Dans un « questions-réponses » publié le 24 octobre 2022, la CNIL rappelle certains principes et précise quelques bonnes pratiques en matière de gestion des données personnelles lors de la préparation et de la mise en œuvre des élections professionnelles.
Parmi les questions auxquelles il est répondu :
- Quelles mentions l’employeur peut-il faire figurer sur la liste électorale concernant ses salariés ?
- Comment informer les électeurs concernés de l’utilisation de leurs données personnelles ? Qui doit informer ? Comment informer ? Quand informer ?
La CNIL apporte par ailleurs des éclairages pragmatiques sur les mesures de sécurité qui doivent être prises dans le cadre de la mise en œuvre du vote par correspondance électronique, en répondant notamment aux questions suivantes :
- L’organisateur de l’élection ou son prestataire de solution de vote peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ?
- Si le prestataire de solution de vote par correspondance électronique n’envisage pas de transmettre l’identifiant et le mot de passe par des canaux distincts, peut-il faire signer à l’organisateur du vote une décharge de responsabilité ?
- Le mot de passe de l’électeur peut-il lui être envoyé en clair ?
- Les e-mails ou les numéros de téléphone personnels peuvent-ils être utilisés comme canaux de transmission des moyens d’authentification (identifiant et lien permettant la définition du mot de passe) ?
- Les mêmes identifiants et mots de passe peuvent-ils être utilisés lors des deux tours d’une élection ?
Ce recueil de questions complète utilement la recommandation CNIL du 25 avril 2019 relative à la sécurité des systèmes de vote par correspondance électronique et la fiche pratique venue la préciser.
https://www.cnil.fr/fr/elections-professionnelles-et-donnees-personnelles-questions-reponses