[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fI-A9vRuexxK2JH4cSLBEl4XJHtN6YPEtfsH8nUJWJGY":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":16,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":68,"imageUrl":73,"imageThumbUrls":74,"id":82},true,"À l'approche des élections professionnelles, la [CNIL](https://www.cnil.fr/fr/elections-professionnelles-et-donnees-personnelles-questions-reponses) a publié un rappel sur la collecte et l'utilisation des données personnelles des électeurs.\r\n\r\n## I - La collecte des données des électeurs\r\n\r\nLe [principe de minimisation](https://www.dastra.eu/fr/guide/minimisation-des-donnees-a-caractere-personnel/362) prévoit que les données à caractère personnel doivent être **adéquates, pertinentes et limitées** à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.\r\n\r\nDe ce fait, seules peuvent être collectées les informations suivantes :\r\n\r\n- les nom et prénom ;\r\n- l’âge ;\r\n- l’appartenance à l’entreprise ;\r\n- l’ancienneté (qui doit être de trois mois au minimum) ;\r\n- l'adresse du domicile du salarié SEULEMENT s'il exerce son activité à domicile.\r\n\r\nDans certains cas, **d'autres informations peuvent être collectées si cela est indiqué dans les textes applicables**. Par exemple, dans la fonction publique territoriale, la liste électorale doit mentionner l'affectation et le genre de chacun des agents inscrits (*circulaire du 27 mai 2022*).\r\n\r\n## II - Qui est responsable de traitement ?\r\n\r\nIl est important de bien **qualifier les acteurs** lors de la préparation et du déroulement des élections professionnelles, afin de déterminer leurs obligations. Le [responsable de traitement](https://www.dastra.eu/fr/article/responsable-de-traitement/392) **doit respecter toutes les obligations du RGPD** (article 4-7 du RGPD), en particulier l’information des personnes, et formaliser la relation de [sous-traitance](https://www.dastra.eu/fr/article/sous-traitant/388) lorsqu'il en existe une. Le sous-traitant a également des [obligations](https://www.cnil.fr/fr/definition/sous-traitant) propres.\r\n\r\n| Acteur | Oui/non |\r\n| --- | --- |\r\n| Organisateur de l'élection | Oui |\r\n| Centres de gestion pour le compte des collectivités territoriales | Oui : les collectivités territoriales et les établissements publics concernés n’interviennent pas dans l’organisation des élections professionnelles. |\r\n| Prestataire de solution de vote électronique | Non (sous-traitant) : il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection. |\r\n| Expert indépendant qui atteste de la sécurité de la solution de vote électronique et du bon déroulement du processus électoral | Non (sous-traitant). **Attention** : s'il n'est pas limité dans le traitement, il sera considéré comme un responsable de traitement. |\r\n\r\n## III - Un rappel des obligations du responsable de traitement dans le cadre des élections professionnelles\r\n\r\n### L'inscription préalable du traitement au registre des activités de traitement\r\n\r\nL'inscription du traitement **répond à l’obligation prévue par l’article 30 du RGPD**, mais permet également de **démontrer sa conformité au RGPD**. Le [registre](https://www.dastra.eu/fr/data-processing) doit refléter la réalité des traitements et permet d’identifier précisément les parties prenantes qui interviennent dans le traitement des données, les catégories de données traitées et leur(s) finalité(s), les destinataires (qui accèdent aux données et reçoivent communication), la durée de conservation et les mesures de sécurité mises en place.\r\n\r\n### La réalisation d'une Analyse d'impact\r\n\r\nUne [analyse d'impact](https://www.dastra.eu/fr/guide/fiche-pratique/51905) (AIPD ou PIA) est requise dès lors que le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.\r\n\r\nDans ce cadre, elle n'est pas obligatoire, **sauf** si l’organisation du vote électronique indique que le traitement de données utilisé **présente un risque résiduel élevé pour les droits et libertés des électeurs**.\r\n\r\n> [Retrouvez nos modèles d'audit sur le logiciel RGPD Dastra ou sur le site internet](https://www.dastra.eu/fr/audit/referential?q=aipd)\r\n\r\n### L'information des personnes concernées\r\n\r\nLe responsable de traitement doit [informer les personnes concernées](https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916) au moment de la collecte de leurs données personnelles, et dès lors que cela est jugé opportun. En effet, la réglementation impose une **information concise, transparente, compréhensible et aisément accessible** des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD.