Sans être abonnée à leurs listes de diffusion, j’ai reçu des mails de campagne de la part de Valérie Pécresse et d’Éric Ciotti. J’ai cherché à comprendre pourquoi et à savoir si cette opération était bien légale, en me plongeant dans les tréfonds de ma boite mail et du RGPD.

Un samedi soir du mois de novembre, j’ai reçu un mail intitulé « 72 heures pour adhérer aux Républicains !». L’expéditeur s’affichait clairement sur l’écran de mon téléphone : Valérie Pécresse. En tant que journaliste, je suis habituée à recevoir des centaines de messages par jour, des communiqués de presse, des sondages à n’en plus finir, des déclarations politiques, etc. Cependant, deux choses m’ont intriguée : d’une, j’ai reçu ce mail sur ma boite mail personnelle. De deux, je ne me suis jamais inscrite à la newsletter de Valérie Pécresse.

Le même jour, j’ai reçu un autre courriel, cette fois de la part d’Alexandra Dublanche, la vice-présidente du conseil régional d’Île-de-France, m’appelant à voter pour Valérie Pécresse lors des primaires. Quelques jours plus tard encore, j’ai aussi reçu un message des équipes de Valérie Pécresse. Puis, les 16 et 28 novembre, j’ai reçu des mails des équipes de campagne… d’Éric Ciotti.

Comment mon adresse mail s’est-elle retrouvée dans les listes de diffusion de deux candidats finalistes à la primaire des Républicains, sans que je m’y sois abonnée ? Et surtout, est-ce légal ?

Le premier mail de la campagne de Valérie Pécresse que j'ai reçu // Source : Capture d'écran Numerama

Le premier mail de la campagne de Valérie Pécresse que j'ai reçu

Source : Capture d'écran Numerama

D’où viennent ces mails de Valérie Pécresse ?

Je me suis d’abord demandé si ces mails pouvaient être liés à la campagne de 2017. J’avais en effet couvert celle de François Fillon, alors candidat des Républicains à la présidentielle, et m’étais abonnée à sa newsletter. En fouillant dans ma boite perso, j’ai donc retrouvé de nombreux mails liés à sa campagne. Mais depuis 5 ans, plus rien.

Pour avoir la réponse à mes questions, j’ai donc envoyé des mails aux équipes de Valérie Pécresse et d’Éric Ciotti. Après plusieurs messages, on a fini par m’aiguiller vers une personne : un homme qui a gardé mon adresse, collectée lors de la campagne de 2017, et qui l’a transmise aux équipes des deux candidats. « Oui j’ai dû communiquer votre mail à l’équipe de Valérie Pécresse et j’ai adressé directement le mail d’Éric Ciotti », nous répond cet homme par écrit.

Le premier mail d'Éric Ciotti // Source : Capture d'écran Numerama

Le premier mail d'Éric Ciotti

Source : Capture d'écran Numerama

« J’ai effectué la campagne présidentielle de 2017 et j’ai rassemblé plusieurs mails à l’époque, dans le cadre de meeting en particulier», ajoute-t-il. Impossible, 5 ans après, de me souvenir si j’avais donné mon adresse mail lors d’un meeting physique, ou si elle provient de la liste de diffusion de l’ancienne newsletter de François Fillon.

Ce qui est clair, c’est que les équipes de Valérie Pécresse et Eric Ciotti ont accepté d’utiliser, dans leur base de données d’envoi, ces adresses mails collectées par un homme bénévole. Savaient-elles d’où ces adresses provenaient ? Et est-il bien légal de réutiliser mon adresse mail à des fins politiques, 5 ans après, sans me prévenir ?

L’envoi de ces mails était-il légal ?

Pour l’avocate et spécialiste du RGPD Laure Landes-Gronowski, interrogée par Numerama, il n’y a pas de réponse exacte. L’un des aspects les plus importants lors des collectes de données concerne l’information des personnes : « Lorsqu’on collecte des données pour de la sollicitation politique, il est nécessaire que les personnes sachent combien de temps on va conserver les données, et à quoi elles vont servir », nous explique Laure Landes-Gronowski. « Le principe, c’est qu’il n’y ait pas de doute dans la finalité. »

« On ne peut pas non plus conserver les données de manière illimitée », ajoute-t-elle. « Un fichier constitué pour une élection ne peut pas en principe être utilisé pour la campagne d’une autre élection ». Pour récapituler : j’avais bien donné mon consentement pour la newsletter de François Fillon, mais pas pour les autres. Étant donné que mon adresse mail n’a pas été supprimée après la dernière élection présidentielle, il semblerait que l’envoi ne rentre pas vraiment dans le cadre de la loi.

« Un contact régulier d’un parti »

Mais il y a une subtilité : « La CNIL a une interprétation différente lorsque des personnes sont considérées comme un contact régulier d’un parti », précise Laure Landes Gronowski. «  Un contact régulier, cela peut être quelqu’un qui a participé à un soutien financier, ou qui s’est abonné à une newsletter. Dans ce cas, la CNIL dit que le parti politique peut vous adresser ses communications, même après une campagne donnée si vous avez été clairement informé de cette finalité plus large que la simple communication liée à une élection spécifique.»

Impossible de me souvenir si, en 2017, mon consentement avait été recueilli pour une réutilisation illimitée, par le parti les Républicains, de mon adresse mail personnelle. D’autant plus si elle avait été donnée au cours d’un meeting physique.

Que faire si cela vous arrive ?

Les équipes de Valérie Pécresse et d’Éric Ciotti ne sont pas les seules à avoir besoin d’énormes bases de données pour leur communication politique. La collecte d’adresses mail est un enjeu majeur pour les candidats aux élections nationales ou locales. L’équipe de Jean-Luc Mélenchon avait ainsi, en mai 2020, inscrit des milliers de personnes à sa newsletter sans leur demander leur avis, ce qui était contraire aux recommandations de la CNIL. L’envoi de SMS par le candidat du Rassemblement national aux habitants de la région Bretagne avait également choqué, bien le geste soit légal, toujours selon la CNIL.

La campagne pour l’élection présidentielle de 2022 a déjà bien commencé, et ces types de mails vont continuer à être envoyés à des centaines de milliers de Français. Si vous n’avez pas l’impression d’avoir donné votre accord pour en recevoir, il y a des recours :

  • Le RGPD vous permet de demander à un organisme l’effacement de données à caractère personnel vous concernant. Vous avez un droit d’accès à vos données, que vous pouvez modifier ou supprimer. Il vous faudra cependant contacter les personnes en charge des listes de diffusion, ce qui peut parfois être compliqué.
  • Mais ces mails doivent également obligatoirement proposer une option « se désabonner » sur laquelle vous pourrez cliquer afin de supprimer votre adresse de la liste de diffusion, et le désabonnement doit être pris en compte immédiatement.