En matière de protection des données, le texte de référence depuis 2018 est le règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD). Ce texte, applicable à tous les Etats membres de l’Union Européenne, régit la protection des données des personnes physiques concernées par un traitement de leurs données à caractère personnel. De plus, ce texte responsabilise d’avantage les différents acteurs du traitement.

En effet, parmi les acteurs du traitement, on retrouve tout d’abord le responsable de traitement qui détermine les moyens et les finalités du traitement.

Le responsable de traitement peut ensuite avoir recours à des sous-traitants, qui traiteront les données à caractère personnel pour le compte de ce responsable de traitement. Le sous-traitant doit donc présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la protection des droits et libertés des personnes concernées par le traitement.

Dans le cadre du vote électronique, le prestataire est par définition le sous-traitant de l’entreprise qui a recours à ses services, et qui est donc le responsable de traitement.

En effet, le prestataire traite les données du responsable de traitement et sur instruction documentée de celui-ci.

Il est donc évident que dans ce contexte, la protection des données doit être minutieusement assurée afin d’éviter une violation de données et ainsi protéger les droits et libertés des personnes physiques.

Pour assurer cette protection, plusieurs actions doivent être effectuées :

> Conclusion d’un accord relatif au traitement des données à caractère personnel

En effet, l’article 28 du RGPD prévoit précisément les dispositions qui doivent être prévues dans ce contrat conclu entre le responsable de traitement et le sous-traitant.

Ce contrat définit notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement, ainsi que les obligations du sous-traitant.

• Pour consulter l’article dans son intégralité, cliquez ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28

> Information des personnes concernées

Lorsqu’un traitement de données à caractère personnel est effectué, les personnes concernées par ce traitement doivent en être informées dès la collecte de ces données. Elles doivent être notamment informées de l’identité du responsable de traitement, des finalités du traitement ou encore de la durée de conservation des données.

Par ailleurs, les personnes concernées doivent impérativement être informées de l’existence de leurs différents droits dans le cadre du traitement de leurs données :

– Droit d’accès
– Droit de rectification
– Droit d’effacement
– Droit à la limitation du traitement
– Droit à la portabilité de ses données
– Droit d’opposition

• Pour plus d’informations, vous pouvez consulter les articles 13 et suivants du RGPD en cliquant ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

> Mise en place de mesures de sécurité techniques et organisationnelles

Comme évoqué ci-dessus, le responsable de traitement doit faire appel à un sous-traitant qui des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. 

Ainsi, parmi les mesures de sécurité, qui doivent être mises en place par le sous-traitant mais également par le responsable de traitement, on retrouve notamment :

– La pseudonymisation et le chiffrement des données à caractère personnel ;
– Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
 – Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
 – Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

• Pour plus d’informations, vous pouvez consulter l’article 32 du RGPD en cliquant ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

L’ensemble des points évoqués ci-dessus doivent essentiellement être pris en compte dans le choix de votre prestataire de vote électronique, pour sécuriser vos élections, mais également pour protéger les droits et libertés de vos collaborateurs.

• Pour consulter le RGPD dans son intégralité, cliquez ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees