Les sites des candidats à l’élection présidentielle 2022 sous l’œil du RGPD

Contexte

Le numérique prend de nos jours une part importante dans le déroulé des campagnes électorales. Mais comme vous le savez, un grand pouvoir implique de grandes responsabilités.

Et c’est pourquoi dans cet article, l’équipe RGPD a souhaité se pencher sur une question en apparence toute simple : est-ce que les sites des candidats traitent vos données personnelles dans les règles de l’art (et surtout de la réglementation !) ?

Méthodologie

Pour répondre à cette question, l’équipe RGPD a réalisé une analyse non exhaustive de chacun des sites “principaux” des candidats. Il ne s’agit donc pas d’un audit de conformité complet selon la réglementation applicable mais d’une vérification générale des problématiques classiquement rencontrées sur les sites web ainsi que des points d’alertes liés à l’actualité en matière de protection des données.

Constituée de 19 critères, cette analyse aborde les grandes thématiques suivantes : sécurité, cookies, information, exercice des droits, transferts hors UE (Union Européenne) et minimisation des données.

Pour chacun des sites audités, chaque critère peut être indiqué comme :

• C - Conforme : le critère est respecté sur le site.
• NC - Non Conforme : le critère n’est pas respecté sur le site.
• NA - Non Applicable : le critère n’est pas applicable sur le site.

Une note ramenée sur 10 est ensuite attribuée à chaque site, selon le calcul suivant : (nombre de C / (nombre de C + nombre de NC)) x 10.

Nous vous proposons deux manière de consulter nos résultats :

• un résumé vous permettant d’avoir une vision globale de manière rapide ;
• le détail candidat par candidat des principaux points positifs et négatifs relevés.

Mais avant de vous donner ces résultats, nous vous invitons à garder en mémoire que toute non-conformité relevée constitue une non-conformité aux obligations réglementaires (RGPD et loi Informatiques et Libertés du 6 janvier 1978).

C’est-à-dire que tout candidat présentant une note inférieure à 10 ne respecte pas l’ensemble de ses obligations en matière de protection des données.

Le résumé

En résumé très succinct : aucun des candidats ne respecte pleinement ses obligations en matière de protection des données.

La moitié des sites des candidats ne respecte donc pas 50% des critères qui leur sont applicables.

Parmi les problématiques rencontrées, mettons en avant le fait que 9 sites sur 12 utilisent toujours Google Analytics malgré les alertes des autorités de protection des données sur le caractère illicite du transfert de données réalisé vers les États-Unis (communication de la CNIL sur la mise en demeure d’un éditeur de site utilisant Google Analytics). Les informations mises à disposition pour le dépôt de cookies ou la collecte de données personnelles restent quant à elles partielles dans la majorité des cas.

Nous pouvons cependant retenir les deux points positifs suivants :

• l’ensemble des sites proposent une sécurisation via protocole TLS (Transport Layer Security) 1.2 ou 1.3 ;
• l’ensemble des sites présentant un bandeau de cookies avec l’option “acceptation de tous les cookies en 1 clic” permettent également de refuser tous les cookies en 1 clic.

Il y a donc encore clairement du travail à mener côté protection des données personnelles mais nous remarquons tout de même que la thématique est identifiée et globalement prise en compte par les sites des candidats.

Le détail par candidat

Voici une sélection de ce que nous avons pu constater par candidat, présenté dans l’ordre inscrit au Journal Officiel.

Nathalie Arthaud

nathalie-arthaud.info - Consulté le 08/03/2022

Points + :

• Utilisation de cookies d’analyse d’audience dans le cadre de l’exemption de consentement uniquement.

Points - :

• Page d’information “Données personnelles” incomplète tant sur les traitements réalisés que sur leurs caractéristiques ;
• Absence d’information au niveau des formulaires de collecte des données.

Fabien Roussel

fabienroussel2022.fr - Consulté le 08/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Politique de confidentialité quasi complète.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : YouTube ;
• Bandeau de cookies présentant un premier niveau d’information insuffisant ;
• Impossibilité de modifier facilement ses choix en matière de cookies une fois la modale fermée.

Emmanuel Macron

avecvous.fr/ - Consulté le 11/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Possibilité de modifier les paramètres de consentement pour les cookies à tout moment ;
• Politique de confidentialité complète.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) et reCaptcha Google ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : YouTube, Twitter, Deezer, doubleclick.net ;
• Information de 1er niveau sur les cookies insuffisante, nécessaire de consulter le détail pour obtenir les finalités.

Jean Lassalle

jl2022.fr - Consulté le 08/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Déclaration de confidentialité assez complète.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : mailjet ;
• Information de 1er niveau sur les cookies insuffisante, nécessaire de consulter la politique de cookies. Catégorie de cookies “Divers” sans finalité ni informations complémentaires.

Marine Le Pen

mlafrance.fr - Consulté le 09/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Politique de confidentialité complète.

Points - :

• Utilisation de Google Analytics et pixel de tracking Facebook (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube ;
• Mention du Privacy Shield (invalidé depuis 2020) comme base possible de transfert de données aux États-Unis ;
• Impossibilité de modifier facilement ses choix en matière de cookies ou de consulter les informations une fois le bandeau de cookies fermé.

Éric Zemmour

zemmour2022.fr - Consulté le 09/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Possibilité de modifier les paramètres de consentement pour les cookies à tout moment.

Points - :

• Utilisation de Google Analytics et Google reCaptcha (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube ;
• Hébergement du site via un prestataire américain stockant les données aux États-Unis (NationBuilder) ;
• Politique de confidentialité incomplète.

Jean-Luc Mélenchon

melenchon2022.fr - Consulté le 09/03/2022.

