Délibération n° 2014-053 du 30 janvier 2014 portant avis sur un projet d'arrêté relatif à la mise en œuvre du traitement de données à caractère personnel prévu à l'article R. 176-3 du code électoral pour l'élection des conseillers consulaires et délégués consulaires (demande d'avis n° 14002111)

Chemin :




Article
ELI: Non disponible

Le ministre des affaires étrangères a saisi la commission d'une demande d'avis sur un projet d'arrêté relatif à l'élection des conseillers consulaires et des délégués consulaires par les Français établis hors de France.

Cette demande d'avis fait suite à l'examen par la commission d'un projet de décret destiné à encadrer réglementairement ce vote électronique ainsi que des éléments techniques relatifs au dispositif de vote électronique retenu et ayant fait l'objet de la délibération n° 2013-393 du 12 décembre 2013.

Le logiciel choisi est le même que celui utilisé lors des élections des députés pour les Français de l'étranger. Les modalités de mises en œuvre pour les élections de 2014 seront quasi similaires à celles de 2012. La commission rappelle toutefois que, le contexte étant différent, une analyse de risque spécifique sera menée. Cette analyse de risque spécifique permettra de juger la correcte qualification des mesures de sécurité mises en œuvre.

L'article R. 176-3 du code électoral dans sa rédaction issue du projet de décret susmentionné prévoit que le ministre des affaires étrangères précise seul les caractéristiques du traitement projeté par le biais d'un arrêté.
Il fixe notamment :
― les catégories de données à caractère personnel enregistrées dans le traitement ;
― les modalités de l'expertise indépendante prévue par la loi ;
― les garanties entourant le recours éventuel à un prestataire technique chargé, dans le respect des obligations de sécurité résultant de la présente sous-section, de la maîtrise d'œuvre du traitement automatisé ainsi que les modalités de son intervention ;
― les modalités de transmission de l'identifiant et de l'authentifiant prévues à l'article R. 176-3-7 ainsi que les modalités de récupération par l'électeur de son authentifiant ; ainsi que
― les conditions de mise en œuvre d'un dispositif de secours en cas de défaillance.

Sur la finalité du traitement

La finalité est de mettre en œuvre le système du vote électronique pour les élections des conseillers consulaires et des délégués consulaires en 2014 par les Français établis hors de France.
La commission estime que cette finalité est légitime.

Sur l'expertise indépendante du dispositif de vote électronique

Fin décembre 2013, le ministère a fait suivre à la commission le premier volet du rapport d'expertise indépendante concernant la phase avant le vote. Il devra être finalisé avant l'ouverture du scrutin et complété par les deux autres volets relatifs aux phases pendant le vote et après le vote du scrutin dont le dépouillement interviendra pour le 25 mai 2014. La commission note que les résultats de cette expertise lui seront communiqués après cette date.

Sur les catégories de données personnelles traitées

L'article 1er du projet d'arrêté liste, selon, l'acteur concerné, les données personnelles enregistrées dans le système de vote électronique.

Pour chaque électeur, en plus de son numéro d'identification consulaire (NumIC), le système de vote électronique enregistre les données personnelles composant la liste électorale consulaire ( LEC ), à savoir :
― ses nom, prénoms, domicile ou résidence comportant la rue et le numéro (art. L. 18 du code électoral) ;
― ses date et lieu de naissance (art. L. 19 du code électoral) ;
― son rattachement à un bureau de vote et son adresse électronique (loi organique n° 76-97, article 8).

L'adresse électronique, qui est utilisée pour communiquer par courriel son authentifiant ou le récupérer, est la troisième information indispensable pour se connecter au site de vote électronique. Il est toutefois possible à l'électeur d'indiquer à son consulat une seconde adresse électronique, qui sera réservée à la communication avec le consulat et ne sera pas mentionnée sur la LEC.
La commission estime que ces données sont conformes à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée et sont pertinentes au regard de la finalité poursuivie.

Sur les droits d'accès, de rectification et d'opposition des personnes

Pour l'élection concernée, le vote électronique demeure une procédure facultative, complétée par des modes de scrutin plus traditionnels.

L'article 8 du projet d'arrêté prévoit, par référence à l'article 9 de l'arrêté du 27 avril 2012, l'existence d'une procédure pour (...) faire consigner leurs observations au procès-verbal du vote électronique (...) en les faisant parvenir par courrier postal ou électronique au secrétariat du bureau de vote électronique avant la fin des opérations (...). A l'issue de ces opérations, ils peuvent obtenir communication du procès-verbal selon les modalités prévues (...) .

La commission relève que l'article R. 176-3-1 du code électoral dispose que : Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'exercent auprès de l'ambassadeur ou du chef de poste consulaire chargé d'organiser les opérations de vote. Le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas à ce traitement automatisé.

Elle n'a pas d'observation à formuler sur ce point.

Sur la sécurité des données et la traçabilité des actions

A titre liminaire, la commission rappelle que l'ensemble des systèmes cryptographiques mis en œuvre doivent l'être en conformité avec le référentiel général de sécurité.

Elle relève que des mesures sont mises en œuvre, tant au niveau organisationnel que technique, pour assurer la confidentialité, l'intégrité et la disponibilité des données traitées. Ces mesures permettent de prendre en compte les risques portant sur le traitement mis en œuvre.

Elle prend acte que l'analyse de risque fournie correspond à celle réalisée en 2012 et que, malgré une absence de changement sur les dispositions techniques, une nouvelle analyse de risque devrait être réalisée avant le prochain scrutin afin de prendre en compte les spécificités propres au scrutin de 2014 et compléter éventuellement les mesures de sécurité mises en œuvre.


Liens relatifs à cet article