Info du DPO

Les 4 erreurs à ne pas commettre : édition élections.

28 mai 2024

Chers adhérents,  

Cette newsletter fait suite à la newsletter n°25 « quelques recommandations pour un scrutin plus serein », laquelle offre d’ores et déjà de précieuses informations en matière d’élections. A l’approche des élections européennes, il est impératif de souligner l’importance du respect de la réglementation européenne en matière de protection des données à caractère personnel. Malgré les diverses règles régissant l’organisation de ces scrutins, ces dernières sont sujettes à de potentiels écarts, notamment vis-à-vis de la protection des données personnelles et de la vie privée. En France, lors des élections européennes de 2019, la CNIL avait en effet reçu près de 700 signalements concernant des pratiques de démarchage de partis politiques, dont 93 % concernaient la prospection téléphonique. Ce constat montre que le sujet est d’une importance cruciale.  

En vue des élections européennes qui se tiendront le 9 juin 2024, le présent document a pour objectif de faire le point sur les erreurs à ne pas commettre dans le cadre des élections. Ces quatre erreurs sont donc les suivantes :  

  • Ne pas cloisonner et nettoyer vos fichiers ; 
  • Refuser la communication de la liste électorale ; 
  • Ne pas respecter les bonnes pratiques en matière de sécurité ; 
  • Ne pas respecter les droits des personnes concernées ; 

 

Pour votre information, il n’y a pas de hiérarchie entre les différentes erreurs à ne pas commettre dans la mesure où elles doivent toutes être évitées.

I. Ne pas cloisonner et ne pas nettoyer vos fichiers

Une première mauvaise pratique serait de relier tous les fichiers que vous détenez au sein de votre commune et de transmettre une base de données qui pourrait être utilisée à des fins politiques, cela pourrait à la fois être qualifié de détournement de finalité et également constitué une atteinte au principe de confidentialité. Les fichiers que vous êtes amenés à tenir sont nombreux : Fichier population, fichier du repas des ainés, le registre nominatif, fichiers des associations, aides extra-légales… Ces fichiers sont intéressants puisqu’ils regroupent divers pans de la population et donc visent un public assez large. Lors des élections, il serait utile aux divers candidats politiques d’avoir accès à ces différentes bases de données afin d’effectuer une prospection politique.  

Cette pratique, bien qu’avantageuse, est interdite. Vous devez donc garder en tête qu’il faut cloisonner vos fichiers. La CNIL, sur le cloisonnement des fichiers a d’ailleurs indiqué qu’une bonne pratique serait d’éviter de demander aux soutiens et aux colistiers de partager leurs répertoires téléphoniques afin de constituer un fichier de communication politique.   

Le bon cloisonnement des fichiers passe aussi par leur nettoyage. En effet, les informations enregistrées dans un fichier doivent être conservées de manière limitée et de manière adaptée à la finalité. Une fois l’élection passée, nous vous invitons à archiver l’ensemble des documents électoraux conformément aux durées d’utilité administrative.

II. Refuser de communiquer une copie de la liste électorale

Une autre mauvaise pratique serait de ne pas communiquer la liste électorale lorsqu’elle vous est demandée. Lorsqu’un parti, groupement politique ou tout électeur vous demande la communication de la liste électorale, vous avez l’obligation légale de la lui fournir. Attention cependant, cette communication est conditionnée et ne se fait donc pas sans garantie. En effet, il faut s’assurer du respect de l’obligation de ne pas utiliser la liste électorale pour un usage commercial. Cela se concrétise par le fait que la collectivité doit faire signer une attestation de non-réutilisation à des fins commerciales lorsqu’elle fournit la copie de la liste électorale en application de l’article L.37 du Code électoral.  

L’usage commercial est défini par la CADA comme étant la « commercialisation des listes en elles-mêmes, le cas échéant après retraitement, mais aussi leur utilisation dans le cadre d’une activité à but lucratif” (CADA, 24 Janvier 2019, Conseil n°20185928). Ainsi l’usage purement commercial s’entend assez largement et dépasse la simple commercialisation ou l’utilisation à des fins de prospections commerciales. Même si en principe cet engagement pris avec l’attestation de non-réutilisation est suffisant, la collectivité détient la possibilité de demander des éléments complémentaires sur l’utilisation envisagée s’il y a des raisons sérieuses de craindre une finalité commerciale. La collectivité pourra en finalité opposer son refus de communication de la liste si la situation fait apparaître de sérieux doutes sur le risque de réutilisation commerciale (CE, 2 décembre 2016, n°388979).  

