[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-008 du 14 janvier 2021 portant avis sur un projet de décret modifiant le décret n° 2018-343 du 9 mai 2018 portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique pris en application des dispositions du I de l'article 2 et de l'article 7 de la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales (demande d'avis n° 2219367)

Démocratie
Union Européenne
Données personnelles
Déposé le 13 janvier 2021 à 23h00, publié le 10 avril 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par l'Institut national de la statistique et des études économiques (INSEE) d'une demande d'avis concernant un projet de décret modifiant le décret n° 2018-343 du 9 mai 2018 portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique pris en application des dispositions du I de l'article 2 et de l'article 7 de la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi organique n° 2016-1046 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales des ressortissants d'un Etat membre de l'Union européenne autre que la France pour les élections municipales ;
Vu la loi organique n° 2016-1047 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales des Français établis hors de France ;
Vu le code électoral, notamment ses articles L. 11, L. 16, L. 38 et L. 72 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales, notamment ses articles 2 et 7 ;
Vu la loi n° 2019-1461 du 27 décembre 2019 relative à l'engagement dans la vie locale et à la proximité de l'action publique, notamment son article 112 ;
Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au répertoire national d'identification des personnes physiques ;
Vu le décret n° 2018-343 du 9 mai 2018 portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique pris en application des dispositions du I de l'article 2 et de l'article 7 de la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe ;

Après avoir entendu Mme Sophie LAMBREMON, commissaire en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret, soumis pour avis à la Commission, a vocation à modifier le décret n° 2018-343 du 9 mai 2018 qui a créé le traitement permettant la gestion du répertoire électoral unique (REU). En application de l'article L. 16 du code électoral, les conditions de mise en œuvre du traitement doivent être définies par un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
Le projet de décret vise à prendre en compte les évolutions introduites par la loi du 27 décembre 2019 susvisée pour ce qui est des procurations, à intégrer de nouveaux usages du REU dans le cadre général de la gestion des processus électoraux ( accès au REU pour les agents du ministère de l'intérieur en charge des élections) et à utiliser le REU pour le contrôle de la légitimité des soutiens d'une initiative citoyenne européenne.
Ce traitement découle d'une large réforme du processus d'inscription sur les listes électorales et des conditions de tenue de ces listes résultant de la loi n° 2016-1048 et de deux lois organiques adoptées le 1er août 2016. L'objet de cette réforme était de permettre la gestion du REU en centralisant l'ensemble des informations nécessaires à la tenue et à la mise à jour des listes électorales.
En effet, le système de gestion du REU permet aujourd'hui d'enregistrer les demandes d'inscription instruites par les communes et les consulats, que cette demande ait été réalisée en guichet ou déposée en ligne via le téléservice proposé sur le site « service-public.fr », et procède alors à des vérifications automatiques pour s'assurer que l'électeur dont l'inscription est demandée n'est ni décédé ni en incapacité électorale. Ces vérifications s'effectuent notamment par une confrontation des données communiquées dans le cadre de la demande d'inscription avec celles dont dispose l'INSEE en application de l'article 5 du décret du 22 janvier 1982 susvisé relatif au répertoire national d'identification des personnes physiques (RNIPP). Le système permet également de procéder à des inscriptions d'office, pour les personnes atteignant l'âge de 18 ans et celles acquérant la nationalité française, sur la base des informations transmises à l'INSEE par la direction du service national du ministère de la défense, par le ministère de la justice et par le ministère de l'intérieur. En outre, le système intègre les informations transmises par les autres Etats membres de l'Union européenne (UE), avant chaque scrutin européen, concernant les électeurs de nationalité française inscrits pour cette élection sur leurs listes nationales, afin notamment d'éviter les possibilités de double vote. Enfin, la mise en œuvre du REU facilite les vérifications devant être effectuées par la commission de contrôle prévue à l'article L. 19 du code électoral, issu de la loi n° 2016-1048, et permet la mise en œuvre d'un téléservice offrant la possibilité aux électeurs d'accéder aux données et informations enregistrées les concernant.
La Commission relève qu'elle a déjà eu à se prononcer sur le projet de décret portant application des articles L. 16 et L. 38 du code électoral et création du traitement de données à caractère personnel permettant de gérer le REU et ayant pour finalités « l'établissement, le contrôle et la gestion des listes électorales, dans les conditions prévues par les dispositions du chapitre II du titre Ier du livre Ier du code électoral ».
La Commission rappelle, en outre, qu'elle devra être tenue informée, dans les conditions prévues à l'article 33-II de la loi du 6 janvier 1978 modifiée, de toute modification substantielle affectant les caractéristiques du traitement.
A titre principal, la Commission considère que le projet de décret appelle des observations sur les points suivants :