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Politique de confidentialité relativement complète.

Points - :

• Cookie Matomo avec une durée de validité de 50 ans ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube ;
• Impossibilité de modifier facilement ses choix en matière de cookies une fois le bandeau de cookies fermé ;
• Exercice des droits via un formulaire sur un autre site (utilisant Google reCaptcha).

Anne Hidalgo

2022avechidalgo.fr - Consulté le 09/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube ;
• Absence d’information de 1er niveau sur le bandeau de cookies ;
• Impossibilité de modifier facilement ses choix en matière de cookies une fois le bandeau de cookies fermé ;
• Hébergement du site via un prestataire américain stockant les données aux États-Unis (NationBuilder) ;
• Paragraphe de protection des données personnelles incomplet et faisant référence à des articles de la Loi Informatique et Libertés incorrects depuis la mise à jour de 2019.

Yannick Jadot

jadot2022.fr - Consulté le 09/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Politique de protection des données complète.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Hébergement du site via un prestataire américain stockant les données aux États-Unis (NationBuilder) ;
• Impossibilité de modifier facilement ses choix en matière de cookies une fois le bandeau de cookies fermé (“mentions légales” puis “cookies” puis “modifiez votre consentement” pour rouvrir le bandeau de cookies) ;
• Obligation de fournir par défaut un justificatif d’identité pour l’exercice des droits.

Valérie Pécresse

valeriepecresse.fr - Consulté le 10/03/2022

Points + :

• Bandeau de gestion des cookies avec possibilité de refus en 1 clic ;
• Possibilité de modifier les paramètres de consentement pour les cookies à tout moment ;
• Politique de confidentialité relativement complète.

Points - :

• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube et copernic.co ;
• Politique de confidentialité intitulée pour un autre site ;
• Obligation de fournir par défaut un justificatif d’identité pour l’exercice des droits.

Philippe Poutou

poutou2022.org - Consulté le 10/03/2022

Points + :

• Durée de validité des cookies légitime.

Points - :

• Absence d’information : au niveau des formulaires et pas de politique de confidentialité (lien Mentions légales ineffectif) ;
• Absence d’information en matière de cookies ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : Youtube et Twitter.

Nicolas Dupont-Aignan

2022nda.fr - Consulté le 10/03/2022

Points + :

• Minimisation des données collectées pour l’inscription à la newsletter.

Points - :

• Bandeau de cookies indiquant qu’une poursuite de navigation équivaut à un consentement avec impossibilité de refuser le dépôt de cookies au niveau de celui-ci ;
• Impossibilité de consentir ou de modifier ses choix en matière de dépôt de cookies ;
• Information incomplète en matière de cookies ;
• Utilisation de Google Analytics (transfert de données hors Union Européenne possible) ;
• Dépôt de cookies tiers sans recueil de consentement préalable, notamment : google analytics, google docs, Youtube ;
• Obligation de fournir par défaut un justificatif d’identité pour l’exercice des droits ;
• Mention du Safe Harbor (invalidé depuis 2015) comme base possible de transfert de données aux États-Unis ;
• Référence à des articles de la Loi Informatique et Libertés incorrects depuis la mise à jour de 2019.

Vous en voulez plus ?

Notre démarche ne s’arrête pas là ! Temesis est engagé en matière de numérique responsable et a donc donné la mission (et elles l’ont accepté !) à ses équipes accessibilité et écoconception de faire le même exercice :

• Consulter l’audit accessibilité des sites des candidats à la présidentielle 2022 ;
• Consulter l’audit écoconception des sites des candidats à la présidentielle 2022 ;
• Bientôt vous pourrez consulter notre bilan sur l’audit numérique responsable des sites des candidats à la présidentielle 2022.

Annexe :

Liste des 19 critères audités :

• Sécurité - Le site est sécurisé (TLS 1.2 ou 1.3) ;
• Cookies - Si un consentement doit être recueilli pour les cookies et qu’il est possible d’accepter tout d’un clic, il est également possible de refuser tout d’un clic ;
• Les informations concernant les cookies sont suffisantes (finalités, tiers,…) (1er niveau avant consentement + lien vers info complète ou info complète avant consentement) ;
• Cookies - Les cookies soumis à consentement sont déposés uniquement après recueil d’un consentement valide ;
• Cookies - Il est possible de modifier facilement ses choix en matière de cookies à tout moment ;
• Cookies - La durée de validité des cookies est légitime (a minima raisonnable) ;
• Information - Une information est disponible au niveau de chaque formulaire de collecte (1er niveau + lien vers politique ou information complète) ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Responsable de traitement - Identité et coordonnées ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Finalités ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Base juridique ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Destinataires des données ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Le cas échéant, transfert de données hors Union Européenne ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Durée de conservation ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Droits ouverts ;
• Information - La politique de confidentialité ou mentions d’informations intègre de manière cohérente : Droit d’introduire une réclamation auprès de la CNIL ;
• Information : L’information est rédigée de manière claire et compréhensible (absence de contradictions, explications, …) ;
• Droits - Il est possible d’exercer ses droits de manière aussi simple que lors de la collecte (contact par mail/formulaire, absence de demande de justificatif d’identité par défaut) ;
• Transferts - Le site ne réalise, a priori, pas de transferts de données hors Union Européenne vers des pays non adéquats sans garanties suffisantes de protection des données (exemple Google Analytics jugé comme non conforme car CCT insuffisantes, hébergement du site contenant des données,…) ;
• Minimisation des données - Newsletter : les données collectées dans le cadre de l’inscription à la newsletter sont minimisées (adresse email ou adresse email + code postal).