France : la Cnil sanctionne des candidats pour des manquements sur la protection des données lors des élections de 2024
- La Cnil a infligé en décembre 2025 des amendes à cinq candidats aux élections européennes et législatives de 2024 pour des violations des règles de protection des données personnelles
Istanbul
AA / Istanbul / Serap Dogansoy
La Commission nationale de l’informatique et des libertés (Cnil) a annoncé, jeudi 18 décembre 2025, avoir sanctionné cinq candidats aux élections européennes et législatives de 2024 pour non-respect du règlement général sur la protection des données (RGPD), pour un montant cumulé de 23.500 euros.
Parmi les faits relevés, un professionnel de santé a été sanctionné pour avoir utilisé les numéros de téléphone de ses patients, collectés dans le cadre de leur suivi médical, afin de leur adresser un SMS promouvant sa candidature à une élection, dont la nature n’a pas été précisée par la Cnil. L’autorité a estimé qu’il s’agissait d’un usage incompatible avec la finalité initiale de la collecte des données, en violation de l’article 5-1-b du RGPD.
La Cnil a également relevé que quatre des cinq candidats sanctionnés n’avaient pas fourni, dans leurs messages de prospection politique, l’ensemble des informations obligatoires prévues par les articles 13 et 14 du RGPD, telles que l’identité du responsable du traitement, les finalités poursuivies ou les catégories de données utilisées.
L’un des candidats a par ailleurs été sanctionné pour avoir adressé un courriel de prospection à plusieurs centaines de destinataires sans utiliser la fonction « copie carbone invisible » (cci), exposant ainsi les adresses électroniques des personnes concernées. La Cnil a rappelé que ces données, révélant des opinions politiques réelles ou supposées, constituent des données sensibles au sens de l’article 9 du RGPD.
Deux candidats n’avaient mis en place aucun dispositif permettant l’exercice effectif du droit d’opposition des électeurs, tel qu’un mécanisme de type « STOP SMS » ou un lien de désinscription, en méconnaissance des articles 12 et 21 du RGPD. L’un d’eux a en outre été sanctionné pour ne pas avoir répondu à une demande d’accès et d’effacement formulée par un électeur, conduisant la Cnil à prononcer une injonction de répondre à ces demandes.
Ces manquements ont été identifiés dans le cadre d’un téléservice mis en place par la Cnil lors des élections européennes et législatives anticipées de 2024, permettant aux citoyens de signaler des messages de prospection politique. La commission rappelle que les candidats restent responsables de la licéité des traitements de données, y compris lorsqu’ils recourent à des prestataires spécialisés pour l’envoi de messages.
