Obligation d’archivage des pétitions en ligne : que prévoit la loi ?

août 21, 2025 Jasmine Rodriguez Juridique

Les pétitions en ligne sont devenues un outil démocratique prisé par les citoyens français pour exprimer leurs opinions et mobiliser autour de causes diverses. Face à cette digitalisation de l’expression citoyenne, le législateur a dû adapter le cadre juridique pour encadrer la conservation de ces données numériques. L’obligation d’archivage des pétitions en ligne répond à des impératifs de transparence, de sécurité juridique et de protection des données personnelles. Entre les exigences du RGPD, les obligations spécifiques aux plateformes, et les particularités liées aux pétitions institutionnelles, le cadre légal français impose des règles précises dont la méconnaissance peut entraîner des sanctions significatives.

Le cadre juridique général de l’archivage des pétitions électroniques

L’archivage des pétitions en ligne s’inscrit dans un environnement juridique complexe qui combine plusieurs sources de droit. Au niveau européen, le Règlement Général sur la Protection des Données (RGPD) constitue le socle fondamental qui encadre la collecte et la conservation des données personnelles des signataires. Ce texte, applicable depuis mai 2018, impose des principes directeurs comme la minimisation des données et la limitation de leur conservation.

En droit français, plusieurs textes viennent compléter ce dispositif. La loi Informatique et Libertés du 6 janvier 1978, modifiée à plusieurs reprises, précise les modalités d’application du RGPD sur le territoire national. Par ailleurs, le Code du patrimoine, notamment dans son livre II relatif aux archives, établit des obligations de conservation pour les documents présentant un intérêt public, catégorie dans laquelle peuvent entrer certaines pétitions.

Pour les pétitions adressées aux institutions publiques, le Code des relations entre le public et l’administration prévoit des dispositions spécifiques. Les articles L.112-8 à L.112-15 de ce code encadrent les conditions dans lesquelles les saisines par voie électronique, dont peuvent relever les pétitions, doivent être traitées et conservées par l’administration.

Distinction entre pétitions citoyennes et institutionnelles

La législation opère une distinction fondamentale entre deux types de pétitions en ligne :

  • Les pétitions citoyennes : initiées par des particuliers ou des associations sur des plateformes privées (Change.org, Mesopinions.com, etc.)
  • Les pétitions institutionnelles : déposées sur des sites officiels comme celui de l’Assemblée nationale, du Sénat ou du Conseil économique, social et environnemental (CESE)

Cette distinction entraîne l’application de règles d’archivage différenciées. Les pétitions institutionnelles sont soumises aux règles relatives aux archives publiques, avec des durées de conservation potentiellement longues, tandis que les pétitions citoyennes relèvent principalement du droit commun des données personnelles, avec une obligation de limitation temporelle plus stricte.

Le Conseil constitutionnel, dans sa décision n°2019-794 DC du 20 décembre 2019, a confirmé la validité de ce régime différencié, tout en rappelant que toute collecte de données personnelles, même dans un cadre institutionnel, doit respecter les principes fondamentaux de protection des données.

Les obligations spécifiques des plateformes de pétitions en ligne

Les plateformes hébergeant des pétitions en ligne sont soumises à des obligations légales précises en matière d’archivage. Depuis l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, ces plateformes doivent informer clairement les utilisateurs sur le traitement des données collectées, y compris leur durée de conservation.

Ces plateformes sont considérées comme des responsables de traitement au sens du RGPD. À ce titre, elles doivent tenir un registre des activités de traitement qui détaille, entre autres, les finalités du traitement, les catégories de données traitées et les délais prévus pour leur effacement. Cette obligation s’applique aux plateformes françaises mais aussi aux plateformes étrangères qui ciblent des résidents français.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a émis plusieurs recommandations concernant les durées de conservation des données issues des pétitions. Dans sa délibération n°2019-053 du 25 avril 2019, elle préconise une durée maximale de conservation de trois ans à compter de la fin de la pétition pour les données d’identification des signataires, et une durée plus courte pour les données de connexion.

Obligations techniques de sécurité et d’intégrité

Au-delà des durées de conservation, les plateformes doivent garantir l’intégrité et la sécurité des données archivées. L’article 32 du RGPD impose la mise en œuvre de mesures techniques et organisationnelles appropriées pour protéger les données contre la destruction, la perte ou l’altération.

