles. À l’arrivée, l’éventail des réponses existe, de la mise en demeure à la sanction. L’autorité précise qu’après les élections européennes et législatives de 2024, cinq candidats ont été sanctionnés.
Enfin, l’observatoire n’est pas seulement répressif. La CNIL prévoit d’adresser une série de courriers aux partis et aux principales sociétés qui vendent des logiciels de stratégie électorale, pour rappeler les règles et promouvoir des pratiques plus sûres. En partenariat avec l’Association de maires de France et la revue Maires de France, elle mènera aussi des actions de sensibilisation auprès des élus locaux, complétées par des outils et conseils de conformité.
À mesure que la campagne se digitalise, la bataille se déplace vers la traçabilité, le consentement et la détection des abus, une grammaire typiquement cyber où la confiance se gagne par la preuve.
