Elections professionnelles et vote électronique : comment gérer les données personnelles des électeurs ?

La CNIL (Commission Nationale de l’Informatique et des Libertés) a publié le 24 octobre 2022, une liste de 16 questions-réponses.

Cette publication porte sur les interrogations les plus fréquentes, soulevées lors de la manipulation des données personnelles, recueillies à des fins d’organisation des élections professionnelles dans les établissements publics et privés.

Cette publication clarifie les recommandations issues de la délibération n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.

Pour ce faire, la CNIL a regroupé ses réponses en 4 catégories :

– Liste électorale,
– Qualification des acteurs,
– Gestion de la conformité et protection des droits des personnes concernées,
– Solution de vote par correspondance électronique et mesures de sécurité.

Concernant la liste électorale, la CNIL a précisé que les mentions devant figurer sur la liste électorale doivent faire l’objet d’un accord entre l’employeur et les syndicats intéressés. A défaut, les seules informations suivantes sont suffisantes : nom, prénom, âge, appartenance à l’entreprise et ancienneté.

La CNIL a aussi apporté des éclaircissements quant à la qualification des acteurs et notamment le prestataire de solution de vote électronique. Ce dernier doit être, en principe, considéré comme un sous-traitant au sens du RGPD (Règlement Général sur la Protection des Données).

En outre, en ce qui concerne la conformité et la protection des droits des personnes concernées, la CNIL a rappelé le principe d’identification du niveau de risque et de conformité au RGPD.

Enfin, pour ce qui a trait à la solution de vote et les mesures de sécurité, le mode d’authentification des électeurs a notamment été précisé. L’identifiant et le mot de passe doivent être envoyés via deux canaux de communication distincts, afin de réduire les risques d’interception par un tiers. Par ailleurs, la CNIL a considéré que les mêmes identifiants et mots de passe peuvent être utilisés lors des deux tours d’une élection.