Ces mesures comprennent :

  • Le chiffrement des données archivées
  • Des contrôles d’accès stricts aux archives
  • Des procédures de sauvegarde régulières
  • La mise en place d’une traçabilité des accès aux archives

La norme NF Z42-013 relative à l’archivage électronique constitue une référence technique en la matière. Bien que son application ne soit pas juridiquement obligatoire, elle représente un standard reconnu que les plateformes peuvent suivre pour démontrer leur conformité aux exigences légales.

En cas de cessation d’activité, les plateformes doivent prévoir des procédures de fin de vie des données. La CNIL recommande d’informer les utilisateurs suffisamment à l’avance et de leur proposer, lorsque c’est possible, la récupération de leurs données avant leur suppression définitive.

Protection des données personnelles et durées de conservation légales

La question des durées de conservation des données personnelles collectées lors des pétitions en ligne constitue un aspect central du régime juridique applicable. Le principe fondamental, issu de l’article 5 du RGPD, est celui de la limitation de la conservation : les données ne peuvent être conservées que pendant une durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

Pour les pétitions citoyennes, cette durée doit être proportionnée à l’objectif poursuivi. La CNIL considère généralement que les données d’identification des signataires (nom, prénom, adresse électronique) peuvent être conservées pendant la durée de la pétition, puis pendant une période limitée après sa clôture pour permettre d’informer les signataires des suites données.

Dans sa délibération n°2020-091 du 17 septembre 2020, la CNIL a précisé que la conservation des données au-delà de deux ans après la fin d’une pétition doit être justifiée par des motifs légitimes particuliers, comme un contentieux en cours ou une obligation légale spécifique.

Archivage intermédiaire et définitif

Le droit français distingue plusieurs phases dans la conservation des données :

  • L’archivage courant : période pendant laquelle les données sont utilisées régulièrement
  • L’archivage intermédiaire : période pendant laquelle les données sont conservées pour des raisons juridiques ou administratives mais ne sont plus utilisées couramment
  • L’archivage définitif : conservation à des fins historiques, statistiques ou scientifiques

Pour les pétitions en ligne, le passage à l’archivage intermédiaire intervient généralement à la clôture de la pétition. Dans cette phase, l’accès aux données doit être restreint à un nombre limité de personnes habilitées. La Cour de cassation, dans un arrêt du 12 février 2020 (n°18-24.669), a confirmé que l’archivage intermédiaire constitue bien une finalité distincte du traitement initial et doit faire l’objet d’une information claire auprès des personnes concernées.

L’archivage définitif, quant à lui, n’est possible que pour les pétitions présentant un intérêt public, historique ou statistique. Dans ce cas, conformément à l’article L.212-4 du Code du patrimoine, les données peuvent être conservées sans limitation de durée, mais doivent faire l’objet d’une anonymisation préalable lorsque cela est possible.

Régime spécifique des pétitions adressées aux institutions publiques

Les pétitions adressées aux institutions publiques françaises sont soumises à un régime d’archivage particulier. Depuis la révision constitutionnelle du 23 juillet 2008, le droit de pétition a été renforcé, notamment auprès du Conseil économique, social et environnemental (CESE). L’article 69 de la Constitution prévoit que le CESE peut être saisi par voie de pétition dans les conditions fixées par une loi organique.

La loi organique n°2021-27 du 15 janvier 2021 relative au CESE a modernisé ce dispositif en prévoyant explicitement la possibilité de pétitions électroniques. L’article 4-1 de cette loi précise que les pétitions adressées au CESE font l’objet d’un archivage conforme aux dispositions du livre II du Code du patrimoine. Concrètement, ces pétitions sont considérées comme des archives publiques, ce qui implique leur conservation durable.

Pour l’Assemblée nationale et le Sénat, l’article 147 du Règlement de l’Assemblée nationale et l’article 87 du Règlement du Sénat régissent respectivement le traitement des pétitions. Ces textes ont été complétés par des instructions internes précisant les modalités d’archivage électronique. La durée de conservation est généralement longue, ces documents étant considérés comme des témoignages de l’activité parlementaire et de l’expression citoyenne.