Concernant les conditions de la communication de la liste, l’article L311-9 du CRPA indique que cette dernière est communicable de manière gratuite, sur place ou par la remise ou l’envoi d’une copie, sur papier ou sur support informatique, le cas échéant avec une possibilité de facturation des coûts de reproduction.  

Pour rappel, une attestation de non-réutilisation des données est disponible sur votre espace documentaire Madis et est intitulée : « Communication de la liste électorale – Attestation de non-réutilisation des données ». 

III. Ne pas respecter les bonnes pratiques en matière de sécurité

La troisième chose à ne pas faire serait de négliger les bonnes pratiques en matière de sécurité. La sécurité des données est un réel gage de confiance et notamment pour trois raisons :  

  • Vos activités dépendent des données, vos systèmes d’informations sont vos outils de travail ; 
  • Les attaques informatiques sont de plus en plus fréquentes et de plus en plus virulente, ce qui en fait une menace à ne pas négliger ; 
  • Les conséquences de ces attaques lancées à l’encontre de vos données peuvent être l’arrêt de l’activité, des difficultés dans la tenue des élections ; 

 Il y a quelques mois, nous avions rédigé une newsletter « Les cyberattaques : comment s’en protéger ?», il peut être intéressant d’aller s’y référer car le risque de cyberattaques pendant une période d’élections est encore plus présent qu’en temps normal. Ces cyberattaques peuvent causer de multiples problèmes : indisponibilité des listes électorales et des procurations, difficultés dans la transmission des résultats du décompte des bulletins de vote, manipulation de l’électorat avec le défacement du site web de la collectivité pour faire de la propagande, etc.  

Voici quelques bonnes pratiques pour vous prémunir contre les risques de cyberattaque : 

  • Seules les personnes autorisées doivent avoir accès aux données afin d’éviter que des tiers ne puissent y accéder ; 

 

  • Utiliser un mot de passe robuste pour protéger l’accès à vos fichiers de contacts et changer et révoquer les autorisations d’accès lors du départ de la collectivité d’un agent ;  

 

  • Sécuriser les espaces de stockage en ayant recours à du chiffrement ou le cryptage.  

 

La mise en place de bonnes pratiques vous assurera un niveau élevé de confidentialité élevé et donc une sécurité accrue lors des élections.

IV. Ne pas respecter les droits des personnes concernées

La quatrième erreur serait de ne pas respecter les droits des personnes concernées, c’est à dire des électeurs. En effet, au titre du RGPD ces personnes ont de nombreux droits et si vous ne les respectez pas, vous vous exposez à de potentiels signalements, plaintes voire sanctions.  

Un Observatoire des élections menant une action binaire sera mis en place à l’occasion de ce scrutin. La CNIL a d’abord adressé aux partis politiques et tête de liste un certain nombre de courriers dans une logique de sensibilisation de ces derniers. En plus de la sensibilisation des candidats, elle met aussi à disposition des électeurs une plateforme de signalements avec un formulaire à remplir. Si les électeurs estiment que leurs droits ne sont pas respectés ou que certaines pratiques politiques sont contraires au RGPD, alors ces derniers peuvent remplir le formulaire et effectuer le signalement.  

Au cours de la campagne électorale, la CNIL va donc examiner ces signalements et les éventuelles plaintes qui lui seront envoyées concernant les opérations de communication politiques notamment. Ce suivi en direct permettra donc de réagir rapidement et de pouvoir par la suite mener des contrôles en conséquence.  

Ainsi, il est nécessaire de pouvoir assurer un respect total des droits des électeurs.  

Tout d’abord une attention doit être portée sur le droit à l’information des personnes (articles 12 à 14 du RGPD). 

Pour fournir une information complète il vous faudra renseigner plusieurs informations : identité et coordonnées du responsable de traitement, origine des données, finalité du traitement, durée de conservation, modalités d’exercice des droits, etc. Ensuite, le droit d’accès permet à l’électeur de demander une copie de ses données. Tout électeur inscrit dans la commune à un droit d’accès aux données le concernant (article 5 du décret n°2018-343 et article 15 du RGPD). Le droit à la rectification permet à l’électeur de faire corriger ses données lorsqu’elles sont incorrectes, inexactes ou incomplètes. En revanche, le traitement reposant sur l’obligation légale, les personnes concernées ne peuvent pas exercer leur droit d’opposition s’agissant de leur inscription sur la liste électorale.

Testez votre compréhension !

Articles récents