Aucun produit dans votre panier.
Aucun produit dans votre panier.
Publié le - Mise à jour le
La Commission nationale de l’informatique et des libertés (CNIL) a récemment rappelé les principes applicables à la collecte et au traitement de données des élections professionnelles. Garance Mathias, avocat fondateur du cabinet Mathias Avocats, revient sur les principales règles de protection des données à prendre en compte.
Lors d’élections professionnelles, les employeurs publics et privés sont en effet amenés à collecter et à utiliser les données personnelles des électeurs. Selon la Cour de cassation, seules les informations suivantes doivent figurer sur la liste électorale : nom, prénom, âge, appartenance à l’entreprise, et ancienneté (au moins de 3 mois). Par ailleurs, en tant que responsable de traitement des données, l’organisateur de l’élection doit informer les personnes concernées : il peut lui-même s’en charger ou confier cette opération à son sous-traitant, notamment en cas de vote par correspondance électronique. L’organisateur doit alors contrôler que l’information a été délivrée conformément aux exigences du règlement général sur la protection des données (RGPD), à savoir : une information exhaustive, compréhensible et aisément accessible afin de faciliter l’exercice des droits des électeurs.
Dans la mesure où il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection, le prestataire de solution de vote électronique est en principe sous-traitant au sens du RGPD. Il appartient ainsi à l’organisateur de l’élection de formaliser la relation de sous-traitance avec son prestataire par un contrat reprenant les exigences de l’article 28 du RGPD.
Le cadre d’intervention de l’expert étant variable, sa qualification doit être analysée au cas par cas.
De façon générale, l’expert indépendant ne traite pas de données personnelles lors de son analyse de la solution de vote électronique et du processus électoral. Si, au contraire, l’expert traite de données personnelles, il convient alors de se référer en la matière aux lignes directrices établies par le Comité européen de la protection des données, qui donnent de nombreuses illustrations. La CNIL préconise par ailleurs que l’expertise couvre l’intégralité des opérations de vote : du dispositif installé avant le scrutin, en passant par son organisation (constitution des listes électorales, envoi des identifiants de connexion, etc.), au fonctionnement du système de vote (du scrutin à l’archivage).
Les responsables de traitement souhaitant recourir au vote électronique peuvent se référer à une recommandation de la CNIL du 25 avril 2019 ainsi qu’à une fiche pratique de la CNIL portant sur la sécurité des systèmes de vote par Internet. Pour résumer, il s’agit d’une approche pragmatique qui consiste notamment à réaliser une grille d’analyse permettant de déterminer le niveau de sécurité à respecter et d’y associer des objectifs de sécurité comportant, pour chacun, des moyens minimaux à mettre en œuvre. Concernant ces bonnes pratiques, et sans pouvoir toutes les citer, il convient entre autres de communiquer aux électeurs leurs moyens d’authentification par le biais de deux canaux : remise en mains propres sur le lieu de travail et envoi sur une adresse e-mail professionnelle ou un téléphone professionnel, par exemple.
En cas de non-respect des règles de protection des données lors d’une élection professionnelle, le responsable de traitement et le sous-traitant sont susceptibles de se voir infliger une amende d’un montant de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial de l’entreprise. Des sanctions qui peuvent de plus être rendues publiques.