Particularités du Référendum d’Initiative Partagée (RIP)

Le Référendum d’Initiative Partagée, instauré par la révision constitutionnelle de 2008 et précisé par la loi organique n°2013-1114 du 6 décembre 2013, représente un cas particulier. Les soutiens apportés à une proposition de loi dans le cadre d’un RIP font l’objet d’un traitement spécifique détaillé dans le décret n°2014-1488 du 11 décembre 2014.

Ce texte prévoit que les données collectées sont conservées jusqu’à l’expiration d’un délai de deux mois suivant la publication au Journal officiel de la décision du Conseil constitutionnel déclarant si la proposition de loi a obtenu le soutien d’au moins un dixième des électeurs inscrits. Après ce délai, les données font l’objet d’un archivage définitif pour des motifs d’intérêt public et de recherche historique.

La Direction des Archives de France, en collaboration avec le ministère de l’Intérieur, a établi un tableau de gestion spécifique pour ces documents électroniques. Ce tableau précise les durées de conservation et le sort final des différentes catégories de données collectées dans le cadre du RIP, en application de l’article R.212-13 du Code du patrimoine.

Sanctions et recours en cas de non-respect des obligations d’archivage

Le non-respect des obligations légales en matière d’archivage des pétitions en ligne peut entraîner diverses sanctions. Ces sanctions peuvent être administratives, civiles ou pénales, selon la nature et la gravité du manquement constaté.

Sur le plan administratif, la CNIL dispose d’un pouvoir de sanction considérable. En vertu de l’article 83 du RGPD, elle peut infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. La CNIL a déjà sanctionné plusieurs organismes pour des durées de conservation excessives, comme l’illustre sa délibération n°SAN-2019-006 du 13 juin 2019 prononçant une amende de 400 000 euros contre une société qui conservait indûment les données de clients inactifs.

Sur le plan pénal, l’article 226-20 du Code pénal punit de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de conserver des données personnelles au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la CNIL. Cette infraction peut être reprochée aux responsables des plateformes de pétitions qui ne respecteraient pas les durées légales de conservation.

Voies de recours pour les signataires

Les signataires de pétitions disposent de plusieurs voies de recours pour faire valoir leurs droits en matière d’archivage :

  • La plainte auprès de la CNIL : tout signataire peut saisir la CNIL s’il estime que ses données sont conservées de manière illicite
  • Le recours juridictionnel : l’article 79 du RGPD garantit le droit à un recours juridictionnel effectif contre un responsable de traitement
  • L’action de groupe : introduite par la loi Justice du XXIe siècle, elle permet à des associations agréées d’agir en justice pour obtenir la cessation d’un manquement aux règles de protection des données

La jurisprudence en la matière se développe progressivement. Dans un arrêt du 25 juin 2020, la Cour de justice de l’Union européenne (affaire C-673/17) a précisé que le consentement donné lors de la signature d’une pétition en ligne ne vaut que pour les finalités explicitement mentionnées et ne peut justifier une conservation prolongée à d’autres fins.

En France, le Conseil d’État, dans sa décision n°434376 du 10 mars 2020, a rappelé que les données collectées dans le cadre de pétitions adressées à des institutions publiques bénéficient d’une protection renforcée en raison de leur caractère potentiellement sensible, révélant des opinions politiques.

Évolutions et perspectives : vers un encadrement renforcé de l’archivage numérique

Le paysage juridique de l’archivage des pétitions en ligne connaît une évolution constante, influencée par les avancées technologiques et les réflexions sur la démocratie participative numérique. Plusieurs projets législatifs et réglementaires en cours témoignent de cette dynamique.

Le projet de règlement européen sur l’intelligence artificielle (IA Act), en discussion depuis avril 2021, pourrait avoir des implications sur l’archivage des pétitions en ligne. En effet, ce texte prévoit des règles spécifiques pour les systèmes d’IA utilisés dans des contextes démocratiques, y compris potentiellement pour l’analyse automatisée des pétitions et de leurs signataires. Ces dispositions pourraient imposer de nouvelles exigences en matière de transparence et de conservation des données.

Au niveau national, la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a introduit de nouvelles dispositions concernant la conservation des données de connexion, qui peuvent affecter indirectement les modalités d’archivage des pétitions en ligne. Le Conseil d’État, dans sa décision n°455085 du 21 avril 2021, a déjà posé des limites strictes à ces pratiques de conservation, en exigeant qu’elles soient proportionnées et strictement nécessaires.

