Données personnelles: pourquoi il faut se méfier de la pétition d'Eric Ciotti

"Signez la pétition pour le rassemblement de la droite face aux dangers de l’extrême gauche aux législatives!". Ce 12 juin, Eric Ciotti a appelé, sur Twitter (X), les internautes à signer une pétition afin de soutenir son alliance avec le RN, qui lui a valu une exclusion des Républicains. Après des problèmes techniques, le formulaire a été modifié au cours des dernières heures et est désormais hébergé par Google.

Les internautes font alors face à un simple formulaire, accessible à l'adresse "rassemblementdesdroites.com", un nom de domaine enregistré ce 12 juin. Ces derniers sont invités à renseigner leur nom, leur prénom, ainsi que leur adresse mail.

Mais contrairement à ce qu'impose la loi, le site promu par Eric Ciotti n'affiche aucune mention légale, ni aucune précision sur ce qu'il adviendra des données personnelles.

Les pétitions, arme de collecte de données personnelles

Une pratique "manifestement illicite", rappelle à Tech&Co, Alexandre Archambault, avocat spécialisé en droit du numérique, "dès lors que l'on vise des internautes basés en France". Il cite notamment la loi LCEN de 2004, qui punit tout éditeur d'un site web n'affichant pas de mentions légales d'un an de prison et 75.000 euros d'amende.

Car ces mentions légales sont essentielles pour pouvoir identifier le créateur d'un site, notamment lorsqu'il vise à récolter des données personnelles aussi sensibles qu'une opinion politique. Par ailleurs, le site d'Eric Ciotti n'évoque à aucun moment l'usage qui sera fait des données personnelles des internautes.

Jusqu'à ce 12 juin, la plateforme récoltait le consentement des internautes pour un double usage: celui de signer la pétition, et d'être contacté par mail par la suite. Une pratique déjà susceptible d'être illicite.

"Il n’y a pas de chèque en blanc sur le consentement. Si la base légale du traitement est le consentement, il ne vaut que pour la finalité d’origine, toute évolution doit faire l’objet d’un nouveau consentement" analyse Alexandre Archambault. Dans les faits, de tels formulaires doivent ainsi afficher deux cases distinctes à cocher, pour que l'internaute puisse signer la pétition sans accepter d'être démarché par mail par la suite.

Si de telles pratiques sont fréquentes en politique (chez les Insoumis, comme chez Reconquête), la Cnil a déjà sévi à ce sujet. Début 2024, elle a ainsi prononcé une sanction de 20.000 euros à l'encontre du parti d'Eric Zemmour, pour "défaut de transparence". Là encore par le biais d'une pétition en ligne, les soutiens du candidat d'extrême-droite collectaient en réalité les adresses mail des signataires pour les intégrer à leur base de données pour la présidentielle de 2022.