Cabinet RostaingUncategorizedComments are off for this post
Dans un document publié sur son site, la Commission nationale informatique et libertés (Cnil) recense les réponses aux questions qui lui sont le plus fréquemment posées sur la collecte et l’utilisation de données des électeurs pour l’organisation des élections professionnelles.

Dans les mois à venir, de nombreuses entreprises seront amenées à organiser des élections professionnelles pour renouveler leur CSE. Ce questions-réponses de la Cnil, la Commission nationale informatiques et libertés, rappelle les principes relatifs à l’utilisation des données personnelles des électeurs.

Listes électorales

C’est le protocole préélectoral qui précise les mentions devant figurer sur la liste électorale. La Cour de cassation a indiqué que seules les informations suivantes doivent y figurer :

  • nom, prénom ;
  • âge ;
  • appartenance à l’entreprise ;
  • ancienneté (minimum 3 mois).

En effet, ces mentions déterminent la qualité d’électeur et permettent le contrôle de la régularité de la liste. En outre, elles permettent l’organisation des opérations électorales. En revanche, les informations comme l’adresse du domicile n’ont pas à figurer sur la liste électorale, sauf cas très particulier (salariés à domicile par exemple).

 Remarque : la Cnil apporte également des précisions sur les informations demandées aux fonctionnaires et agents publics. Une autre question traite du statut des centres de gestion assurant l’organisation des élections professionnelles pour le compte des collectivités territoriales.

Vote électronique
Prestataire de solution de vote électronique

La Cnil explique que le prestataire de solution de vote électronique mettant en œuvre les élections professionnelles pour le compte de l’organisateur de l’élection est en principe un sous-traitant au sens du RGPD (règlement général de protection des données). En effet, il traite des données personnelles des électeurs pour le compte et sur instruction de l’organisateur de l’élection, l’employeur, afin de répondre exclusivement aux besoins de l’organisateur de l’élection tenu d’assurer le renouvellement des représentants du personnel.

Le traitement est effectué par le prestataire à la demande de l’organisateur de l’élection qui en fixe les caractéristiques essentielles (finalité, nature des données collectées, durée de conservation des données, mesures de sécurité, etc.). Les données personnelles des électeurs (adresses email professionnelles, coordonnées postales, matricule salarié non public etc.) sont transmises au prestataire par l’organisme responsable de l’organisation de l’élection.

► Remarque : la qualification de sous-traitant implique l’application de l’article 28 du RGPD. Ainsi, le responsable de traitement (l’employeur) et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires. Le contrat doit définir clairement l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données à caractère personnel et les catégories de personnes concernées. Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD, ce dont le responsable de traitement doit s’assurer. 

Expert indépendant

La question est celle de la qualification de l’expert indépendant au sens du RGPD. La Cnil explique que le cadre d’intervention de l’expert étant variable, sa qualification doit être analysée au cas par cas. L’expert indépendant ne traite généralement pas de données personnelles lors de son expertise de la solution de vote électronique et du processus électoral.

Dans le cas où l’expert aurait accès à ces données de manière purement accessoire et très limité dans la pratique, il pourrait être considéré qu’il n’opère pas de traitement de données personnelles. Ainsi, l’expert ne serait ni sous-traitant ni responsable de traitement. Lorsque l’expert traite des données personnelles, l’analyse peut être guidée par les lignes directrices du Comité européen de la protection des données sur les notions de responsable de traitement et de sous-traitant, qui livrent un certain nombre de précisions et d’exemples ainsi qu’un arbre de décision.

Si votre situation correspond aux critères ci-dessous (qui composent un faisceau d’indices), il est très probable que l’expert soit sous-traitant : 

  • l’expert est mandaté pour effectuer un traitement de données spécifique et a reçu des instructions détaillées en la matière ;
  • l’expert ne pourra pas traiter les données auxquelles il a accès pour d’autres finalités que celles indiquées par le responsable de traitement (c’est-à-dire pour une finalité qui lui est propre) ;
  • l’expert ne tirera aucun bénéfice du traitement autre que la simple rémunération de ses services et ne réexploite pas les données pour son compte ;
  • le responsable de traitement exerce un contrôle des activités de traitement de l’expert afin de s’assurer que celui-ci respecte les instructions et les stipulations contractuelles. 

Si la plupart des critères ci-dessus ne correspondent pas à la situation, le faisceau d’indices pourrait plutôt pencher vers la qualification de l’expert en tant que responsable de traitement. Concernant le champ de l’expertise elle-même, la Cnil considère qu’elle doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), la constitution des listes d’électeurs et leur enrôlement, ainsi que le fonctionnement du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).

