Dans le cadre d'élections des représentants du personnel au sein des instances de représentation du personnel de la fonction publique hospitalière, si le vote électronique par internet est susceptible de constituer une modalité de vote au même titre que le vote à l'urne et le vote par correspondance, il implique, en raison de ses spécificités et des conditions de son utilisation, que des garanties adaptées soient prévues pour que le respect des principes généraux du droit électoral – complète information de l'électeur, libre choix de celui-ci, égalité entre les candidats, secret du vote, sincérité du scrutin et contrôle du juge – soit assuré à un niveau équivalent à celui des autres modalités de vote. Dès lors, d'une part, que l'identification du demandeur qui sollicite la mise en œuvre d'une procédure de « réassort » (nouvelles communications des éléments d'authentification nécessaires pour participer au scrutin) s'effectue par la seule vérification de son nom, prénom, date et lieu de naissance, informations qui peuvent aisément être connues de tiers, et, d'autre part, que le moyen de communication par lequel sont envoyés l'identifiant et le nouveau mot de passe est celui indiqué par le demandeur qui sollicite ce « réassort », sans qu'il soit garanti qu’il ne serait accessible qu'à l'électeur, et alors même qu'un même numéro de téléphone ou une même adresse électronique ne peut être utilisé que pour une seule demande de « réassort », les requérants sont fondés à soutenir que les modalités retenues pour le vote électronique par internet n'offraient pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote. Compte tenu de l'importance du recours au vote électronique dans les scrutins en cause et de l'impossibilité de déterminer le nombre de cas dans lesquels a été mise en œuvre, pour chacune des instances concernées, la procédure dite de « réassort », les syndicats requérants sont fondés à demander l'annulation de l'ensemble des opérations électorales en vue de la désignation des représentants du personnel.

Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.

1) La CNIL considère que le numéro d’identification des personnes au répertoire national d’identification des personnes physiques (NIR, ou « numéro de sécurité sociale ») peut constituer un moyen d’identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance, etc.) ; le contexte de violations massives de données comprenant ce numéro en 2024, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position. 2) En l’espèce, projet d’utilisation du NIR pour vérifier l’adresse postale dont dispose l’administration. Bien que le ministère ait précisé que l’usager devra également valider un test captcha afin de limiter l’accès à la plateforme par des systèmes automatisés d’aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à un tiers disposant du NIR d’une personne. Or la CNIL rappelle que l’adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée. La CNIL a donc recommandé la modification du projet.

1) Il résulte des dispositions de l'article 32 du RGPD que le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s'apprécie, d'une part, au regard des caractéristiques du traitement et des risques qu'il induit ; d'autre part, en tenant compte de l'état des connaissances et du coût des mesures. La mise en place d'une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD.

2) La Commission recommande que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l'authentification repose, comme en l'espèce, sur un identifiant et un mot de passe sans mise en place d'une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu'un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu'il s'accompagne d'une mesure de sécurité complémentaire afin d'assurer un niveau de sécurité et de confidentialité suffisant.