Arrêté du 26 novembre 2020 relatif au traitement automatisé de données à caractère personnel pour les élections des membres des assemblées des unions régionales des professionnels de santé

NOR : SSAS2033203A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2020/11/26/SSAS2033203A/jo/texte
JORF n°0294 du 5 décembre 2020
Texte n° 32

Version initiale


Le ministre des solidarités et de la santé,
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le code de la santé publique, notamment les article R. 4031-21 et R. 4031-34-1 ;
Vu la délibération n° 2019-053 du 25 avril 2019 de la commission nationale de l'informatique et des libertés portant adoption d'une recommandation relative à la sécurité des systèmes de vote par voie électronique ;
Vu l'arrêté du 26 novembre 2020 fixant la date des élections pour le renouvellement des mandats des membres des unions régionales des professionnels de santé,
Arrête :


  • Il est créé au ministère des solidarités et de la santé, dans les conditions prévues par l'article R. 4031-21 du code de la santé publique, un système de vote électronique par internet pour l'élection des représentants des professionnels de santé exerçant à titre libéral sous le régime des conventions conclues avec l'Union nationale des caisses d'assurance maladie.


  • Les catégories de données à caractère personnel enregistrées dans le traitement sont les suivantes :
    1° Pour les électeurs :


    a) Le nom de famille et les prénoms, la date de naissance, l'adresse professionnelle, l'adresse mail, et le numéro de téléphone ;
    b) Le numéro d'inscription au répertoire partagé des professionnels de santé (RPPS) ou au répertoire dénommé « ADELI » ;
    c) Le numéro d'inscription à l'ordre professionnel ou, pour les professions ne relevant pas d'un ordre professionnel, un numéro aléatoire généré par le système de vote ;
    d) L'identifiant de vote et le mot de passe ;
    e) Un code défi ;


    2° Pour les candidats, en sus des données mentionnées au 1° :


    a) Le lieu de naissance ;
    b) L'organisation syndicale pour laquelle la personne est candidate, son rang sur la liste présentée ainsi que, pour les médecins, le collège ;


    3° Pour les agents chargés d'organiser les élections, les membres des commissions nationales et les bureaux de vote : les nom et prénoms, l'adresse mail, un numéro de téléphone, l'identifiant de connexion et le mot de passe.
    Dans le système de vote électronique, aucun rapprochement n'est possible entre l'émargement et le bulletin de vote de l'électeur.


  • Pour l'expertise prévue à l'article R. 4031-21, l'expert indépendant a accès à l'intégralité des codes sources de chaque système de vote, aux mécanismes de scellement et de chiffrement, ainsi qu'aux échanges réseaux. Il doit également prendre connaissance des plans d'assurance qualité et s'assurer de leur respect.
    Dans le cadre de ses missions, l'expert indépendant a accès aux différents locaux de l'administration où s'organisent les élections, selon les conditions définies avec le ministère de chargé de la santé. Il peut également, à tout moment, contrôler les interventions du ou des prestataires techniques. Il a accès à leurs locaux, selon les conditions qu'il définit et dont il les informe au préalable.
    Toute difficulté rencontrée par l'expert indépendant dans le cadre de ses missions fait l'objet d'un signalement au directeur de la sécurité sociale dans les 24 heures suivant son apparition.
    Le rapport d'expertise, contenant notamment les méthodes et les moyens permettant de vérifier a posteriori que les différents logiciels sur lesquels a porté l'expertise n'ont pas été modifiés est transmis au responsable de l'élection dans les 15 jours qui suivent le prononcé des résultats. Ce dernier le tient à la disposition de la Commission nationale de l'informatique et des libertés. Les organisations syndicales candidates sont également destinataires de ce rapport d'expertise.


  • Les prestataires veillent, dans la réalisation des opérations dont ils ont la charge, à prévenir toute situation de lien direct, indirect, immédiat ou différé avec les élections susceptibles de produire une situation de conflit d'intérêt. Ils prennent toute mesure nécessaire à cet effet. Ils fournissent au responsable de l'élection les éléments permettant de s'en assurer.
    En cas de défaillance du système de vote électronique, le prestataire peut, de sa propre initiative, basculer le dispositif de vote sur un site de secours. Il en informe immédiatement l'autorité organisatrice des élections, les membres des bureaux de vote concernés, et l'expert indépendant mentionné à l'article 2.
    Ce dernier consigne dans son rapport d'expertise les causes de la défaillance ayant justifié la bascule ainsi que les opérations effectuées à ce titre et l'analyse du prestataire technique justifiant sa décision.
    Pour toute autre situation mettant en difficulté le déroulement du scrutin, le bureau de vote électronique est seul compétent pour prendre toute mesure, notamment la suspension, l'arrêt ou la reprise des opérations de vote électronique par internet. Les décisions prises sont portées sans délai à la connaissance du directeur de la sécurité sociale et de la commission nationale de vote, et consignées par le Président du bureau de vote dans le procès-verbal de l'élection.


  • Les modalités d'identification et d'authentification pour le vote comprennent un identifiant et un mot de passe fournis à chaque électeur. L'identifiant, non prédictif, est produit par le système de vote électronique et communiqué à chaque électeur par courrier.
    Le mot de passe nécessaire au vote est généré par le système de vote et communiqué à l'électeur par texto sécurisé adressé sur le téléphone mobile de l'électeur. En l'absence de téléphone mobile ou en cas de dysfonctionnement de celui-ci, le code est communiqué par un dispositif automatique accessible par téléphone.
    En cas de perte de l'identifiant de vote ou du mot de passe, l'électeur peut demander à recevoir un nouvel identifiant ou un nouveau mot de passe.


  • Pour les signatures prévues à l'article R. 4031-31 du code de la santé publique, il peut être recouru à un système de signature électronique garantissant l'identité du signataire, son lien avec l'acte signé et l'intégrité de ce dernier.


  • Le directeur de la sécurité sociale est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 26 novembre 2020.


Pour le ministre et par délégation :
Le directeur de la sécurité sociale,
F. von Lennep
La directrice de l'organisation des soins,
K. Julienne

Extrait du Journal officiel électronique authentifié PDF - 209,9 Ko
Retourner en haut de la page