RGPD et communication politique : ce que dit le nouveau cadre européen sur la publicité ciblée
03/07/2025
Sommaire
Un nouveau cadre européen pour la publicité politique ciblée
La publicité politique ciblée – ces annonces électorales personnalisées diffusées notamment sur les réseaux sociaux – fait l’objet d’un encadrement renforcé au niveau européen. Le Règlement (UE) 2024/900, entré en vigueur en avril 2024, s’appliquera pleinement à partir d’octobre 2025. Ce texte complète le cadre du RGPD et vise à réguler l’usage croissant des outils numériques en politique. Son objectif est de garantir des élections plus transparentes et équitables face aux risques de désinformation et d’ingérence étrangère dans le débat public.
En pratique, il doit permettre aux citoyens de mieux identifier les publicités politiques, de savoir qui en est le commanditaire, et de savoir s’ils sont ciblés de manière spécifique. Autrement dit, toute publicité à caractère politique devra être clairement signalée comme telle, indiquer qui l’a financée, et préciser si des techniques de ciblage ont été utilisées. Un avis de transparence contenant des informations détaillées (financement, provenance des fonds, élections concernées, etc.) devra également être accessible pour chaque annonce.
Enfin, le règlement prévoit la mise en place d’un répertoire européen en ligne où toutes les publicités politiques diffusées en ligne seront conservées et consultables pendant sept ans après leur dernière diffusion – une mesure destinée à assurer une traçabilité et une visibilité accrues de la communication politique numérique.
Ciblage politique et données personnelles : des obligations strictes
Le cœur de cette réforme concerne le ciblage des électeurs à partir de données personnelles. Afin d’éviter les dérives du micro-ciblage politique (type Cambridge Analytica), le règlement européen instaure des règles strictes pour toute publicité politique ciblée (c’est-à-dire personnalisée selon le profil de l’individu). La CNIL, désignée comme autorité compétente sur ces aspects en France, souligne cinq obligations majeures imposées par le texte :
✅ Consentement explicite préalable
L’annonceur doit avoir obtenu le consentement explicite de la personne pour utiliser ses données à des fins de communication politique
En clair, un parti ou candidat ne pourra cibler un individu avec de la publicité électorale en ligne que si celui-ci a donné son accord spécifique pour recevoir ce type de sollicitation (une case à cocher dédiée, par exemple). Ce consentement doit être libre et spécifique, conformément à la définition qu’en donne le RGPD.
🛒 Collecte directe des données
Les données personnelles utilisées pour le ciblage politique doivent avoir été fournies directement par la personne concernée. Il devient interdit d’acheter ou d’utiliser des fichiers de données provenant de tiers pour affiner un ciblage électoral
Par exemple, un parti ne pourra plus exploiter une liste d’adresses email achetée ou issue d’une base de données externe sans que les personnes n’aient elles-mêmes communiqué ces informations en connaissance de cause pour des messages politiques.
🚸 Protection des mineurs
Le règlement interdit strictement de cibler des mineurs dans le cadre de publicités politiques. Aucune donnée personnelle concernant des jeunes de moins de 18 ans ne peut être utilisée pour adapter un message politique.
Cette interdiction s’applique même par précaution aux personnes juste en dessous de l’âge de voter : concrètement, une marge d’un an en deçà de l’âge électoral est prévue (par exemple en France, les 17 ans et moins ne peuvent pas faire l’objet d’un ciblage politique). L’objectif est de préserver les publics jeunes d’une influence politique ciblée en ligne.
🧬 Données sensibles exclues du profilage
Il est désormais illégal d’exploiter des données personnelles sensibles pour profiler et cibler des publicités politiques. Ces données dites particulières englobent notamment les opinions politiques elles-mêmes, les convictions religieuses, l’origine ethnique, la santé, l’orientation sexuelle, etc. – autant d’informations protégées par le RGPD (article 9) en raison des risques de discrimination
Même avec le consentement d’une personne, un parti ne pourra pas, par exemple, cibler spécifiquement les électeurs en fonction de leur religion ou de supposées opinions politiques déduites de leur activité en ligne. Cette mesure garantit que le ciblage ne puisse pas s’appuyer sur des critères hautement sensibles portant atteinte à la vie privée ou aux libertés individuelles.
📒 Tenue d’un registre de transparence
Les acteurs diffusant de la publicité politique devront tenir un registre interne détaillant leurs campagnes publicitaires.
