Javascript is required
logo-dastralogo-dastra

Élections professionnelles et données personnelles

Élections professionnelles et données personnelles
Maëva Vidal
Maëva Vidal
7 novembre 2022·11 minutes de lecture

À l'approche des élections professionnelles, la CNIL a publié un rappel sur la collecte et l'utilisation des données personnelles des électeurs.

I - La collecte des données des électeurs

Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

De ce fait, seules peuvent être collectées les informations suivantes :

  • les nom et prénom ;
  • l’âge ;
  • l’appartenance à l’entreprise ;
  • l’ancienneté (qui doit être de trois mois au minimum) ;
  • l'adresse du domicile du salarié SEULEMENT s'il exerce son activité à domicile.

Dans certains cas, d'autres informations peuvent être collectées si cela est indiqué dans les textes applicables. Par exemple, dans la fonction publique territoriale, la liste électorale doit mentionner l'affectation et le genre de chacun des agents inscrits (circulaire du 27 mai 2022).

II - Qui est responsable de traitement ?

Il est important de bien qualifier les acteurs lors de la préparation et du déroulement des élections professionnelles, afin de déterminer leurs obligations. Le responsable de traitement doit respecter toutes les obligations du RGPD (article 4-7 du RGPD), en particulier l’information des personnes, et formaliser la relation de sous-traitance lorsqu'il en existe une. Le sous-traitant a également des obligations propres.

Acteur Oui/non
Organisateur de l'élection Oui
Centres de gestion pour le compte des collectivités territoriales Oui : les collectivités territoriales et les établissements publics concernés n’interviennent pas dans l’organisation des élections professionnelles.
Prestataire de solution de vote électronique Non (sous-traitant) : il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection.
Expert indépendant qui atteste de la sécurité de la solution de vote électronique et du bon déroulement du processus électoral Non (sous-traitant). Attention : s'il n'est pas limité dans le traitement, il sera considéré comme un responsable de traitement.

III - Un rappel des obligations du responsable de traitement dans le cadre des élections professionnelles

L'inscription préalable du traitement au registre des activités de traitement

L'inscription du traitement répond à l’obligation prévue par l’article 30 du RGPD, mais permet également de démontrer sa conformité au RGPD. Le registre doit refléter la réalité des traitements et permet d’identifier précisément les parties prenantes qui interviennent dans le traitement des données, les catégories de données traitées et leur(s) finalité(s), les destinataires (qui accèdent aux données et reçoivent communication), la durée de conservation et les mesures de sécurité mises en place.

La réalisation d'une Analyse d'impact

Une analyse d'impact (AIPD ou PIA) est requise dès lors que le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Dans ce cadre, elle n'est pas obligatoire, sauf si l’organisation du vote électronique indique que le traitement de données utilisé présente un risque résiduel élevé pour les droits et libertés des électeurs.

Retrouvez nos modèles d'audit sur le logiciel RGPD Dastra ou sur le site internet

L'information des personnes concernées

Le responsable de traitement doit informer les personnes concernées au moment de la collecte de leurs données personnelles, et dès lors que cela est jugé opportun. En effet, la réglementation impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD.

Dans le cadre des élections professionnelles, si le vote s'effectue par correspondance électronique, il doit informer individuellement les agents/salariés de la transmission de certaines de leurs données personnelles au prestataire de solution de vote.

L'obligation de sécurité

Le responsable de traitement a l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32 RGPD).

Pour l'aider à avoir une approche par niveau de risque et par objectifs de sécurité à atteindre, la CNIL a adopté, le 25 avril 2019, une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Une fois le niveau de risque établi, le responsable du traitement peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre.

Elle oriente, conformément à ses recommandations, le responsable de traitement sur les mesures de sécurité dans le cadre des élections professionnelles :

Question Oui/non
Le responsable de traitement et le sous-traitant peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ? Non : l'identifiant et le mot de passe doivent être remis aux électeurs via deux canaux de communication distincts (remise en main propre, voie postale, voie électronique ou dépôt sur un intranet professionnel).
Le mot de passe de l’électeur peut-il lui être envoyé en clair ? Non, sauf par voie postale.
Les e-mails ou les numéros de téléphone personnels peuvent-ils être utilisés comme canaux de transmission des moyens d’authentification ? Non, sauf en cas de demande expresse de l’électeur (agent ou salarié) que l’employeur devra démontrer.
Les mêmes identifiants et mots de passe peuvent-ils être utilisés lors des deux tours d’une élection ? Oui
L’IBAN (International Bank Account Number) complet peut-il être utilisé par l’organisateur de l’élection ou son prestataire de solution de vote électronique comme question secrète ? Non : seule l’utilisation d’une partie de l’IBAN peut être utilisée, et seulement si la finalité a été prévue dans le traitement ou si le responsable de traitement en a informé les électeurs.

Il est vivement recommandé de suivre les directives de la CNIL lors de la mise en place de son traitement, et de lire ses recommandations relatives à la sécurité des systèmes de vote par correspondance électronique et aux mots de passe, afin d'être en conformité avec la réglementation.


A propos de l'auteur
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.