- s'agissant de la partie du traitement REU qui relève du seul titre Ier de la loi du 6 janvier 1978 modifiée, car portant sur des activités qui ne relèvent pas du champ d'application du droit de l'UE, la Commission estime que le régime juridique devrait être aligné sur celui du RGPD dans la mesure où le régime du titre Ier est moins protecteur ;
- s'agissant des finalités poursuivies, la Commission considère que le projet de décret devrait être complété afin d'expliciter ce que recouvrent les termes de « mise en œuvre des procédés d'expression démocratique » employés, en particulier si de nouveaux usages du REU sont envisagés ;
- la Commission considère que la durée de conservation des traces devrait être de six mois, et non de trois, et qu'un mécanisme proactif de contrôle automatique des traces devrait être mis en place.



Sur le régime juridique applicable
L'article 1er du projet de décret précise que le traitement a pour finalités « l'établissement, le contrôle et la gestion de listes de personnes pour la mise en œuvre des procédés d'expression démocratique, notamment l'établissement, le contrôle et la gestion des listes électorales dans les conditions prévues par les dispositions du chapitre II du titre Ier du livre Ier du code électoral ».
La Commission observe que le traitement REU porte en partie sur des activités qui ne relèvent pas du champ d'application du droit de l'UE et pour lesquelles le RGPD n'est pas applicable, conformément à son article 2-2.a). Elle considère ainsi que le traitement REU relève du RGPD pour les activités entrant dans le champ d'application du droit de l'UE (par exemple, les élections européennes), et du titre Ier de la loi du 6 janvier 1978 modifiée pour les activités ne relevant pas du champ d'application du droit de l'UE (par exemple, l'organisation et la tenue d'élections ou de consultations au titre de la souveraineté nationale : élections présidentielles, législatives, sénatoriales, référendums).
Dans la mesure où le régime juridique des traitements relevant du seul titre Ier de la loi du 6 janvier 1978 modifiée est moins protecteur que celui du RGPD, notamment en raison de l'absence de droits pour les personnes concernées, elle estime que le projet de décret devrait aligner le régime juridique de ces traitements sur celui du RGPD. La Commission prend acte qu'à la suite des échanges intervenus dans le cadre de cette saisine, le traitement dans son ensemble sera placé sous le régime du RGPD.
Sur les finalités du traitement
S'agissant des finalités du traitement, la Commission observe que des modifications du décret sont envisagées sur ce point. L'INSEE précise que la nouvelle rédaction projetée vise à « utiliser le REU dans le cadre d'autres traitements qui ont toujours lieu “pour la mise en œuvre des procédés d'expression démocratique” ».
La Commission prend acte de ce qu'il s'agit de prendre en compte la modernisation des procurations électorales (contrôle du plafond des procurations, dématérialisation de leur établissement) ou encore de permettre le recueil et le contrôle des soutiens dans le cadre du référendum d'initiative partagée ainsi que dans celui d'une initiative citoyenne européenne.
Sans remettre en cause la légitimité des justifications apportées par le ministère et compte tenu des précisions qui précèdent, la Commission considère que la rédaction envisagée, qui est particulièrement large, ne permet pas d'appréhender de façon précise les termes de « mise en œuvre des procédés d'expression démocratique ». Elle estime en particulier que, si de nouveaux usages du REU sont envisagés cela devrait être expressément indiqué dans le projet de décret.
Sous réserve de ce qui précède, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des traces
La Commission prend acte de la mise en place d'une journalisation applicative et technique dont la durée de conservation est de trois mois.
La Commission rappelle que le traitement de ces données a, en principe, pour seule finalité la détection et la prévention d'opérations illégitimes sur les données principales du traitement, qu'à cette fin, leur durée de conservation doit être de six mois et que la mise en œuvre d'un mécanisme proactif de contrôle automatique des traces, nécessaire à cette finalité, contribue fortement à la détection des comportements anormaux par la génération automatique d'alertes. Elle prend acte de ce qu'une telle durée de conservation des traces sera inscrite dans le plan d'action de l'analyse d'impact relative à la protection des données (AIPD).
Les autres conditions de mise en œuvre du traitement projeté appellent les observations suivantes :
Sur les données collectées
L'article 1er du projet de décret apporte des modifications à l'article 2 du décret qui liste les catégories de données collectées afin, notamment, d'y ajouter les données relatives aux procurations.
En premier lieu, la Commission prend acte de ce que les modifications envisagées ne permettront pas la collecte de données « sensibles » au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée.
Il ressort en outre des précisions apportées que, s'agissant des incapacités, le REU ne pourra pas permettre l'enregistrement des motifs de la condamnation ou de la perte de nationalité. En effet, ne seront enregistrés que la nature de l'incapacité (perte de droits civiques suite à une condamnation pénale ou perte de nationalité) et sa période d'application, sans indication du contenu de la décision de justice.
En deuxième lieu, la Commission observe que le projet de décret modifie le décret n° 2018-343 précité afin d'y ajouter des données relatives aux procurations. Elle relève que cette modification vise à tirer les conséquences des évolutions introduites par la loi n° 2019-1461 du 27 décembre 2019 susvisée.
En troisième lieu, la Commission observe que « le système de gestion du REU assure un ensemble de fonctions sur la base d'échanges dématérialisés et automatisés entre l'INSEE, responsable de ce système de gestion, les communes et les autres administrations ». Des échanges sont aussi possibles avec des administrations d'autres Etats membres de l'UE.
D'une part, la Commission relève que des échanges entre le système d'information REU géré par l'INSEE et les différents acteurs du dispositif pourront se faire, notamment par des « échanges de fichiers ». Elle prend acte de ce que les administrations détentrices d'informations impliquant une incapacité électorale, une radiation ou une inscription d'office telles que définies par la loi (ministère de la justice, ministère de l'intérieur, ministère de la défense), fourniront à l'INSEE ces informations via des fichiers au format XML. Sans remettre en cause la légitimité de ces mises en relation, la Commission rappelle que les traitements concernés, dont en particulier le casier judiciaire, devront, le cas échéant, être modifiés afin de prévoir expressément cette mise en relation.
D'autre part, elle observe que, pour l'application de l'article 12 du règlement (UE) 2019/788 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'initiative citoyenne européenne, le projet de décret modifie l'article 7 du décret n° 2018-343 afin de prévoir que :



