Aux termes d’un questions-réponses daté du 24 octobre 2022, la CNIL rappelle les principes applicables en matière de collecte et d’utilisation des données personnelles des électeurs par les employeurs et les prestataires de solution de vote électronique lors de l’organisation des élections professionnelles.
Les questions couvrent les 4 thèmes suivants : liste électorale, qualification des acteurs, gestion de la conformité et protection des droits des personnes concernées et solution de vote par correspondance électronique et mesures de sécurité.
La liste électorale ne doit contenir, en application du principe de minimisation des données, que les seules informations permettant de vérifier que l’intéressé remplit les conditions pour être électeur : nom et prénom, âge, appartenance à l’entreprise et ancienneté.
Le Q/R précise que la mise en place du vote électronique ne nécessité aucune formalité particulière auprès de la Cnil mais que l’organisateur de l’élection doit respecter ses obligations au regard du RGPD, ce qui suppose : la réalisation d’une analyse d’impact quant à la protection des données, l’inscription préalable du traitement au registre des activités de traitement, l’information des personnes sur le déroulement des opérations de vote électronique ainsi que l’encadrement du contrat de sous-traitance s’il est fait appel à un prestataire extérieur.
Plusieurs autres indications sont fournies pour aider à la sécurisation du dispositif et à la protection des données. Ainsi, pour le vote électronique, le Q/R préconise, lorsque l’authentification se fait par l’utilisation d’un identifiant et d’un mot de passe, qu’ils soient communiqués à l’électeur par 2 canaux de communication distincts définis avant l’élection (voie postale et e-mail professionnel par exemple). Par ailleurs, le mot de passe ne saurait être communiqué à l’utilisateur en clair, sauf lorsqu’il fait l’objet d’un envoi par voie postale.
L’employeur informe individuellement les salariés de la transmission de certaines de leurs données personnelles au prestataire. Il peut déléguer, en la contrôlant, cette information au prestataire, qui pourra ensuite organiser le scrutin. Cette information doit être complète, aisément accessible par les salariés. La Cnil indique qu’il convient d’utiliser des moyens simples permettant d’atteindre directement l’électeur, comme l’adresse e-mail professionnelle, ou une information transmise avec la fiche de paie. Cette information doit être faite aux salariés au moment de la collecte des données personnelles et peut être renouvelée à tout moment afin de faciliter l’exercice des droits des personnes.
Ce questions/réponses rappelle qu’il n’est plus possible de négliger aujourd’hui les données personnelles, que ce soit dans les relations individuelles ou collectives de travail. Irradiant le droit social, le RGPD invite à d’autant plus de précautions que les données se patrimonialisent de plus en plus.
Questions-réponses du 24 oct. 2022 : ici
