Mise en œuvre du RGPD dans le vote électronique : Comment protéger vos données ?

En matière de protection des données, le texte de référence depuis 2018 est le règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD). Ce texte, applicable à tous les Etats membres de l’Union Européenne, régit la protection des données des personnes physiques concernées par un traitement de leurs données à caractère personnel. De plus, ce texte responsabilise d’avantage les différents acteurs du traitement.

En effet, parmi les acteurs du traitement, on retrouve tout d’abord le responsable de traitement qui détermine les moyens et les finalités du traitement.

Le responsable de traitement peut ensuite avoir recours à des sous-traitants, qui traiteront les données à caractère personnel pour le compte de ce responsable de traitement. Le sous-traitant doit donc présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la protection des droits et libertés des personnes concernées par le traitement.

Dans le cadre du vote électronique, le prestataire est par définition le sous-traitant de l’entreprise qui a recours à ses services, et qui est donc le responsable de traitement.

En effet, le prestataire traite les données du responsable de traitement et sur instruction documentée de celui-ci.

Il est donc évident que dans ce contexte, la protection des données doit être minutieusement assurée afin d’éviter une violation de données et ainsi protéger les droits et libertés des personnes physiques.

Pour assurer cette protection, plusieurs actions doivent être effectuées :

> Conclusion d’un accord relatif au traitement des données à caractère personnel

En effet, l’article 28 du RGPD prévoit précisément les dispositions qui doivent être prévues dans ce contrat conclu entre le responsable de traitement et le sous-traitant.

Ce contrat définit notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement, ainsi que les obligations du sous-traitant.

> Information des personnes concernées

Lorsqu’un traitement de données à caractère personnel est effectué, les personnes concernées par ce traitement doivent en être informées dès la collecte de ces données. Elles doivent être notamment informées de l’identité du responsable de traitement, des finalités du traitement ou encore de la durée de conservation des données.

Par ailleurs, les personnes concernées doivent impérativement être informées de l’existence de leurs différents droits dans le cadre du traitement de leurs données :

– Droit d’accès
– Droit de rectification
– Droit d’effacement
– Droit à la limitation du traitement
– Droit à la portabilité de ses données
– Droit d’opposition

 

> Mise en place de mesures de sécurité techniques et organisationnelles

Comme évoqué ci-dessus, le responsable de traitement doit faire appel à un sous-traitant qui des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. 

Ainsi, parmi les mesures de sécurité, qui doivent être mises en place par le sous-traitant mais également par le responsable de traitement, on retrouve notamment :

– La pseudonymisation et le chiffrement des données à caractère personnel ;
– Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
– Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
– Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

 

L’ensemble des points évoqués ci-dessus doivent essentiellement être pris en compte dans le choix de votre prestataire de vote électronique, pour sécuriser vos élections, mais également pour protéger les droits et libertés de vos collaborateurs.


Dana Aflak
Responsable juridique et chef de projet

Vous avez un Projet ?

Quels que soient la forme et le volume de vos élections, il y a toujours une solution AlphaVote