Ce registre devra conserver des informations sur chaque publicité diffusée (contenu, période de diffusion), le public ciblé, l’identité du commanditaire (sponsor), les montants dépensés et leur origine (fonds publics ou privés, provenance UE ou hors UE, etc.), ainsi que l’élection ou le référendum concerné le cas échéant. Les prestataires de services (comme les plateformes en ligne ou agences publicitaires) ont l’obligation de stocker ces données pendant 7 ans.
En France, la CNIL pourra contrôler l’existence et la complétude de ces registres, afin de vérifier la traçabilité des campagnes et le respect des règles de financement et de transparence.
Ces obligations constituent un socle commun à l’échelle de l’UE pour encadrer la publicité politique personnalisée. Elles s’ajoutent aux exigences générales du RGPD et à d’autres dispositions du présent règlement sur la transparence.
Par exemple, outre le consentement de l’utilisateur, chaque publicité politique ciblée devra mentionner clairement qu’elle fait l’objet d’un ciblage et expliquer selon quels principaux critères le destinataire a été sélectionné.
De plus, les responsables de ces publicités devront publier des règles internes claires sur l’usage de techniques de ciblage politique et réaliser une évaluation annuelle des risques que ces techniques font peser sur les droits et libertés (afin d’identifier d’éventuels biais ou dérives).
L’ensemble de ces mesures vise à encadrer fortement le micro-ciblage politique en ligne, tout en maintenant la possibilité d’une communication numérique efficace mais plus transparente et respectueuse de la vie privée.
Encadrement en France : rôle de la CNIL, de l’ARCOM et accompagnement des acteurs
En France, la mise en œuvre de ce nouveau cadre implique plusieurs autorités.
Le règlement 2024/900 attribue des compétences supplémentaires à la CNIL pour contrôler le respect des règles relatives à l’utilisation des données personnelles dans le contexte politique. Concrètement, la CNIL sera chargée de veiller au respect des points évoqués ci-dessus (consentement, interdictions de profilage, etc.) et pourra s’appuyer sur ses pouvoirs de contrôle et de sanction issus du RGPD. Les manquements aux articles du règlement concernant la protection des données (articles 18 et 19 notamment) exposeront les responsables aux mêmes types de sanctions que le RGPD, c’est-à-dire des amendes pouvant atteindre 4 % du chiffre d’affaires mondial. Cela crée une forte incitation à la conformité pour les partis, candidats, agences de communication politique et plateformes numériques.
Parallèlement, d’autres volets du règlement relèvent de l’ARCOM (Autorité de régulation de la communication audiovisuelle et numérique, ex-CSA). L’ARCOM sera notamment compétente pour les obligations de transparence hors données personnelles : le bon étiquetage des publicités politiques, la création du message de transparence, le respect de la période critique précédant les scrutins, etc. Par exemple, le texte prévoit que dans les trois mois précédant une élection ou un référendum, seuls des acteurs établis dans l’UE (citoyens, résidents permanents ayant le droit de vote, ou personnes morales de l’UE non contrôlées par des entités étrangères) pourront sponsoriser des publicités politiques liées à cet évènement.
💡 Cette précédente restriction vise à bloquer les financements étrangers susceptibles d’influencer le vote pendant la campagne officielle. L’application de cette disposition fera l’objet d’une vigilance particulière de la part de l’ARCOM et des autorités électorales nationales, en coordination avec la CNIL (car le critère de résidence ou nationalité du sponsor implique de traiter des données déclaratives le concernant).
Consciente de l’ampleur des changements pour les organisations politiques et les professionnels du marketing électoral, la CNIL a adopté une démarche proactive d’accompagnement. Dès avant l’entrée en application du règlement, elle a initié un cycle de consultations avec les principaux acteurs concernés : partis politiques, équipes de campagne, mais aussi d’autres régulateurs comme l’ARCOM.
L’objectif est de définir les notions clés du texte et de répondre aux questions pratiques sur sa mise en œuvre. Par exemple : qu’est-ce qu’une “publicité à caractère politique” couverte par le règlement ? Comment obtenir un consentement valable des électeurs en ligne ? Que doit contenir précisément le registre des publicités diffusées ? Autant de points qui nécessitent des clarifications pour une application harmonisée.
Dans le même esprit, la CNIL annonce la mise à jour de ses ressources en ligne pour la rentrée 2025. Elle prévoit de publier des fiches explicatives, guides et FAQ détaillant les principaux apports du règlement et formulant des recommandations concrètes pour aider tous les acteurs à s’y conformer.
On peut s’attendre, par exemple, à des conseils pratiques sur la récolte du consentement explicite (comment formuler la demande de consentement, comment le documenter), sur la constitution du registre (modèles de tableaux de suivi des campagnes), ou encore sur les bonnes pratiques pour s’assurer de ne pas cibler de mineurs (mise en place de filtres d’âge, etc.). Ce travail pédagogique de la CNIL sera précieux pour "dédramatiser" la conformité et transformer ces nouvelles contraintes en une opportunité de renforcer la confiance du public.
