Depuis que le Règlement Général sur la Protection des Données est entré en vigueur en mai 2018, il n’était plus nécessaire de déclarer les dispositifs de vote électronique. Cependant, afin d’assurer une meilleure sécurité des données personnelles, la Commission Nationale de l’Informatique des Libertés (CNIL) a mis à jour sa recommandation sur les solutions de vote par correspondance électronique.

 

 

Quelle est la recommandation de la CNIL ?

Le 25 avril 2019, une recommandation liée à la protection des systèmes de vote par correspondance a été adoptée par la CNIL. Ainsi, les responsables de traitement qui souhaitent privilégier ce système de vote disposent d’une nouvelle approche pour améliorer le niveau de sécurité des données personnelles. Cette approche comprend deux méthodologies :

  • Une grille d’analyse
  • Des niveaux d’objectifs de sécurité

 

Une grille d’analyse

Elle se base sur des questions ouvertes qui vont permettre au responsable du traitement et aux sous-traitants de déterminer le niveau de sécurité idéal devant être atteint. Après l’avoir remplie, il sera plus facile de définir les objectifs de sécurité.

 

Les niveaux d’objectifs de sécurité

Les industriels qui fournissent les solutions de vote peuvent proposer tous les moyens qui permettraient de répondre à l’objectif. Une description de ces moyens peut être transmise à la CNIL. Toutefois, cette dernière souligne bien que chaque moyen ne sera valable que si sa mise en œuvre opérationnelle est correcte et pertinente.

 

RGPD vote électronique : comment se conformer au nouveau règlement européen ?

Pour être en conformité avec le règlement européen, il est important de :

  • Solliciter l’aide du Délégué à la Protection des Données ou Data Protection Officer (DPO) si vous en avez un
  • Selon votre projet, vérifier s’il faut réaliser une analyse d’impact sur la protection des données personnelles
  • Inscrire le fichier dans le registre des traitements
  • Informer les électeurs sur les conditions de traitement de leurs données
  • Entrevoir des mesures de sécurité selon les risques

Pour vous aider dans la mise en conformité, la CNIL met à votre disposition des outils comme le logiciel PIA (Privacy Impact Assessment), un guide sur la sécurité des données à caractère personnel et un modèle de registre. Plus dinformations ici sur le vote électronique.

 

 

Vote électronique : un traitement de données personnelles

Le vote électronique est un traitement de données à caractère personnel. C’est pourquoi les responsables de traitement qui le mettent en place doivent respecter les grands principes du RGPD, à savoir :

  • La limitation des finalités de traitement des données
  • La licéité
  • La loyauté
  • La sécurité des données
  • La conservation des données limitée
  • L’exactitude et la minimisation des données

Pour garantir le respect des droits des personnes concernées, l’autorité de contrôle française impose aussi le recours à un expert indépendant à la structure pour garantir que l’objectif de sécurité donné est entièrement atteint.

 

 

Comment assurer la sécurisation des données ?

L’un des principaux objectifs de la nouvelle Loi Informatique et Libertés est d’assurer un meilleur niveau de protection de la vie privée des personnes physiques. Pour cela, il est important de respecter leurs droits fondamentaux :

  • Le droit d’accès aux données
  • Le droit à la portabilité
  • Le droit à l’effacement et à l’oubli des données
  • Le droit à la rectification des données
  • Le droit de notification
  • Le droit d’opposition

Les personnes en charge des traitements de données doivent donc être sensibilisées sur les droits et libertés de la personne concernée. C’est pourquoi les nouvelles règles de protection de données sensibles incluent aussi le principe d’accountability qui regroupe un ensemble de bonnes pratiques visant améliorer la protection des informations personnelles.

 

 

Les personnes en charge des traitements de données doivent donc être sensibilisées sur les droits et libertés de la personne concernée. C’est pourquoi les nouvelles règles de protection de données sensibles incluent aussi le principe d’accountability qui regroupe un ensemble de bonnes pratiques visant améliorer la protection des informations personnelles.