L’expertise concerne ainsi plusieurs aspects du dispositif de vote : 

  • le logiciel de vote en lui-même ;
  • l’organisation du scrutin (constitution des listes électorales, envoi des identifiants de connexion aux électeurs, information, etc.) ;
  • le déploiement du système de vote ;
  • le scrutin en lui-même.

Dans le cas où l’organisateur de l’élection met en place un système de vote pour plusieurs entités, une seule et même expertise peut être réalisée pour garantir la conformité du logiciel de vote, du mode d’organisation du scrutin et du déploiement du système de vote, à la condition que ces derniers soient parfaitement identiques pour toutes les entités et que l’entité puisse le prouver techniquement.

En revanche, l’expertise doit normalement veiller au bon déroulement de chacun des scrutins de manière individuelle, notamment pour le scellement et le dépouillement des urnes : cette partie de l’expertise ne peut donc pas être réutilisée a priori.

Documents de la Cnil à prendre en compte pour le vote électronique

La Cnil rappelle que le vote électronique a fait l’objet d’une recommandation de la part de la Cnil le 25 avril 2019 (entrée en vigueur le 21 juin 2020). Cette recommandation est complétée par la fiche pratique Sécurité des systèmes de vote par internet : la Cnil actualise sa recommandation de 2010 publiée sur son site internet. 

Rappelons que cette recommandation présente une méthodologie afin de déterminer le niveau de risque. Le QR précise « qu’en pratique, la Cnil identifie généralement un risque de niveau 2 (intermédiaire) pour la plupart des élections des représentants du personnel aux instances représentatives, sauf cas particulier tels qu’une élection à grande échelle se déroulant dans un organisme important et dans un cadre conflictuel, qui relèvent du niveau 3 (le plus élevé) ».

Puis la Cnil ajoute « qu’une fois le niveau de risque établi, l’organisateur de l’élection (qui est également responsable du traitement) peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre ». Ainsi, « dans le cadre des élections professionnelles, tout dispositif de vote par correspondance électronique devrait notamment inclure, à la manière de ce qui se fait pour le vote papier, un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement, ainsi qu’un dispositif d’authentification des électeurs permettant de s’assurer que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative ».

Formalités auprès de la Cnil ?

Aucune formalité particulière ne doit être réalisée auprès de la Cnil, mais, l’organisateur de l’élection, qui agit en qualité de responsable de traitement, doit à ce titre respecter ses obligations au regard du RGPD : 

  • la réalisation d’une analyse d’impact relative à la protection des données (AIPD) ;
  • l’inscription préalable du traitement au registre des activités de traitement ;
  • l’information des personnes, notamment sur le déroulement des opérations de vote et sur le fonctionnement du système de vote électronique (en fournissant une notice, par exemple) ;
  • l’encadrement du contrat de sous-traitance s’il est fait appel à un prestataire extérieur, etc. 

Mais attention, ajoute la Cnil, « lorsque l’AIPD réalisée préalablement à l’organisation du vote électronique indique que le traitement de données personnelles utilisé présente un risque résiduel élevé pour les droits et libertés des électeurs et s’il ne prend pas de mesures pour atténuer ce risque, l’organisateur de l’élection doit consulter la Cnil (art. 36 du RGPD) ».

Information des électeurs

La Cnil précise que :

  • c’est l’organisateur de l’élection, responsable de traitement qui doit informer les personnes concernées. Il peut le faire lui-même ou confier cette opération à son soustraitant, en contrôlant que l’information soit délivrée conformément à ce que prévoit le RGPD. En cas de vote électronique, l’organisateur de l’élection informe individuellement les salariés de la transmission de certaines de leurs données personnelles au prestataire de solution de vote. Il peut également déléguer, en la contrôlant, cette information au prestataire. Celui-ci pourra ensuite organiser le scrutin ;
  • c’est le responsable de l’élection qui doit définir les mesures appropriées afin de fournir une information complète, aisément accessible et de nature à faciliter l’exercice des droits des électeurs dont les données sont collectées. Lorsque le responsable dispose d’un moyen simple lui permettant d’atteindre directement l’électeur (p. ex. : adresse email professionnelle, information transmise au moment de la remise de la fiche de paie), il convient de privilégier ces supports de communication. L’information rendue accessible dans un lieu de passage ne peut généralement intervenir qu’en rappel ou en complément d’une information exhaustive et directement adressée à la personne ;
  • c’est au moment de la collecte de leurs données personnelles que l’information doit être délivrée aux salariés concernés, et peut être renouvelée à tout moment, lorsque cela est jugé opportun, afin notamment de faciliter l’exercice des droits des personnes. Par exemple, l’employeur informe l’agent à son embauche de la collecte de son IBAN à des fins de gestion de paie et, le cas échéant, d’une partie de celui-ci à des fins d’authentification dans le cadre du vote électronique. Une nouvelle information peut être délivrée à ce dernier peu de temps avant l’utilisation effective de cette donnée pour les élections professionnelles, afin de lui rappeler la mise en œuvre du traitement ou lorsque cela n’a pas été réalisé au moment de l’embauche.
Authentification des électeurs : identifiant et mot de passe 

Si l’authentification des électeurs sur la plateforme de vote repose sur l’utilisation d’un couple identifiant/mot de passe, la Cnil recommande que ces derniers soient dédiés à l’élection et remis aux électeurs de manière sécurisée, via deux canaux de communication distincts définis avant l’élection, afin de réduire les risques d’interception par un tiers.