- le ministère de l'intérieur transmet à l'INSEE un échantillon des déclarations de soutien signées par les ressortissants français afin de vérifier leur inscription au REU. Cette liste comporte les informations suivantes : prénoms complets, noms de famille, date de naissance ;
- dans un délai d'un mois, l'INSEE transmet au ministère de l'intérieur le nombre de soutiens effectivement inscrits au REU. Les données et informations contenues dans la liste transmise par le ministère de l'intérieur sont détruites au plus tard un mois après.



Compte tenu de ces précisions, ces modifications apparaissent justifiées à la Commission.
Les autres modifications n'appellent pas d'observation de la part de la Commission.
Sur les durées de conservation des données
A titre liminaire, la Commission rappelle que, eu égard à l'ampleur du traitement, elle avait jugé nécessaire que les durées de conservation définies par le projet de décret soient strictement limitées aux durées justifiées par les finalités du traitement.
A cet égard, elle prend acte de ce que l'INSEE précise que « les données relatives à un électeur inscrit sur une liste électorale sont conservées tant que sa situation n'est pas modifiée ». La Commission relève, en outre, que « si l'électeur change de commune et s'inscrit dans cette nouvelle commune, seule cette dernière situation est conservée ».
La Commission relève par ailleurs que le projet de décret modifie l'article 3 du décret n° 2018-343 précité afin d'indiquer que « les données relatives aux procurations mentionnées au 6° de l'article 2 sont conservées jusqu'au 31 décembre de l'année suivant la fin de validité de la procuration », ce qui n'appelle pas d'observation de sa part.
Sur les accédants et les destinataires
Le projet de décret modifie l'article 4 du décret n° 2018-343 précité afin notamment :



- de prévoir que les personnes qui disposaient déjà d'un accès au traitement peuvent également avoir accès aux données relatives aux procurations, afin de prendre en compte les modifications apportées par la loi n° 2019-1461 susvisée ;
- d'ajouter les agents en charge des élections du ministère de l'intérieur individuellement désignés et habilités par le secrétaire général, aux fins de consultation des listes électorales à la liste des accédants au traitement.