\r\n\r\nDans le cadre des élections professionnelles, si le vote s'effectue par correspondance électronique, il doit **informer individuellement les agents/salariés de la transmission** de certaines de leurs données personnelles au prestataire de solution de vote.\r\n\r\n### L'obligation de sécurité\r\n\r\nLe responsable de traitement a l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un **niveau de sécurité adapté au risque** (art. 32 RGPD).\r\n\r\nPour **l'aider à avoir une approche par niveau de risque et par objectifs de sécurité à atteindre**, la CNIL a adopté, le 25 avril 2019, une [recommandation](https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010) relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Une fois le niveau de risque établi, le responsable du traitement peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre.\r\n\r\nElle oriente, conformément à ses recommandations, le responsable de traitement sur les mesures de sécurité dans le cadre des élections professionnelles :\r\n\r\n| Question | Oui/non |\r\n| --- | --- |\r\n| Le responsable de traitement et le sous-traitant peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ? | Non : l'identifiant et le mot de passe doivent être remis aux électeurs via **deux canaux de communication distincts** (remise en main propre, voie postale, voie électronique ou dépôt sur un intranet professionnel). |\r\n| Le mot de passe de l’électeur peut-il lui être envoyé en clair ? | Non, sauf par voie postale. |\r\n| Les e-mails ou les numéros de téléphone personnels peuvent-ils être utilisés comme canaux de transmission des moyens d’authentification ? | Non, sauf en cas de demande expresse de l’électeur (agent ou salarié) que l’employeur devra démontrer. |\r\n| Les mêmes identifiants et mots de passe peuvent-ils être utilisés lors des deux tours d’une élection ? | Oui |\r\n| L’IBAN (International Bank Account Number) complet peut-il être utilisé par l’organisateur de l’élection ou son prestataire de solution de vote électronique comme question secrète ? | Non : **seule l’utilisation d’une partie de l’IBAN peut être utilisée**, et seulement si la finalité a été prévue dans le traitement ou si le responsable de traitement en a informé les électeurs. |\r\n\r\nIl est vivement recommandé de suivre les directives de la CNIL lors de la mise en place de son traitement, et de lire ses recommandations relatives à la sécurité des systèmes de vote par correspondance électronique et aux mots de passe, afin d'être en conformité avec la réglementation.","\u003Cp>À l'approche des élections professionnelles, la \u003Ca href=\"https://www.cnil.fr/fr/elections-professionnelles-et-donnees-personnelles-questions-reponses\" rel=\"nofollow\">CNIL\u003C/a> a publié un rappel sur la collecte et l'utilisation des données personnelles des électeurs.\u003C/p>\r\n\u003Ch2 id=\"i-la-collecte-des-donnees-des-electeurs\">I - La collecte des données des électeurs\u003C/h2>\r\n\u003Cp>Le \u003Ca href=\"https://www.dastra.eu/fr/guide/minimisation-des-donnees-a-caractere-personnel/362\">principe de minimisation\u003C/a> prévoit que les données à caractère personnel doivent être \u003Cstrong>adéquates, pertinentes et limitées\u003C/strong> à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.\u003C/p>\r\n\u003Cp>De ce fait, seules peuvent être collectées les informations suivantes :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>les nom et prénom ;\u003C/li>\r\n\u003Cli>l’âge ;\u003C/li>\r\n\u003Cli>l’appartenance à l’entreprise ;\u003C/li>\r\n\u003Cli>l’ancienneté (qui doit être de trois mois au minimum) ;\u003C/li>\r\n\u003Cli>l'adresse du domicile du salarié SEULEMENT s'il exerce son activité à domicile.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Dans certains cas, \u003Cstrong>d'autres informations peuvent être collectées si cela est indiqué dans les textes applicables\u003C/strong>. Par exemple, dans la fonction publique territoriale, la liste électorale doit mentionner l'affectation et le genre de chacun des agents inscrits (\u003Cem>circulaire du 27 mai 2022\u003C/em>).\u003C/p>\r\n\u003Ch2 id=\"ii-qui-est-responsable-de-traitement\">II - Qui est responsable de traitement ?