Vers une harmonisation des pratiques d’archivage

Face à la diversité des pratiques d’archivage entre les différentes plateformes de pétitions, des initiatives d’harmonisation émergent. Le Service interministériel des Archives de France travaille actuellement sur un référentiel général d’archivage électronique qui pourrait servir de guide pour les plateformes de pétitions en ligne, notamment celles qui collaborent avec des institutions publiques.

L’Association des archivistes français a publié en 2021 un livre blanc sur l’archivage des expressions citoyennes numériques, qui formule plusieurs recommandations :

  • La mise en place d’un cadre technique commun pour l’archivage des pétitions
  • L’élaboration de métadonnées standardisées pour faciliter l’exploitation future des archives
  • Le développement de partenariats entre plateformes privées et institutions publiques d’archivage

Ces initiatives s’inscrivent dans une réflexion plus large sur la mémoire numérique collective et la préservation des traces de la participation citoyenne à l’ère numérique. Elles témoignent d’une prise de conscience de la valeur patrimoniale que peuvent représenter les pétitions en ligne en tant que témoignages des préoccupations et mobilisations citoyennes contemporaines.

Le Comité européen de la protection des données (CEPD) prépare actuellement des lignes directrices spécifiques sur l’archivage des données à caractère personnel dans l’intérêt public, qui devraient clarifier les conditions dans lesquelles les pétitions en ligne peuvent faire l’objet d’un archivage à long terme pour des motifs historiques ou scientifiques.

Recommandations pratiques pour une gestion conforme des archives de pétitions

Face à la complexité du cadre juridique entourant l’archivage des pétitions en ligne, plusieurs recommandations pratiques peuvent être formulées à l’attention des gestionnaires de plateformes et des organisations initiatrices de pétitions.

La première étape consiste à réaliser une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en place d’un système de pétitions en ligne. Cette analyse, rendue obligatoire par l’article 35 du RGPD pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, doit évaluer les risques liés à la conservation des données et définir des mesures d’atténuation appropriées.

Il est recommandé d’élaborer une politique d’archivage claire, documentée et accessible aux signataires. Cette politique doit préciser les durées de conservation des différentes catégories de données, les modalités d’exercice des droits des personnes concernées, et les garanties techniques et organisationnelles mises en œuvre pour assurer la sécurité des archives.

La mise en place d’un système de gestion du cycle de vie des données permet d’automatiser les processus d’archivage et de purge, réduisant ainsi les risques d’erreur humaine. Ce système doit prévoir des alertes avant l’expiration des durées de conservation et des procédures de validation pour les opérations sensibles comme la destruction de données.

Bonnes pratiques techniques et organisationnelles

Sur le plan technique, plusieurs bonnes pratiques peuvent être adoptées :

  • L’utilisation de formats ouverts et pérennes (PDF/A, XML) pour garantir la lisibilité à long terme des archives
  • La mise en œuvre d’une signature électronique pour garantir l’authenticité et l’intégrité des pétitions archivées
  • Le recours à des systèmes d’horodatage qualifiés pour attester de l’existence des pétitions à un moment donné
  • L’implémentation de contrôles d’accès granulaires aux archives, basés sur le principe du moindre privilège

Sur le plan organisationnel, il est conseillé de désigner un responsable des archives chargé de veiller au respect des obligations légales et de coordonner les opérations d’archivage et de purge. Cette personne peut travailler en collaboration avec le délégué à la protection des données (DPO) lorsque l’organisation en a désigné un.

La formation des équipes impliquées dans la gestion des pétitions constitue un facteur clé de succès. Cette formation doit couvrir les aspects juridiques, techniques et éthiques de l’archivage numérique, et être régulièrement mise à jour pour tenir compte des évolutions législatives et jurisprudentielles.

Enfin, la réalisation d’audits périodiques des pratiques d’archivage permet d’identifier d’éventuelles non-conformités et d’y remédier avant qu’elles ne donnent lieu à des sanctions. Ces audits peuvent être internes ou confiés à des prestataires spécialisés, et doivent donner lieu à des plans d’action correctifs lorsque des écarts sont constatés.