Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

De telles mesures, particulièrement intrusives, requièrent un niveau élevé de justification pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est co‑responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché. 2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées : a) d’identification préalable des annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du règlement ; b) de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce ; c) si tel n’est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché, au sens de l’article 9, paragraphe 2, sous‑a), ou que l’une des autres exceptions prévues à l’article 9, paragraphe 2, sous‑b) à j), soit remplie. 3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet. 4) L’article 1, paragraphe 5, sous‑b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Si, aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous‑traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous‑traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28‑3‑f impose que ce contrat prévoit que le sous‑traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous‑traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.

Les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l'existence ou non d'une obligation d'information en vertu de l'article 14 de ce règlement, sont de nature et de portée différentes par rapport à la obligation d’information prévue à cet article 14. Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l'article 14, paragraphe 5, sous c), de ce règlement, l'objet des vérifications à effectuer par l'autorité de contrôle est circonscrit par le champ d'application du seul article 14 dudit règlement, le respect de l’article 32 de celui‑ci ne faisant pas partie de ces vérifications.

Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.

En application de l’article 32 du RGPD, il appartient au responsable de traitement d’assurer la sécurité des traitements de données à caractère personnel qu’il effectue. À ce titre, le responsable de traitement doit veiller à la confidentialité des données qu’il traite en prenant des mesures raisonnables pour éviter leur divulgation ou communication à des tiers qui n’ont pas à en connaître. En particulier, s’agissant de l’envoi d’un courriel à un ensemble de destinataires, le responsable de traitement doit s’interroger sur le point de savoir si chaque personne à qui le courriel est adressé peut ou non avoir connaissance de l’ensemble des destinataires. Pour porter cette appréciation, qui doit être faite en fonction des circonstances de l’envoi – notamment l’objet du courriel ainsi que le nombre et la qualité des destinataires –, il y a lieu de tenir compte du fait que la communication en « copie carbone » (Cc) entraînera aussi la divulgation à des tiers de l’adresse électronique de chacun des destinataires. Lorsqu’il apparaît que le nom ou l’adresse électronique des destinataires ne doivent pas être visibles par tous, l’expéditeur du message est tenu d’utiliser la fonction « copie carbone invisible » (Cci). Dans certains cas, il peut être approprié de mettre un destinataire en Cci tout en indiquant dans le corps du courriel à quelles personnes il a été envoyé, s’il est pertinent que les destinataires aient cette information.

1) La CNIL considère que le numéro d’identification des personnes au répertoire national d’identification des personnes physiques (NIR, ou « numéro de sécurité sociale ») peut constituer un moyen d’identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance, etc.) ; le contexte de violations massives de données comprenant ce numéro en 2024, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position. 2) En l’espèce, projet d’utilisation du NIR pour vérifier l’adresse postale dont dispose l’administration. Bien que le ministère ait précisé que l’usager devra également valider un test captcha afin de limiter l’accès à la plateforme par des systèmes automatisés d’aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à un tiers disposant du NIR d’une personne. Or la CNIL rappelle que l’adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée. La CNIL a donc recommandé la modification du projet.

Le recours à la fonction SHA‑1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art, ainsi qu’il ressort en particulier du guide de sélection d’algorithmes cryptographiques édité par l’ANSSI, daté du 8 mars 2021, qui indique que celle‑ci est « proscrite pour une utilisation générale ». En l’état actuel de la technique, la CNIL a établi des recommandations spécifiques dans son guide au profit des développeurs, en recommandant de stocker les mots de passe sous forme de hachage (hash) au moyen d’une bibliothèque éprouvée, comme Argon2, yescrypt, scrypt, balloon, bcrypt et, dans une moindre mesure, PBKDF2. En conséquence, l’utilisation en l’espèce d’une fonction obsolète pour procéder au hachage des mots de passe est en principe constitutive d’un manquement aux obligations de l’article 32 du RGPD.

Tout logiciel doit en principe être utilisé dans une version permettant encore de recevoir et d'intégrer les correctifs de sécurité, fournis par un éditeur compétent. L'utilisation d'une version d'un logiciel qui n'est plus suivie par les éditeurs compétents ne peut constituer qu'une situation temporaire, en attendant une adaptation des systèmes internes du responsable de traitement à une montée de version du logiciel ou un transfert vers un autre logiciel. L'admissibilité de l'utilisation temporaire d'une version non suivie d'un logiciel dépend de la sensibilité des données traitées et des risques encourus par les personnes.

1) Il résulte des dispositions de l'article 32 du RGPD que le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s'apprécie, d'une part, au regard des caractéristiques du traitement et des risques qu'il induit ; d'autre part, en tenant compte de l'état des connaissances et du coût des mesures. La mise en place d'une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD.

2) La Commission recommande que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l'authentification repose, comme en l'espèce, sur un identifiant et un mot de passe sans mise en place d'une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu'un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu'il s'accompagne d'une mesure de sécurité complémentaire afin d'assurer un niveau de sécurité et de confidentialité suffisant.

Le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisant. Le caractère suffisant des mesures de sécurité s'apprécie d'une part, au regard des caractéristiques du traitement et des risques qu'il induit, d'autre part, en tenant compte de l'état de connaissances et du coût des mesures. La mise en place d’une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD. Ainsi, il est nécessaire de veiller à ce qu'un mot de passe permettant de s'authentifier sur un système ne puisse pas être divulgué. Le recours à la fonction de hachage MD5 pour stocker des mots de passe n'est plus considéré comme à l'état de l'art depuis 2004. Son utilisation en cryptographie ou en sécurité est susceptible de constituer un manquement aux obligations de l'article 32 du RGPD.

Lorsqu'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.

