Application du RGPD au vote électronique
Le vote électronique s’inscrit dans le Règlement Général de Protection des Données Personnelles (RGPD)
Comme le précise le Code du Travail et divers autres textes réglementaires, la conception et la mise en place du système de vote électronique peuvent être confiées à un sous-traitant (ST) par le responsable du traitement (RT) sur la base d’un cahier des charges. Ce dernier doit respecter à minima les principes généraux du droit électoral édictés dans notre Constitution : secret et sincérité du vote, accessibilité et liberté de choix du votant.
Le système de vote devra assurer la confidentialité des données transmises, notamment de celles des fichiers constitués pour établir les listes électorales, l’adressage des moyens d’authentification, de l’émargement, de l’enregistrement et du dépouillement des votes.
Le système de vote électronique devra pouvoir être scellé et permettre un fonctionnement sans faille ni risque de piratage du processus électoral.
Le système de vote électronique aura été soumis à une expertise indépendante, destinée à vérifier le respect des prescriptions énoncées ci-dessus, dont le rapport doit être soumis à la CNIL, autorité de contrôle du RGPD en France.
Il est donc clair que le vote électronique s’inscrit totalement dans le Règlement Général de Protection des Données Personnelles (RGPD, ou en anglais : General Data Protection Regulation, GDPR) qui entre en application au 25 mai 2018 entraînant donc une responsabilité conjointe du RT et du ST dans le traitement des Données Personnelles.
L’article 83 du RGPD : conditions générales pour imposer des amendes administratives
L’article 83 du RGPD entrera en vigueur avec des amendes administratives d’un montant compris entre 10 à 20 millions d’Euros ou de 2% à 4 % du chiffre d’affaires annuel du RT.
Les articles concernant l’auto contrôle, la traçabilité, la protection dès la conception du produit ou service…
S’instaurera alors un nouveau mécanisme d’auto-contrôle par les entreprises sur les principes suivants :
- L’Accountability, article 24
- Le Privacy By Design, article 25
- Le Privacy Impact Assessment (PIA), article 35
- La tenue d’un Registre des Traitements, article 30
- La désignation d’un Data Privacy Officer (DPO), article 37
- La mise en place d’un système d’alerte de violations des Données Personnelles.
Les obligations concernant le registre du responsable de traitement
Le registre du responsable de traitement (RT) devra comporter les informations suivantes :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données;
- les finalités du traitement;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l’existence de garanties appropriées;
- les délais prévus pour l’effacement des différentes catégories de données;
- une description générale des mesures de sécurité techniques et organisationnelles permettant de garantir un niveau de sécurité adapté au risque.
Les obligations concernant le registre du sous-traitant
Le registre du sous-traitant (ST) devra comporter les informations suivantes :
- le nom et les coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement et celles du délégué à la protection des données;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l’existence de garanties appropriées;
- une description générale des mesures de sécurité techniques et organisationnelles permettant de garantir un niveau de sécurité adapté au risque.
Le DPO, pas obligatoire mais indispensable
Même si la désignation d’un DPO n’est obligatoire que dans 3 cas selon l’article 37 :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
- ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (« données sensibles ») et de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
Il semble évident que, pour contrôler les mesures de sécurité à mettre en œuvre pour assurer un processus électoral sans faille impliquant une garantie de protection des Données Personnelles, la présence d’un DPO au sein de l’organisme sous-traitant soit indispensable.
Le DPO du ST pourra donc assurer que le système de vote électronique assure les principes d’Accountability, respecte le Privacy By Design et le Security By Design, est conforme aux divers référentiels de sécurité tels que l’OWASP, a fait l’objet d’une certification liée à une expertise effectuée par des experts agréés par l’autorité judiciaire.
Mise en conformité d’Election-Europe
Election-Europe s’est ainsi mise en conformité avec le RGPD dès 2017 afin de servir dès à présent ses clients Responsables de Traitements en toute sécurité.