À l'approche des élections professionnelles, la CNIL a publié un rappel sur la collecte et l'utilisation des données personnelles des électeurs.
I - La collecte des données des électeurs
Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
De ce fait, seules peuvent être collectées les informations suivantes :
- les nom et prénom ;
- l’âge ;
- l’appartenance à l’entreprise ;
- l’ancienneté (qui doit être de trois mois au minimum) ;
- l'adresse du domicile du salarié SEULEMENT s'il exerce son activité à domicile.
Dans certains cas, d'autres informations peuvent être collectées si cela est indiqué dans les textes applicables. Par exemple, dans la fonction publique territoriale, la liste électorale doit mentionner l'affectation et le genre de chacun des agents inscrits (circulaire du 27 mai 2022).
II - Qui est responsable de traitement ?
Il est important de bien qualifier les acteurs lors de la préparation et du déroulement des élections professionnelles, afin de déterminer leurs obligations. Le responsable de traitement doit respecter toutes les obligations du RGPD (article 4-7 du RGPD), en particulier l’information des personnes, et formaliser la relation de sous-traitance lorsqu'il en existe une. Le sous-traitant a également des obligations propres.
| Acteur | Oui/non |
|---|---|
| Organisateur de l'élection | Oui |
| Centres de gestion pour le compte des collectivités territoriales | Oui : les collectivités territoriales et les établissements publics concernés n’interviennent pas dans l’organisation des élections professionnelles. |
| Prestataire de solution de vote électronique | Non (sous-traitant) : il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection. |
| Expert indépendant qui atteste de la sécurité de la solution de vote électronique et du bon déroulement du processus électoral | Non (sous-traitant). Attention : s'il n'est pas limité dans le traitement, il sera considéré comme un responsable de traitement. |
III - Un rappel des obligations du responsable de traitement dans le cadre des élections professionnelles
L'inscription préalable du traitement au registre des activités de traitement
L'inscription du traitement répond à l’obligation prévue par l’article 30 du RGPD, mais permet également de démontrer sa conformité au RGPD. Le registre doit refléter la réalité des traitements et permet d’identifier précisément les parties prenantes qui interviennent dans le traitement des données, les catégories de données traitées et leur(s) finalité(s), les destinataires (qui accèdent aux données et reçoivent communication), la durée de conservation et les mesures de sécurité mises en place.
La réalisation d'une Analyse d'impact
Une analyse d'impact (AIPD ou PIA) est requise dès lors que le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Dans ce cadre, elle n'est pas obligatoire, sauf si l’organisation du vote électronique indique que le traitement de données utilisé présente un risque résiduel élevé pour les droits et libertés des électeurs.
Retrouvez nos modèles d'audit sur le logiciel RGPD Dastra ou sur le site internet
L'information des personnes concernées
Le responsable de traitement doit informer les personnes concernées au moment de la collecte de leurs données personnelles, et dès lors que cela est jugé opportun. En effet, la réglementation impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD.
Dans le cadre des élections professionnelles, si le vote s'effectue par correspondance électronique, il doit informer individuellement les agents/salariés de la transmission de certaines de leurs données personnelles au prestataire de solution de vote.
L'obligation de sécurité
Le responsable de traitement a l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32 RGPD).
Pour l'aider à avoir une approche par niveau de risque et par objectifs de sécurité à atteindre, la CNIL a adopté, le 25 avril 2019, une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Une fois le niveau de risque établi, le responsable du traitement peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre.
Elle oriente, conformément à ses recommandations, le responsable de traitement sur les mesures de sécurité dans le cadre des élections professionnelles :
| Question | Oui/non |
|---|---|
| Le responsable de traitement et le sous-traitant peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ? | Non : l'identifiant et le mot de passe doivent être remis aux électeurs via deux canaux de communication distincts (remise en main propre, voie postale, voie électronique ou dépôt sur un intranet professionnel). |
| Le mot de passe de l’électeur peut-il lui être envoyé en clair ? | Non, sauf par voie postale. |
| Les e-mails ou les numéros de téléphone personnels peuvent-ils être utilisés comme canaux de transmission des moyens d’authentification ? | Non, sauf en cas de demande expresse de l’électeur (agent ou salarié) que l’employeur devra démontrer. |
| Les mêmes identifiants et mots de passe peuvent-ils être utilisés lors des deux tours d’une élection ? | Oui |
| L’IBAN (International Bank Account Number) complet peut-il être utilisé par l’organisateur de l’élection ou son prestataire de solution de vote électronique comme question secrète ? | Non : seule l’utilisation d’une partie de l’IBAN peut être utilisée, et seulement si la finalité a été prévue dans le traitement ou si le responsable de traitement en a informé les électeurs. |
Il est vivement recommandé de suivre les directives de la CNIL lors de la mise en place de son traitement, et de lire ses recommandations relatives à la sécurité des systèmes de vote par correspondance électronique et aux mots de passe, afin d'être en conformité avec la réglementation.