N° de demande d’avis : 26000167	Thématiques : Élections – Vote – Protection
Organisme(s) à l’origine de la saisine : Institut national de la statistique et des études économiques (INSEE) et Ministère de l’intérieur	Fondement de la saisine : Article 8-I-4°-a de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

La CNIL a été saisie pour avis par le ministère de l’intérieur et l’Institut national de la statistique et des études économiques (INSEE) d’un projet de décret portant application de l’article L. 37 du code électoral et modifiant diverses dispositions relatives au traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique (REU). Ce décret d’application procède à l’intégration dans le REU de données relatives aux personnes bénéficiaires d’une ordonnance judiciaire de protection, aux personnes frappées d’une interdiction de droit de vote, et procède à l’abrogation de certaines mesures obsolètes et au toilettage de dispositions concernant les outre-mer.

La CNIL considère légitime et proportionnée la collecte des nouvelles données des personnes bénéficiaires d’une ordonnance de protection et des personnes interdites de droit de vote. Elle relève un point de vigilance : s’agissant de personnes vulnérables, la sensibilité particulière de ces données et l’intégration d’infractions pénales dans un des plus vastes traitements mis en œuvre par l’administration. Elle invite donc l’INSEE et le ministère de l’intérieur à prendre toutes les mesures nécessaires en matière de sécurité et de confidentialité de ces données.

En matière de sécurité, elle recommande notamment à l’INSEE de réserver la modification périodique du traitement aux administrateurs, de mettre en place un système d’authentification multifacteur pour l’ensemble des utilisateurs et l’invite à renforcer les techniques de pseudonymisation en vue du futur déploiement d’un projet de base de données correspondant au REU, qui sera mis à disposition des chercheurs par le biais de la plateforme du centre d’accès sécurisé aux données.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Sur proposition de M^me Laurence Franceschini, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. Le contexte et l’objet de la saisine

La CNIL a été saisie par le ministère de l’intérieur et l’INSEE d’une demande d’avis relative à un projet de décret portant application de l’article L. 37 du code électoral et modifiant diverses dispositions relatives au traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique (REU).

Les articles 3 et 4 du projet de décret modifient les articles 2 et 3 du décret n°2018-343 du 9 mai 2018 modifié portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique pris en application des dispositions du I de l’article 2 et de l’article 7 de la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d’inscription sur les listes électorales.

Ces modifications intègrent de nouvelles données personnelles au traitement des personnes concernées par les ordonnances de protection ainsi que des personnes faisant l’objet d’une peine entraînant la perte du droit de vote. Sont enregistrées les données relatives à l’état-civil (nom, nom d’usage, prénoms, sexe, date et lieu de naissance), les données relatives aux dates de début et de fin de l’ordonnance de protection, la date de début et de fin de la peine d’interdiction de droit de vote, la filiation (uniquement pour les personnes privées de droit de vote) ainsi qu’un identifiant non-signifiant permettant la correspondance avec le répertoire national d’identification des personnes physiques (RNIPP).

L’article 4 du projet de décret dispose que l’ensemble de ces données sont conservées jusqu’au 31 décembre de l’année suivant la fin de l’ordonnance de protection ou de la peine d’interdiction de droit de vote.

Le décret modifie également les articles R.20 et R.204 du code électoral afin de mettre en cohérence les dispositions règlementaires avec les nouvelles mesures relatives à l’ordonnance de protection et d’appliquer les dispositions de l’article R.20 aux modalités de communication des listes électorales en Polynésie française et à Wallis-et-Futuna.

II. L’avis de la CNIL

A. Sur les nouvelles données personnelles collectées

En ce qui concerne les nouvelles données traitées, la CNIL note que ces dernières seront intégrées dans le REU par l’INSEE à l’issue de la transmission des décisions par les greffes des tribunaux (pour les bénéficiaires des ordonnances de protection) et par les agents du casier judiciaire national (CJN) via le traitement ASTREA (pour les données concernant les personnes frappées d’une interdiction de droit de vote). Le procureur de la République informe ensuite le préfet de département et le maire de la commune concernée de ces nouvelles inscriptions.

L’intégration de ces nouvelles données permet d’une part de faire bénéficier les personnes concernées par une ordonnance de protection délivrée par l’autorité judiciaire au titre de l’article 515-11 du code civil de la possibilité de faire occulter leur adresse sur les listes électorales, minimisant ainsi les risques de pouvoir être localisées, par exemple, par une personne faisant l’objet d’une mesure d’interdiction d’entrer en contact. D’autre part, elle permet d’éviter l’inscription sur les listes électorales de personnes n’ayant pas le droit de vote, en transférant directement dans le REU les décisions d’interdiction de droit de vote prise par les tribunaux judiciaires.

Afin de permettre le lien entre le REU et le RNIPP, l’INSEE prévoit également la collecte d’un identifiant non-signifiant (distinct du NIR), permettant de le mettre en relation avec l’identifiant national d’électeur des personnes concernées. Cette correspondance est stockée dans le système de gestion du REU pour permettre les mises à jour en cas de décès, de changement d’état civil ou de fusion/suppression de fiches d’individus constatés au RNIPP. L’INSEE précise que l’accès à ce numéro est strictement interne à son organisation, et que les mises à jour du fichier étant automatisées, l’identifiant individu et la table de correspondance ne seront pas accessibles à ses agents, en dehors d’un nombre réduit d’administrateurs techniques.