\u003C/h2>\r\n\u003Cp>Il est important de bien \u003Cstrong>qualifier les acteurs\u003C/strong> lors de la préparation et du déroulement des élections professionnelles, afin de déterminer leurs obligations. Le \u003Ca href=\"https://www.dastra.eu/fr/article/responsable-de-traitement/392\">responsable de traitement\u003C/a> \u003Cstrong>doit respecter toutes les obligations du RGPD\u003C/strong> (article 4-7 du RGPD), en particulier l’information des personnes, et formaliser la relation de \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitant/388\">sous-traitance\u003C/a> lorsqu'il en existe une. Le sous-traitant a également des \u003Ca href=\"https://www.cnil.fr/fr/definition/sous-traitant\" rel=\"nofollow\">obligations\u003C/a> propres.\u003C/p>\r\n\u003Ctable>\r\n\u003Cthead>\r\n\u003Ctr>\r\n\u003Cth>Acteur\u003C/th>\r\n\u003Cth>Oui/non\u003C/th>\r\n\u003C/tr>\r\n\u003C/thead>\r\n\u003Ctbody>\r\n\u003Ctr>\r\n\u003Ctd>Organisateur de l'élection\u003C/td>\r\n\u003Ctd>Oui\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Centres de gestion pour le compte des collectivités territoriales\u003C/td>\r\n\u003Ctd>Oui : les collectivités territoriales et les établissements publics concernés n’interviennent pas dans l’organisation des élections professionnelles.\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Prestataire de solution de vote électronique\u003C/td>\r\n\u003Ctd>Non (sous-traitant) : il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection.\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Expert indépendant qui atteste de la sécurité de la solution de vote électronique et du bon déroulement du processus électoral\u003C/td>\r\n\u003Ctd>Non (sous-traitant). \u003Cstrong>Attention\u003C/strong> : s'il n'est pas limité dans le traitement, il sera considéré comme un responsable de traitement.\u003C/td>\r\n\u003C/tr>\r\n\u003C/tbody>\r\n\u003C/table>\r\n\u003Ch2 id=\"iii-un-rappel-des-obligations-du-responsable-de-traitement-dans-le-cadre-des-elections-professionnelles\">III - Un rappel des obligations du responsable de traitement dans le cadre des élections professionnelles\u003C/h2>\r\n\u003Ch3 id=\"linscription-prealable-du-traitement-au-registre-des-activites-de-traitement\">L'inscription préalable du traitement au registre des activités de traitement\u003C/h3>\r\n\u003Cp>L'inscription du traitement \u003Cstrong>répond à l’obligation prévue par l’article 30 du RGPD\u003C/strong>, mais permet également de \u003Cstrong>démontrer sa conformité au RGPD\u003C/strong>. Le \u003Ca href=\"https://www.dastra.eu/fr/data-processing\">registre\u003C/a> doit refléter la réalité des traitements et permet d’identifier précisément les parties prenantes qui interviennent dans le traitement des données, les catégories de données traitées et leur(s) finalité(s), les destinataires (qui accèdent aux données et reçoivent communication), la durée de conservation et les mesures de sécurité mises en place.\u003C/p>\r\n\u003Ch3 id=\"la-realisation-dune-analyse-dimpact\">La réalisation d'une Analyse d'impact\u003C/h3>\r\n\u003Cp>Une \u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique/51905\">analyse d'impact\u003C/a> (AIPD ou PIA) est requise dès lors que le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.\u003C/p>\r\n\u003Cp>Dans ce cadre, elle n'est pas obligatoire, \u003Cstrong>sauf\u003C/strong> si l’organisation du vote électronique indique que le traitement de données utilisé \u003Cstrong>présente un risque résiduel élevé pour les droits et libertés des électeurs\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/audit/referential?q=aipd\">Retrouvez nos modèles d'audit sur le logiciel RGPD Dastra ou sur le site internet\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"linformation-des-personnes-concernees\">L'information des personnes concernées\u003C/h3>\r\n\u003Cp>Le responsable de traitement doit \u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916\">informer les personnes concernées\u003C/a> au moment de la collecte de leurs données personnelles, et dès lors que cela est jugé opportun. En effet, la réglementation impose une \u003Cstrong>information concise, transparente, compréhensible et aisément accessible\u003C/strong> des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD.\u003C/p>\r\n\u003Cp>Dans le cadre des élections professionnelles, si le vote s'effectue par correspondance électronique, il doit \u003Cstrong>informer individuellement les agents/salariés de la transmission\u003C/strong> de certaines de leurs données personnelles au prestataire de solution de vote.\u003C/p>\r\n\u003Ch3 id=\"lobligation-de-securite\">L'obligation de sécurité\u003C/h3>\r\n\u003Cp>Le responsable de traitement a l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un \u003Cstrong>niveau de sécurité adapté au risque\u003C/strong> (art. 32 RGPD).