La transmission, en clair, d'un mot de passe qui n'est ni temporaire, ni à usage unique et dont le renouvellement n'est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur de la personne concernée. Le fait que le mot de passe soit en lui‑même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d'identité et des tentatives d'hameçonnage. Ces faits sont susceptibles de caractériser un manquement aux obligations de sécurité résultant de l'article 32 du RGPD.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif dossiers patients informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;
• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110‑12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise ». Ce mode permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.

4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans l'hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu'il n'a pas pris connaissance de celles - ci, un « dommage moral », au sens de cette disposition, n'est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possib le la réalisation d'une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.

Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 doivent être interprétés en ce sens que dans le cadr e d'une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer qu e les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n'étaient pas « appropriées », au sens de ces articles 24 et 32.

2 ) L'article 82 du règlement 2016/679 doit être interprété en ce sens que cet article n e requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d'un dommage sur le fondement de cette disposition.

3 ) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d'établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.

Le projet d'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers permet le transfert systématique et continu des données PNR de l'ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d'autres autorités et d'autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l'accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

La Cour juge que certaines stipulations du projet d'accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui‑ci ne soit révisé pour mieux encadrer et préciser les ingérences. Cet accord doit, pour être compatible avec les articles 7 et 8 ainsi qu'avec l'article 52, paragraphe 1, de la Charte des droits fondamentaux:

a) déterminer de manière claire et précise les données des dossiers passagers à transférer depuis l'Union européenne vers le Canada;

b) prévoir que les modèles et les critères utilisés dans le cadre du traitement automatisé des données des dossiers passagers seront spécifiques, fiables et non discriminatoires; prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave;

c) soumettre, hormis dans le cadre des vérifications relatives aux modèles et aux critères préétablis sur lesquels sont fondés les traitements automatisés des données des dossiers passagers, l'utilisation de ces données par l'autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, ainsi que toute communication desdites données à d'autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs; subordonner cette utilisation et cette communication, sauf cas d'urgence dûment justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l'utilisation intervient à la suite d'une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales;

d) limiter la conservation des données des dossiers passagers après le départ des passagers aériens à celles des passagers à l'égard desquels il existe des éléments objectifs permettant de considérer qu'ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave;

e) soumettre la communication des données des dossiers passagers par l'autorité canadienne compétente aux autorités publiques d'un pays tiers à la condition qu'il existe soit un accord entre l'Union européenne et ce pays tiers équivalent à l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, soit une décision de la Commission européenne, au titre de l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, couvrant les autorités vers lesquelles la communication des données des dossiers passagers est envisagée;

f) prévoir un droit à l'information individuelle des passagers aériens en cas d'utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu'en cas de divulgation de ces données par l'autorité canadienne compétente à d'autres autorités ou à des particuliers, et

g) garantir que la surveillance des règles prévues par l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l'égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante.

Le traitement de données à caractère personnel, dans lequel est enregistrée une photographie permettant le recours à un dispositif de reconnaissance faciale, ne constitue pas un dispositif disproportionné dès lors qu'il comporte des garanties appropriées permettant d'assurer que :

• la collecte des données biométriques relatives aux personnes mises en cause ne peut avoir lieu que dans les conditions prévues aux articles R. 40‑24 et R. 40‑25 du code de procédure pénale ;
• le traitement est opéré sous le contrôle du procureur de la République qui, d'office ou à la demande de la personne concernée, peut ordonner l'effacement ou la rectification des données biométriques ;
• le dispositif de reconnaissance faciale ne peut être mobilisé par les services compétents qu'en cas de nécessité absolue et sous la responsabilité des agents qui l'utilisent ;
• seuls certains magistrats et agents étant autorisés par décret à accéder aux données biométriques, cet accès est soumis à des obligations de traçabilité ;
• la mise en œuvre du traitement fait l'objet d'un suivi par un magistrat désigné par le ministre de la justice et est soumise au contrôle de la CNIL ;
• le responsable de traitement prend les mesures de sécurité appropriées au regard de la sensibilité des données en cause.

Proportionnalité

Dans le cadre d'élections des représentants du personnel au sein des instances de représentation du personnel de la fonction publique hospitalière, s i le vote élect ronique par internet est susceptible de constituer une modalité de vote au même titre que le vote à l'urne et le vote par correspondance, il implique, en raison de ses spécificités et des conditions de son utilisation, que des garanties adaptées soient pré vues pour que le respect des principes généraux du droit électoral de complète information de l'électeur, de libre choix de celui - ci, d'égalité entre les candidats, de secret du vote, de sincérité du scrutin et de contrôle du juge soit assuré à un niveau é quivalent à celui des autres modalités de vote.

Dès lors, d'une part, que l'identification du demandeur qui sollicite la mise en œuvre d'une procédure de « réassort » (nouvelles communication des éléments d'authentification nécessaires pour participer au sc rutin) s'effectue par la seule vérification de ses nom, prénom, date et lieu de naissance, informations qui peuvent aisément être connues de tiers, et, d'autre part, que le moyen de communication par lequel sont envoyés l'identifiant et le nouveau mot de p asse est celui qu'indique le demandeur qui sollicite ce « réassort », sans qu'il soit garanti qu'il ne serait accessible qu'à l'électeur, et alors même qu'un même numéro de téléphone ou une même adresse électronique ne peut être utilisé que pour une seule demande de réassort, les requérants sont fondés à soutenir que les modalités retenues pour le vote électronique par internet n'offraient pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote.

Compte tenu de l'importance du recours au vote électronique dans les scrutins en cause et de l'impossibilité de déterminer le nombre de cas dans lesquels a été mise en œuvre, pour chacune des instances concernées, la procédure dite de « réassort », les syndicats requérants sont fondés à demander l'annulation de l'ensemble des opérations électorales en vue de la désignation des représentants du personnel.

ème ème