La CNIL considère que la collecte de ces nouvelles données est légitime et proportionnée eu égard à la nouvelle mesure de protection des victimes introduite par le législateur ainsi qu’aux finalités du traitement en matière d’établissement, de contrôle et de gestion des listes électorales. Elle invite l’INSEE à s’assurer que ne puissent accéder à ces données dans le REU que les personnes strictement habilitées.

Concernant les bénéficiaires d’ordonnances de protection, la CNIL relève que cette nouvelle disposition revient à traiter de manière spécifique les données de personnes en situation de vulnérabilité. Par ailleurs, les données relatives à l’interdiction de droit de vote transmises par le casier judiciaire national (CJN) traduisent des données liées à des infractions pénales même si elles ne contiennent pas le contenu des décisions de justice. La CNIL insiste donc sur la nécessité d’apporter une attention particulière à la confidentialité de ces informations.

B. Sur les durées de conservation de ces données et leur suppression

L’article 4 du projet de décret précise que les nouvelles données collectées seront conservées jusqu’au 31 décembre de l’année suivant la date de la fin de l’ordonnance de protection ou de la peine d’interdiction de droit de vote. Leur apurement sera lancé manuellement chaque année par les techniciens de l’INSEE. Ce mécanisme correspond ainsi à une durée maximale de conservation de moins de deux ans.

Le ministère de l’intérieur et l’INSEE estiment que cette durée de conservation est nécessaire afin de pouvoir appliquer l’occultation de l’adresse pour les personnes protégées lorsque la décision de justice est postérieure à l’inscription sur les listes électorales d’une part, et afin de pouvoir appliquer l’interdiction de droit de vote en cas de tentative d’inscription des personnes antérieure à une condamnation d’autre part.

La CNIL estime que ces durées de conservation sont proportionnées et adaptées au temps nécessaire à l’administration pour appliquer les nouvelles dispositions prévues par le législateur. Elle invite l’INSEE à étudier la possibilité d’automatiser intégralement l’apurement des données au 31 décembre de chaque année.

C. Sur les mesures de sécurité

Le REU est un traitement à grande échelle qui contient une quantité importante de données. L’authentification actuellement mise en œuvre est une authentification monofacteur basée sur un facteur de connaissance.

Dans sa délibération n° 2021-008 du 14 janvier 2021 portant avis sur un autre projet de décret modifiant le REU, la CNIL avait recommandé que l’INSEE suive ses recommandations alors en vigueur (CNIL, SP, 19 janvier 2017, recommandation relative aux mots de passe, n° 2017-012, publiée). La CNIL observe que le ministère a traduit cette recommandation par un plan d’action qui a été mis en œuvre.

Depuis, la CNIL a mis à jour ses recommandations concernant les mots de passe (CNIL, SP, 21 juillet 2022, recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017, n° 2022-100, publiée). La CNIL invite donc l’INSEE à continuer l’action de mise en conformité sur la base de cette recommandation mise à jour. En particulier, la CNIL recommande de ne plus imposer de modification périodique à l’ensemble des utilisateurs, mais de la réserver aux administrateurs.

Par ailleurs, la CNIL estime que l’accroissement de la menace cyber a augmenté les risques pesant sur ce type de traitement et qu’il est nécessaire de mettre en œuvre une authentification multifacteur pour l’ensemble des utilisateurs du REU hormis le service de consultation en ligne, en conformité avec ses recommandations (CNIL, SP, 20 mars 2025, recommandation relative à l’authentification multifacteur (MFA), n° 2025-019, publiée).

De surcroît et comme indiqué supra, une partie des personnes concernées sont des personnes vulnérables protégées qui sont traitées de manière particulière. Par ailleurs, le traitement comporte aussi des données relatives à l’existence et à la durée de condamnations pénales.

Pour ces raisons, la CNIL estime que le niveau de garantie des solutions d’authentification multifacteur mises en œuvre doit faire l’objet d’une attention particulière et être adapté au niveau de risque.

Concernant le chiffrement des bases de données, la CNIL prend acte du fait qu’il s’agit d’un point prévu dans le programme de travail de l’INSEE de l’année 2026 et que des études sont envisagées pour son second semestre.

Enfin la CNIL prend aussi acte du projet de s’appuyer sur un outil centralisé de gestion des journaux pour leur conservation, dont la mise à disposition auprès de REU est prévue ultérieurement.

D. Sur les mesures de protection des données dès la conception

Un fichier correspondant à la base de données doit être mis à la disposition des chercheurs, chaque année, par le biais de la plateforme sécurisée du centre d’accès sécurisé aux données (CASD). La CNIL prend acte du fait qu’il s’agit d’un projet qui n’est pas encore mis en œuvre. En prévision de ce projet, elle invite l’INSEE à renforcer les techniques de pseudonymisation, allant au-delà de la simple suppression des noms et prénoms afin de limiter les risques pour les personnes concernées en cas de mésusage ou de violation de données ultérieurs.

La présidente,

M.-L. Denis