Suppression de la déclaration du système auprès de la CNIL
Les dispositifs de vote électronique n’ont plus à être déclarés à la CNIL depuis l’entrée en application du RGPD le 25 mai 2018. La Cnil a donc adopté une nouvelle recommandation relative à la sécurité des systèmes de vote électronique, notamment via Internet (CNIL, délib. nº 2019-053, 25 avr. 2019, JO 21 juin). Elle abroge la recommandation du 21 octobre 2010 et s’applique aux élections du CSE organisées à compter du 21 juin 2020. Ainsi, afin de se conformer aux règles de protection des données personnelles concernant le vote électronique, les entreprises doivent :
- Identifier le niveau de risque (de 1 à 3) en se référant à la grille d’analyse de la CNIL ;
- Vérifier si elles doivent effectuer une analyse d’impact. Ce sera le cas si elles remplissent deux des neuf critères listés par la Cnil, parmi lesquels figurent la collecte de données sensibles, le croisement de données, ou encore l’utilisation d’une technologie nouvelle (RGPD : Règl. UE nº 2016/679, 27 avr. 2016, art. 35) ;
- Inscrire leur fichier dans leur registre des activités de traitement (RGPD : Règl. UE nº 2016/679, 27 avr. 2016, art. 30) ;
- Informer les électeurs des conditions dans lesquelles leurs données sont traitées et leur fournir une note explicative « détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote » (Article R. 2314-12 du code du travail).