Élections professionnelles : quelles règles de protection des données appliquer ?

Publié le - Mise à jour le

elections_professionnelles_quelles_regles_de_protection_des_donnees_appliquer
Voir toutes les actualités

La Commission nationale de l’informatique et des libertés (CNIL) a récemment rappelé les principes applicables à la collecte et au traitement de données des élections professionnelles. Garance Mathias, avocat fondateur du cabinet Mathias Avocats, revient sur les principales règles de protection des données à prendre en compte.

Pour un employeur, quelles sont les principales règles à respecter en matière de collecte et de traitement des données concernant les listes électorales ?

Lors d’élections professionnelles, les employeurs publics et privés sont en effet amenés à collecter et à utiliser les données personnelles des électeurs. Selon la Cour de cassation, seules les informations suivantes doivent figurer sur la liste électorale : nom, prénom, âge, appartenance à l’entreprise, et ancienneté (au moins de 3 mois). Par ailleurs, en tant que responsable de traitement des données, l’organisateur de l’élection doit informer les personnes concernées : il peut lui-même s’en charger ou confier cette opération à son sous-traitant, notamment en cas de vote par correspondance électronique. L’organisateur doit alors contrôler que l’information a été délivrée conformément aux exigences du règlement général sur la protection des données (RGPD), à savoir : une information exhaustive, compréhensible et aisément accessible afin de faciliter l’exercice des droits des électeurs.

Quel est le statut du prestataire de solution de vote par correspondance électronique ?

Dans la mesure où il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection, le prestataire de solution de vote électronique est en principe sous-traitant au sens du RGPD. Il appartient ainsi à l’organisateur de l’élection de formaliser la relation de sous-traitance avec son prestataire par un contrat reprenant les exigences de l’article 28 du RGPD.

Quel est le statut de l'expert indépendant qui atteste du bon déroulement du processus électoral ?

Le cadre d’intervention de l’expert étant variable, sa qualification doit être analysée au cas par cas.

De façon générale, l’expert indépendant ne traite pas de données personnelles lors de son analyse de la solution de vote électronique et du processus électoral. Si, au contraire, l’expert traite de données personnelles, il convient alors de se référer en la matière aux lignes directrices établies par le Comité européen de la protection des données, qui donnent de nombreuses illustrations. La CNIL préconise par ailleurs que l’expertise couvre l’intégralité des opérations de vote : du dispositif installé avant le scrutin, en passant par son organisation (constitution des listes électorales, envoi des identifiants de connexion, etc.), au fonctionnement du système de vote (du scrutin à l’archivage).

En matière de vote électronique, quelles sont les mesures de sécurité et bonnes pratiques à respecter ?

Les responsables de traitement souhaitant recourir au vote électronique peuvent se référer à une recommandation de la CNIL du 25 avril 2019 ainsi qu’à une fiche pratique de la CNIL portant sur la sécurité des systèmes de vote par Internet. Pour résumer, il s’agit d’une approche pragmatique qui consiste notamment à réaliser une grille d’analyse permettant de déterminer le niveau de sécurité à respecter et d’y associer des objectifs de sécurité comportant, pour chacun, des moyens minimaux à mettre en œuvre. Concernant ces bonnes pratiques, et sans pouvoir toutes les citer, il convient entre autres de communiquer aux électeurs leurs moyens d’authentification par le biais de deux canaux : remise en mains propres sur le lieu de travail et envoi sur une adresse e-mail professionnelle ou un téléphone professionnel, par exemple.

Quelles sont les conséquences possibles du non-respect des règles de protection des données lors d'une élection professionnelle ?

En cas de non-respect des règles de protection des données lors d’une élection professionnelle, le responsable de traitement et le sous-traitant sont susceptibles de se voir infliger une amende d’un montant de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial de l’entreprise. Des sanctions qui peuvent de plus être rendues publiques.

Formations qui pourraient vous intéresser

tealium