\u003C/p>\r\n\u003Cp>Pour \u003Cstrong>l'aider à avoir une approche par niveau de risque et par objectifs de sécurité à atteindre\u003C/strong>, la CNIL a adopté, le 25 avril 2019, une \u003Ca href=\"https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010\" rel=\"nofollow\">recommandation\u003C/a> relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Une fois le niveau de risque établi, le responsable du traitement peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre.\u003C/p>\r\n\u003Cp>Elle oriente, conformément à ses recommandations, le responsable de traitement sur les mesures de sécurité dans le cadre des élections professionnelles :\u003C/p>\r\n\u003Ctable>\r\n\u003Cthead>\r\n\u003Ctr>\r\n\u003Cth>Question\u003C/th>\r\n\u003Cth>Oui/non\u003C/th>\r\n\u003C/tr>\r\n\u003C/thead>\r\n\u003Ctbody>\r\n\u003Ctr>\r\n\u003Ctd>Le responsable de traitement et le sous-traitant peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ?\u003C/td>\r\n\u003Ctd>Non : l'identifiant et le mot de passe doivent être remis aux électeurs via \u003Cstrong>deux canaux de communication distincts\u003C/strong> (remise en main propre, voie postale, voie électronique ou dépôt sur un intranet professionnel).\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Le mot de passe de l’électeur peut-il lui être envoyé en clair ?\u003C/td>\r\n\u003Ctd>Non, sauf par voie postale.\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Les e-mails ou les numéros de téléphone personnels peuvent-ils être utilisés comme canaux de transmission des moyens d’authentification ?\u003C/td>\r\n\u003Ctd>Non, sauf en cas de demande expresse de l’électeur (agent ou salarié) que l’employeur devra démontrer.\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>Les mêmes identifiants et mots de passe peuvent-ils être utilisés lors des deux tours d’une élection ?\u003C/td>\r\n\u003Ctd>Oui\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>L’IBAN (International Bank Account Number) complet peut-il être utilisé par l’organisateur de l’élection ou son prestataire de solution de vote électronique comme question secrète ?\u003C/td>\r\n\u003Ctd>Non : \u003Cstrong>seule l’utilisation d’une partie de l’IBAN peut être utilisée\u003C/strong>, et seulement si la finalité a été prévue dans le traitement ou si le responsable de traitement en a informé les électeurs.\u003C/td>\r\n\u003C/tr>\r\n\u003C/tbody>\r\n\u003C/table>\r\n\u003Cp>Il est vivement recommandé de suivre les directives de la CNIL lors de la mise en place de son traitement, et de lire ses recommandations relatives à la sécurité des systèmes de vote par correspondance électronique et aux mots de passe, afin d'être en conformité avec la réglementation.\u003C/p>\r\n",null,1062,6,"Élections professionnelles et données personnelles",0,"","fr","elections-professionnelles-et-donnees-personnelles","À l'approche des élections professionnelles, la CNIL a publié un rappel sur la collecte et l'utilisation des données personnelles des électeurs.",false,"Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":7,"blogUrl":7,"color":7,"userId":19,"creationDate":22},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2022-11-07T09:30:00","2022-10-24T13:29:55.8995876","2025-12-17T10:26:25.8224248",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":13,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42,47],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":43},[44,45,46],{"lang":13,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},{"id":48,"name":49,"description":50,"url":51,"color":52,"parentId":27,"count":7,"imageUrl":7,"parent":53,"order":11,"translations":58},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":54},[55,56,57],{"lang":13,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[59,62,65],{"lang":13,"name":60,"description":61},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":36,"name":63,"description":64},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":39,"name":66,"description":67},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[69],{"typeMetaDataId":70,"value":71,"id":72},3,"Retrouvez nos modèles d'audit sur Dastra ou sur notre site web",105191,"https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-1000.png",[75,76,77,78,79,80,81],"https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-1000.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-1500.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-800.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-600.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-300.webp","https://static.dastra.eu/content/ea620754-ae97-451a-b987-471935ec19ae/sans-titre-100.webp",52889]