Quels impacts sur les prochaines élections ?
Avec ce nouveau cadre légal, la façon de mener des campagnes politiques en ligne va évoluer de manière significative en Europe. Les élections à venir – qu’il s’agisse des scrutins locaux de 2026 en France, de l’élection présidentielle de 2027, ou encore des européennes suivantes – se dérouleront sous l’empire de ces règles modernisées. Les partis et candidats devront intégrer dès maintenant ces exigences dans leur stratégie numérique.
Concrètement, cela signifie qu’ils devront bâtir et entretenir leur base de soutiens de façon plus transparente : fini le profilage occulte d’électeurs à partir de données achetées ou de tendances extrapolées sans consentement. À la place, les campagnes devront encourager explicitement les citoyens à consentir à recevoir des informations politiques ciblées – par exemple via des formulaires d’adhésion ou d’abonnement clairs sur les sites des partis, en indiquant à quoi serviront les données collectées.
De plus, les responsables politiques auront intérêt à soigner leur image de marque “RGPD-compatible”. Le respect scrupuleux des règles de consentement et de protection des données pourra devenir un argument de confiance vis-à-vis de l’électorat : dans un contexte où la manipulation des informations inquiète de plus en plus, afficher une campagne transparente et respectueuse de la vie privée pourrait constituer un avantage éthique et politique. À l’inverse, un scandale de non-conformité (par exemple la révélation d’un ciblage illicite de certaines communautés via des données sensibles) pourrait coûter cher non seulement en sanctions financières, mais aussi en termes de réputation publique.
Enfin, du point de vue des citoyens-électeurs, ces changements visent à redonner du contrôle et de la visibilité. Chaque internaute saura plus facilement lorsqu’il voit une publicité politique, qui en est l’auteur et pourquoi elle lui est adressée. Il aura la possibilité de retirer son consentement s’il ne souhaite plus être ciblé, et de consulter a posteriori les annonces diffusées pendant une campagne dans le répertoire en ligne prévu à cet effet. À terme, l’ambition affichée est de rendre le débat politique en ligne plus sain, plus honnête et centré sur les idées plutôt que sur la seule performance des outils de marketing.
En conclusion
L’actualisation de la doctrine de la CNIL en matière de publicité politique ciblée s’inscrit dans cette évolution majeure du cadre juridique européen. En transposant dans sa pratique les dispositions du Règlement (UE) 2024/900, la CNIL affirme sa volonté d’anticiper les enjeux de la campagne numérique et de protéger au mieux les données des citoyens dans le contexte politique. Pour les organisations politiques, il s’agit d’un véritable défi d’adaptation, mais aussi d’une occasion de repenser leur communication digitale sur des bases plus respectueuses des droits des personnes.
Le domaine de la politique et du RGPD sont désormais étroitement liés : toute stratégie électorale numérique devra intégrer les impératifs de protection des données et de transparence. Grâce à cette régulation renforcée, combinée à l’action concertée de la CNIL et de l’ARCOM, les prochaines élections devraient voir émerger des pratiques publicitaires plus éthiques, renforçant la confiance du public dans le processus démocratique.
Sources :
- CNIL – « Encadrement de la publicité politique ciblée : la CNIL met à jour sa doctrine » ;
- Règlement (UE) 2024/900 du 13 mars 2024 – « relatif à la transparence et au ciblage de la publicité à caractère politique » et résumé officiel.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Articles et actualités RGPD

RGPD et communication politique : ce que dit le nouveau cadre européen sur la publicité ciblée
Ciblage interdit des mineurs, consentement requis, traçabilité renforcée : la CNIL adapte sa doctrine au règlement européen 2024/900. Ce qui change pour les campagnes.En savoir plus

Définition DDoS : types, prévention et protection en 2025
Qu'est-ce qu'une attaque DDoS ? Définition précise et conseils pratiques pour se protéger des attaques par déni de service distribué. Sécurisez votre infrastructure !En savoir plus

DNS4EU : Le résolveur DNS européen expliqué
DNS4EU : découvrez le résolveur DNS européen, gratuit, sécurisé, respectueux du RGPD, pour une souveraineté numérique et une navigation privée en UE.En savoir plus

PCA et PRA : Comprendre les différences et choisir la meilleure stratégie
PCA PRA : découvrez les différences, avantages et mises en œuvre pour assurer la continuité d’activité et la reprise rapide après incident en entreprise.En savoir plus