► Remarque : attention, à l’exception des envois par voie postale, la Cnil recommande que les mots de passe permettant l’accès à la plateforme de vote en ligne ne soient jamais communiqués à l’utilisateur « en clair », notamment par courrier électronique. Il convient donc de privilégier, par exemple, l’envoi d’un lien à usage unique ou d’un mot de passe temporaire permettant à l’électeur de définir lui-même son mot de passe. De plus, les mots de passe ainsi définis ne doivent pas faire l’objet d’un stockage en clair par le responsable de traitement ou un sous-traitant.

La Cnil recommande par ailleurs de compléter ce processus d’authentification en demandant à l’électeur de répondre à une question secrète non triviale dont il est le seul à connaître la réponse avec le responsable de traitement (sont par exemple exclus la date de naissance, le code postal, le numéro de département et tout autre élément facilement décelable). Pour la transmission de ces moyens d’authentification, la Cnil recommande de privilégier deux canaux parmi :

  • la remise en mains propres sur le lieu de travail ;
  • l’envoi sur une adresse e-mail professionnelle ou un téléphone professionnel ;
  • l’envoi postal au domicile de l’électeur ;
  • le dépôt sur un intranet professionnel ou un coffre-fort numérique accessibles au seul salarié. 

Il convient dans tous les cas de s’assurer que les canaux choisis ne sont pas tous deux accessibles à un même tiers. Ainsi, sauf en cas de demande expresse de l’électeur (que l’employeur devra démontrer), les e-mails ou les numéros de téléphone personnels ne peuvent pas être utilisés comme canaux de transmission des moyens d’authentification (identifiant et lien permettant la définition du mot de passe).

 Remarque : la signature d’une décharge de responsabilité à l’organisateur du vote par le prestataire en cas d’envoi simple est sans effet.

A noter que la connexion sur la plateforme de vote par correspondance électronique peut se faire à l’aide des mêmes identifiants lors des deux tours d’une élection. D’autre part, concernant la réinitialisation des moyens d’authentification, la Cnil précise qu’il peut être envisagé de redemander la réponse à la « question secrète » lors de la procédure de réinitialisation, en complément de la vérification des nom, prénom, date et lieu de naissance.

Une telle procédure permet de ne pas collecter davantage de données personnelles que celles déjà détenues par l’employeur. En effet, rappelle la Cnil, le Conseil d’État a jugé que la seule vérification des nom, prénom, date et lieu de naissance n’est pas suffisante, ces informations pouvant aisément être connues de tiers (CE, 26 janv. 2021, n° 437989).

Question secrète

Concernant la question secrète, la Cnil précise qu’elle peut être définie selon les modalités suivantes : 

  • par le responsable de traitement ou l’électeur lui-même en amont de l’élection ; ou par la reprise d’une partie de l’IBAN (International Bank Account Number) de l’électeur ;
  • ou par l’utilisation d’une donnée déjà transmise à l’électeur, par exemple les derniers chiffres du salaire d’une fiche de paie antérieure ;
  • ou par le recours à un autre identifiant interne non public tel qu’un numéro de matricule affecté à l’agent à l’occasion de son service. 

► Remarque : à noter que la Cnil estime que l’IBAN complet ne devrait pas être utilisé, et recommande de privilégier l’utilisation d’une partie de l’IBAN (par exemple les 5 derniers chiffres) en tant que secret complémentaire (question-défi) entre l’électeur et le responsable de traitement organisant le vote ou son prestataire de solution de vote électronique (sous-traitant). L’utilisation d’un tel secret vient renforcer la sécurité de l’authentification par identifiant et mot de passe. Mais attention, pour que l’utilisation d’un morceau de l’IBAN soit légale, il est nécessaire de respecter l’une des deux conditions suivantes :

  • la finalité « organisation des élections professionnelles » a été prévue dans le traitement qui a occasionné la collecte de l’IBAN ;
  • sinon, l’organisateur de l’élection doit informer ses salariés que l’IBAN va être utilisé pour cette finalité, si cela n’a pas été fait au moment de la collecte de la donnée.

Source

Cabinet Rostaing

Thème : Illdy. © Copyright 2016. All Rights Reserved.