La Commission relève qu'il est prévu que les agents en charge des élections du ministère de l'intérieur n'auront toutefois pas accès aux données prévues au e du 3° (adresse de messagerie électronique, numéro de téléphone) et au 4° (données préalables aux traitements) de l'article 2 du décret n° 2018-343 tel que modifié.
Dans ces conditions, les modifications envisagées apparaissent justifiées à la Commission.
Sur les droits des personnes concernées
En premier lieu, s'agissant du droit à l'information des personnes concernées, la Commission prend acte de ce qu'une information générale sera assurée par la publicité des textes réglementaires (dont le décret, objet de cette consultation) et les informations disponibles sur les sites de l'INSEE et du ministère de l'intérieur.
La Commission prend acte de ce qu'il n'est pas prévu que l'INSEE informe l'électeur de sa prise en charge dans le REU sous un état civil différent de celui qu'il aurait indiqué dans sa demande d'inscription. Le retour vers l'électeur concernant le résultat de sa demande d'inscription au REU relève en effet de la compétence des communes.
En second lieu, le projet de décret modificatif prévoit que, conformément aux dispositions des articles 49 et 50 de la loi du 6 janvier 1978 modifiée, les droits d'accès et de rectification pour les données mentionnées à l'article 2 s'exercent auprès de l'INSEE, ou auprès de l'Institut de la statistique de la Polynésie française pour les listes électorales de la Polynésie française et auprès de l'administrateur supérieur des îles Wallis et Futuna pour les listes électorales des îles Wallis et Futuna, ce qui n'appelle pas d'observation.
Les droits d'effacement, de limitation, de portabilité et d'opposition prévus respectivement par les articles 51, 53, 55 et 56 de la loi du 6 janvier 1978 modifiée ne s'appliquent pas au présent traitement, ce qui n'appelle pas d'observation.
Sur les mesures de sécurité
En premier lieu, la Commission relève que les échanges entre le système d'information REU géré par l'INSEE et les différents acteurs du dispositif peuvent se faire selon trois possibilités :



- échanges de fichiers : cette possibilité est utilisée par les administrations fournissant des informations sur la situation électorale (justice, défense, intérieur) et par la Direction de l'information législative et administrative (DILA) en charge du téléservice de demandes d'inscriptions en ligne ;
- une API (« application programming interface », ou interface de programmation applicative) permettant à des logiciels tiers de communiquer avec le SI-REU ;
- un portail web dédié aux communes, notamment celles qui ne disposent pas d'un logiciel de gestion communale (portail Elire mis à disposition et géré par l'INSEE).



En outre, la Commission relève que les échanges de fichiers s'effectuent par le biais de canaux chiffrés, le tout sur le réseau interministériel de l'Etat (RIE).
La Commission prend acte de ce que l'accès au portail et à l'API est sécurisé par le protocole SSL, soumis au référentiel général de sécurité (RGS) et que l'INSEE autorise les connexions TLS utilisant les versions 1.1 à 1.2.
La Commission recommande, sur ce point, d'utiliser, autant que possible, la version de TLS la plus à jour et prend acte de ce que cela sera inscrit dans le plan d'action de l'AIPD.
En second lieu, la Commission observe que l'accès, pour les utilisateurs internes à l'INSEE, s'effectue par le biais d'une authentification unique, dite SSO, et que les mots de passe utilisés doivent être composés de douze caractères de trois types parmi quatre (majuscules, minuscules, chiffres et caractères spéciaux) avec une validité de 90 jours.
La Commission recommande, afin de respecter les critères définis dans sa délibération n° 2017-012 du 19 janvier 2017 susvisée, que dans le cas où aucune autre mesure de protection ne serait appliquée, les mots de passe soient composés des quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux).
La Commission relève ensuite que les accès pour les accédants externes s'effectuent par le biais d'une authentification basée sur un couple identifiant et mot de passe et que ce dernier doit être composé de huit caractères de trois types parmi quatre.
La Commission recommande, de nouveau afin de respecter sa délibération n° 2017-012 du 19 janvier 2017 susvisée, que cette authentification soit renforcée par des mesures complémentaires, telles qu'un blocage temporaire ou un verrouillage de compte après un nombre défini des tentatives en échec, un « captcha », etc.
Elle prend acte que les recommandations formulées relatives à la structuration des mots de passe seront inscrites dans le plan d'action de l'AIPD.
La Commission relève que l'accès externe par le biais de logiciel tiers utilisant l'API nécessite, outre que l'utilisateur s'authentifie à l'aide de son couple identifiant et mot de passe, que l'application soit approuvée par l'utilisation d'un code d'application, permettant de s'assurer que cette dernière est autorisée à se connecter par le biais de l'API précitée.

La présidente,


M.-L. Denis